AlmaLinux İşletim Sistemi Vakfı başkanı Benny Vasquez’e, son Red Hat Enterprise Linux kaynak kodu tartışmasını bir aile barbeküsünde birine nasıl açıklayacağını sordum – başka bir deyişle, en son teknoloji haberlerini bu kadar yakından takip etmemiş olabilecek biri.
Vasquez, “Aile toplantılarımın çoğu Linux’un bir işletim sistemi olduğunu açıklayacak,” dedi. “O zaman işletim sisteminin ne olduğunu açıklamak.”
Red Hat’in ilginç geçmişine ve bugün sahip olduğu geniş ama farklı ekosisteme nasıl ilerlediğine aşina olmayan herkese tüm parçaları (Red Hat, Red Hat Enterprise Linux, CentOS, CentOS Stream, Fedora, RHEL, Alma, Rocky, upstreams, downstreams, kaynak kodu ve GPL) açıklamak gerçekten zor. Ve evet, genel olarak Linux. Ama Vasquez benim düşünce deneyimimi gerçekleştirmeye hazırdı.
“Son zamanlarda yapılan değişiklikler en iyi şekilde şu şekilde özetlenebilir: Red Hat, geçmişte rakip olarak gördükleri şeylerin var olmasını kolaylaştırdı.” “Ve yaptıkları değişikliklerin, rakiplerin var olmasını daha az kolaylaştırdığını düşünüyorlar. Üst düzey bir bakış açısıyla, ‘boru hatları inşa etmeyi’ anlamayan insanlar için bunu böyle açıklamak isterdim.”
“Bunu şimdi düzeltebiliriz. Beklemek zorunda değiliz.”
AlmaLinux OS, yakın zamana kadar Red Hat Enterprise Linux’un (RHEL) “1:1” veya “hata için hata” kopyası olmayı hedefliyordu. RHEL, kaynak kodunun yalnızca RHEL’in “hareketli önizlemesi” olan CentOS Stream’de kullanılabileceğini duyurduğunda, RHEL’in 1:1 yeniden oluşturulmasını çok daha zor hale getirdi. Orijinal CentOS’un kurucularından biri tarafından kurulan Rocky Linux, bazı ayrıntılı yollarla hata için hata yeniden yapılandırmaları sağlamaya devam etmeyi planladığını söyledi.
AlmaLinux, baştaki kafa karışıklığını bekledikten ve müşterileri ile destekçilerini araştırdıktan sonra farklı bir rota izliyor. AlmaLinux ikili uyumlu (veya ABI uyumlu) olacaktır, yani RHEL üzerinde çalışan uygulamalar AlmaLinux üzerinde çalışacaktır. Bununla birlikte, RHEL sürümleriyle tam eşitlikten kurtulmuş olması, AlmaLinux’un şunları yapabileceği anlamına gelir:
- RHEL’in sürüm döngüsü dışındaki hata düzeltmelerini kabul edin
- Kaynaklara ve yazarlara işaret eden yamalara yorumlar ekleyin
- Kendi önceliklerine karar ver
- Bir bütün olarak CentOS Stream, Fedora ve Linux’a yukarı akışa katkıda bulunmaya devam edin
“Artık bir şeyler yapabiliriz!” Vasquez dedi. “Bizim için tam olarak böyle bir duygu. Kuzey Yıldızımız olarak bire bir uyumluluğu kullandık, bu nedenle yaptığımız şeyle ilgili verdiğimiz her karar, evet ya da hayır, birebir uyumluluğa dayalıydı. Bu pek çok kapıyı açıyor.”
Görünüşe göre bu kapılardan biri, RHEL’den oldukça farklı şekilde yürütülen güvenlik yamaları. AlmaLinux’ta altyapı ekibi lideri ve bir Fedora paket bakımcısı olan Jonathan Wright, yakın zamanda CentOS Stream’e mevcut bir CVE’ye (güvenlik açığı) dayalı bir çekme isteği gönderme deneyimini paylaştı. Red Hat’in kıdemli yazılım mühendisi Michal Ruprich, GitLab’da RHEL’in bu konuyu ele almayı planlamadığını, ancak “müşteri geri bildirimlerine dayalı olarak değerlendirmeye açık tutacağımızı” söyledi. Wright tarafından daha fazla sorgulandığında Ruprich, düşük veya orta önemdeki güvenlik açıklarının “müşteri veya diğer iş gereklilikleri varsa talep üzerine” ele alındığını yanıtladı.
Elbette daha fazla bağlam vardı, ancak o an, yeni AlmaLinux için bir tür kavram kanıtı işlevi gördü. “Yapabilmeyi istediğimiz şeyin, bunun olmasını umduğumuz şeyin bir örneği… Bunu şimdi düzeltebiliriz. Beklememize gerek yok.”
Red Hat yanıt veriyor
Red Hat, ilk duyurusundan kısa bir süre sonra, takip eden bir blog gönderisinde “kendi çıkarları için yeniden paketlemek isteyenler (RHEL)” diye seslenmeye özen gösterdi. Red Hat’in kendisini desteklemeden RHEL yeniden yapılandırmalarını kullanan “büyük veya çok büyük BT kuruluşlarına” atıfta bulunan şirket, “bir RHEL yeniden yapılandırmasında değer bulmadığını” söyledi.
Red Hat’e, AlmaLinux işletim sistemi değişiminin ardından yeniden yapılanmalar hakkında söyleyecek başka bir şeyi olup olmadığını sordum. Güvenlik yamasına verilen “müşteri geri bildirimi” yanıtını da sordum. Red Hat’in çekirdek platformlar başkan yardımcısı Mike McGrath bir açıklama ile yanıt verdi. McGrath, kaynak değiştikten sonra geri bildirimi duyduktan sonra “açık kaynağa olan bağlılığımızı yeniden teyit etmek” istediğini yazdı. Red Hat dedi”yerine getirir ve çoğu durumda tüm lisans yükümlülüklerimizi aşar,” tüm Red Hat ürünleri için kaynak kodunun kullanıma sunulduğu ve Red Hat müşterilerinin RHEL’e kaynak erişiminin devam ettiği. McGrath ayrıca Red Hat Universal Base Image, ücretsiz Bireysel Geliştirici aboneliği ve Teams aboneliklerinin açık kaynak hedeflerini gerçekleştirdiğini belirtti.
McGrath, “Bütün bu seçeneklerle, yalnızca ‘hata için hata’ uyumlu klonlar oluşturmak amacıyla, ticari markalı materyalimizden arındırılmış başka bir yerde kaynak kodu sağlamak için herhangi bir neden görmüyoruz,” diye yazdı. “Bunun yerine, iyileştirmelerin mümkün olduğu CentOS Stream’de birlikte çalışmayı tercih ederiz. Daha önceki alt topluluklardan en az biri zaten CentOS Stream kaynaklarından çalışma kararı aldı ve bu değişimi alkışlıyoruz ve nihayetinde ticari anlamda rekabet etsek bile onlarla işbirliği yapmaya can atıyoruz. Farklılaştırılmış rekabet, sağlıklı bir ekosistemin işaretidir.”
Öyleyse, bir CVE düzeltmesi aracılığıyla CentOS Stream’i iyileştirmeye yardımcı olacak böyle bir teklifin yakın zamanda reddedilmesine ne oldu? McGrath buna özellikle değindi.
McGrath, “RHEL’i oluşturmak inanılmaz derecede karmaşık ve yoğun kaynak gerektiriyor; on binlerce hareketli parça var ve bunların tümü CentOS Stream’de sergileniyor,” diye yazdı. “Üretim istikrarına önem verdiğimiz için, her yamayı veya birleştirme talebini hemen alamıyoruz – bu, bir AlmaLinux katılımcısından gelen bir CVE yamasını çevreleyen son sorunun can alıcı noktasıdır. Gönderim sırasında, CVE’nin genel bir önem değerlendirmesi yapılmamıştı ve Red Hat da bağımsız değerlendirmesini tamamlamamıştı. Birleştirme talebini kapatmadık ve gelecekte dahil edilmek üzere değerlendirmeye devam ettik.”
McGrath, “Fedora’ya da zaten kabul edildi; bu, sonunda RHEL’e dahil edileceği anlamına geliyor,” diye yazdı. “Kurumsal Linux söz konusu olduğunda, kasıtlı, öngörülebilir ve kapsamlı olmak çok önemlidir – bu, destekleyici yukarı akış topluluğunda bile bu sürecin gösterdiği şeydir.”