오픈소스 보안, 기업의 진정성 논란

커뮤니티에서는 AWS, Google, Microsoft 등 대기업들이 오픈소스 보안 강화에 나선 것에 대해 회의적인 시각(Skeptical View)을 보이고 있습니다. 특히 과거 자사 제품 및 서비스에서 발생했던 보안 문제와 오픈소스 프로젝트에 대한 기여 방식(포크, 버그 바운티 등)에 대한 의구심이 제기됩니다. 이들의 참여가 진정한 지원(Genuine Support)인지, 아니면 기업의 이해관계(Corporate Interest)를 위한 행보인지에 대한 논쟁이 뜨겁습니다.

참여 기업들이 기존 오픈소스 채널(Pull Request 등)을 통해 협력할지, 아니면 '보안'을 명분으로 프로젝트를 포크(Fork)할지가 핵심 쟁점으로 떠올랐습니다. ninjagoo는 기존 채널 협업이 커뮤니티를 포용하는 방식이라 강조하며, 포크는 프로젝트를 분열시키고 자원을 소모한다고 지적합니다. 데이터 미저장 정책(Zero-Retention Policy)과 같은 보안 강화 노력도 중요하지만, 협업 모델(Collaboration Model) 자체가 커뮤니티의 신뢰를 얻는 데 결정적임을 시사합니다.

Microsoft가 NPM과 GitHub를 운영함에도 불구하고 자사 제품의 보안이 악화되고 있다는 비판이 제기되었습니다. romaniv는 .NET Core의 EF Core가 심각한 SQLite 취약점을 1년 넘게 방치한 사례를 들며, Microsoft의 보안 관리 능력과 오픈소스 프로젝트 지원 방식에 의문을 표합니다. 이는 대기업의 AI 기술 및 자원 투입(AI Technology and Resource Investment) 약속에 대한 신뢰도를 떨어뜨리는 요인으로 작용합니다.

OpenBSD 개발자 brynet은 오픈소스 보호가 실질적인 지원(Tangible Support)에서 시작되어야 한다고 주장합니다. 많은 오픈소스 개발자들이 노후화된 하드웨어로 작업하고 있으며, OpenBSD 재단의 모금 목표 달성 현황을 예로 들며 재정적 지원의 중요성을 강조합니다. 이는 단순한 성명 발표를 넘어, 개발자 커뮤니티(Developer Community)의 지속 가능성을 위한 실질적인 투자와 지원이 필요함을 시사합니다.