AlmaLinux OS
Saya bertanya kepada benny Vasquez, ketua AlmaLinux OS Foundation, bagaimana dia akan menjelaskan kontroversi kode sumber Red Hat Enterprise Linux baru-baru ini kepada seseorang di barbekyu keluarga—seseorang yang, dengan kata lain, mungkin tidak terlalu mengikuti berita teknologi terbaru.
“Sebagian besar barbekyu keluarga saya akan menjelaskan bahwa Linux adalah sistem operasi,” kata Vasquez. “Kemudian menjelaskan apa itu sistem operasi.”
Memang sulit untuk menjelaskan semuanya—Red Hat, Red Hat Enterprise Linux, CentOS, CentOS Stream, Fedora, RHEL, Alma, Rocky, hulu, hilir, kode sumber, dan GPL—kepada siapa pun yang tidak terbiasa dengan Sejarah unik Red Hat, dan bagaimana perkembangannya menjadi ekosistem yang luas namun berbeda yang dimilikinya saat ini. Dan, ya, Linux secara umum. Tapi Vasquez adalah permainan untuk melakukan eksperimen pikiranku.
“Perubahan yang baru-baru ini dibuat paling baik diringkas sebagai: Red Hat secara historis memudahkan apa yang mereka pandang sebagai pesaing untuk tetap ada,” katanya. “Dan perubahan yang mereka buat, menurut mereka, membuat pesaing tidak mudah untuk eksis. Dari perspektif tingkat tinggi, bagi orang yang tidak mengerti ‘membangun jaringan pipa’, itulah yang ingin saya jelaskan.”
“Kita bisa memperbaikinya sekarang. Kita tidak perlu menunggu.”
AlmaLinux OS, hingga saat ini, ditujukan untuk menjadi replikasi “1:1”, atau “bug demi bug” dari Red Hat Enterprise Linux (RHEL). Ketika RHEL mengumumkan bahwa kode sumbernya hanya akan tersedia di CentOS Stream, the “pratinjau bergulir” dari RHEL, membuat pembuatan ulang RHEL 1:1 jauh lebih rumit. Rocky Linux, yang didirikan oleh salah satu pendiri CentOS asli, mengatakan akan melakukannya terus menyediakan bug-untuk-bug membangun kembali melalui beberapa cara yang rumit.
AlmaLinux, setelah menunggu kebingungan awal dan mensurvei pelanggan dan pendukungnya, adalah menempuh rute yang berbeda. AlmaLinux akan kompatibel dengan biner (atau kompatibel dengan ABI), artinya aplikasi yang berjalan di RHEL akan berjalan di AlmaLinux. Dibebaskan dari paritas lengkap dengan rilis RHEL, bagaimanapun, berarti AlmaLinux dapat:
- Terima perbaikan bug di luar siklus rilis RHEL
- Sertakan komentar di tambalan yang mengarah ke sumber dan penulis
- Memutuskan prioritasnya sendiri
- Terus berkontribusi upstream ke CentOS Stream, Fedora, dan Linux secara keseluruhan
“Sekarang kita bisa melakukan banyak hal!” kata Vasquez. “Persis seperti itulah perasaan kami. Kami telah menggunakan kecocokan satu-ke-satu itu sebagai Bintang Utara kami, jadi setiap keputusan yang kami buat tentang apa yang kami lakukan adalah, ya atau tidak, berdasarkan kecocokan satu-ke-satu. Ini membuka begitu banyak pintu.”
Tampaknya, salah satu pintu itu adalah tambalan keamanan yang dilakukan dengan sangat berbeda dari RHEL. Jonathan Wright, pemimpin tim infrastruktur di AlmaLinux dan pengelola paket Fedora, baru-baru ini memposting tentang pengalamannya mengirimkan permintaan penarikan, berdasarkan CVE yang ada (kerentanan), ke CentOS Stream. Michal Ruprich, insinyur perangkat lunak senior di Red Hat, jawab di GitLab bahwa RHEL tidak berencana untuk mengatasinya, tetapi “kami akan tetap membukanya untuk evaluasi berdasarkan umpan balik pelanggan.” Pada pertanyaan lebih lanjut oleh Wright, Ruprich menjawab bahwa kerentanan dengan tingkat keparahan rendah atau sedang ditangani “berdasarkan permintaan ketika pelanggan atau kebutuhan bisnis lainnya ada untuk melakukannya.”
Disana ada lebih banyak konteksdari kursus, tetapi momen tersebut berfungsi sebagai semacam pembuktian konsep untuk AlmaLinux baru. “Ini adalah contoh dari apa yang ingin kami lakukan, apa yang kami harapkan akan terjadi… kami dapat memperbaikinya sekarang. Kami tidak perlu menunggu.”
GitLab
Red Hat menanggapi
Red Hat menegaskan memanggil “mereka yang ingin mengemas ulang (RHEL) untuk keuntungan mereka sendiri” dalam postingan blog lanjutan, segera setelah pengumuman awalnya. Mengutip “organisasi TI besar atau sangat besar” yang menggunakan pembangunan kembali RHEL tanpa mendukung Red Hat itu sendiri, perusahaan mengatakan tidak “menemukan nilai dalam pembangunan kembali RHEL.”
Saya bertanya kepada Red Hat apakah ada yang ingin dikatakan lebih lanjut tentang pembangunan kembali setelah pergantian OS AlmaLinux. Saya juga bertanya tentang tanggapan “umpan balik pelanggan” terhadap tambalan keamanan. Mike McGrath, wakil presiden platform inti di Red Hat, menanggapi dengan sebuah pernyataan. McGrath menulis bahwa setelah mendengar umpan balik setelah sumber berubah, dia ingin “menegaskan kembali komitmen kami pada sumber terbuka”. Dia mengatakan bahwa Red Hat “kehormatan(-kehormatan) dan dalam kebanyakan kasus melebihi semua kewajiban lisensi kami,” bahwa kode sumber untuk semua produk Red Hat tersedia, dan pelanggan Red Hat masih memiliki akses sumber ke RHEL. McGrath juga menunjuk Gambar Basis Universal Topi Merahitu langganan Pengembang Individu tanpa biayaDan Langganan tim sebagai pemenuhan tujuan open source.
“Dengan semua opsi ini, kami tidak melihat alasan untuk menyediakan kode sumber di lokasi lain, menghapus materi merek dagang kami, hanya untuk tujuan menciptakan klon yang kompatibel dengan ‘bug untuk bug’,” tulis McGrath. “Kami lebih suka bekerja sama di CentOS Stream, di mana peningkatan dimungkinkan. Setidaknya salah satu komunitas hilir sebelumnya telah membuat keputusan untuk bekerja dari sumber CentOS Stream, dan kami memuji perubahan ini dan bersemangat untuk berkolaborasi dengan mereka, bahkan jika pada akhirnya kami bersaing dalam pengertian bisnis. Persaingan yang berbeda adalah tanda ekosistem yang sehat.”
Lalu, bagaimana dengan penolakan baru-baru ini atas tawaran semacam itu untuk membantu meningkatkan CentOS Stream melalui perbaikan CVE? McGrath membahasnya secara khusus.
“Membangun RHEL sangat kompleks dan intensif sumber daya—ada puluhan ribu komponen bergerak, dan semua ini ditampilkan di CentOS Stream,” tulis McGrath. “Dengan penekanan pada stabilitas produksi, kami tidak dapat segera mengambil setiap tambalan atau permintaan penggabungan—ini adalah inti dari masalah baru-baru ini seputar tambalan CVE dari kontributor AlmaLinux. Pada saat pengiriman, CVE belum melakukan penilaian tingkat keparahan publik dan Red Hat belum menyelesaikannya penilaian independen baik. Kami tidak menutup permintaan penggabungan dan terus mengevaluasinya untuk penyertaan di masa mendatang.”
“Itu juga sudah diterima di Fedora; ini berarti, pada akhirnya, akan dimasukkan dalam RHEL,” tulis McGrath. “Ketika berbicara tentang Linux perusahaan, menjadi disengaja, dapat diprediksi, dan menyeluruh adalah kuncinya—itulah yang ditunjukkan oleh proses ini, bahkan dalam komunitas upstream yang mendukung.”
