Phản ứng việc TPP cấm mở mã nguồn

TPP reactions to banning source-code disclosure

November 6 2015

Theo: http://www.nationalmagazine.ca/Blog/November-2015/TPP-reactions-to-banning-source-code-disclosure.aspx

Bài được đưa lên Internet ngày: 06/11/2015

Xem thêm: TPP, ACTA, bằng sáng chế phần mềm và hơn thế nữa.

Xem thêm bài có liên quan tới Cory Doctorow:

• Cuộc chiến sắp tới về Tính toán Mục đích Chung;
• Cory Doctorow sẽ đẩy tới sự kết thúc DRM;

Trong số các phản ứng tiêu cực sau việc phát hành văn bản đầy đủ hiệp định thương mại TPP, có sự khiếp đảm đặc biệt về sự cấm yêu cầu chuyển giao, hoặc truy cập, tới mã nguồn của các phần mềm như là điều kiện cho sự nhập khẩu, phân phối và bán hoặc sử dụng nó trong các sản phẩm ở một quốc gia thành viên. Cory Doctorow lắc đầu:

Vì phần mềm đang trở nên được tích hợp nhiều hơn vào các ô tô và các tòa nhà và các thiết bị y tế (và mọi thứ khác), nhiều chính phủ đã ban hành các chính sách mua sắm yêu cầu các nhà thầu mở và/hoặc xuất bản mã nguồn của các sản phẩm họ cung cấp cho các cơ quan nhà nước. Ví dụ, nếu Volkswagen từng cung cấp một đội tàu động cơ diesel cho cơ quan Dịch vụ Công viên Quốc gia, thì chính phủ có thể nói cho họ rằng họ phải chuyển mã nguồn của họ sao cho nó có thể được kiểm toán đối với “các thiết bị có khiếm khuyết” (defeat devices), hoặc Chrysler có lẽ phải mã mã nguồn trong các chiếc xe Jeep của họ trước khi chúng được bán cho Quân đội, điều có thể làm cho chúng được an toàn chống lại các cuộc tấn công qua Internet vào các thiết bị lái và phanh.

Nếu điều này là kỳ dị, thì hãy nghĩ về các dạng mua sắm khác. Nếu một chính phủ ủy thác cho nhà thầu tư nhân tạo ra một tòa nhà, thì nhà thầu đó có lẽ sẽ không được phép giữ bí mật các công thức toán học được sử dụng để tính toán các tải trọng nén (thậm chí nếu có các nguyên tắc thiết kế kỹ thuật sở hữu độc quyền có thể giúp cho hãng kiếm tiền). Phần sụn (firmware) cho một động cơ hoặc một hệ thống điều hòa không khí, quạt mát, nung nóng - HVAC (heating, ventilating, and air conditioning; also heating, ventilation, and air conditioning) có thể làm cho các ô tô và các tòa nhà không có khả năng sử dụng được hoặc thậm chí chết người - thì vì sao tiền của nhà nước lại nên được bỏ vào hạ tầng được sản xuất với các phương pháp bí mật và mù mờ chứ?

Như chúng ta đã thấy với “các thiết bị có khiếm khuyết” của Volkswagen (VW), sự mở ra và xuất bản phần mềm cũng là cần thiết để đánh giá tỉ mỉ các thiết bị theo quy định, giống như các hệ thống bức xạ. Là hợp lý đối với các nhà điều chỉnh pháp luật để yêu cầu rằng mã nguồn cho các dạng thiết bị đó được làm cho sẵn sàng cho sự thẩm tra của công chúng như là một điều kiện phê chuẩn để sử dụng trong các đường biên giới của một quốc gia.

Klint Finlay lưu ý rằng Volkswagen, là một công ty Đức, sẽ không có khả năng để viện dẫn tới sự cấm đoán đó. Nhưng các nhà sản xuất ô tô của Nhật Bản và Hàn Quốc có khả năng có thể:

Đề xuất đó bao gồm một ngoại lệ cho hạ tầng sống còn, nhưng còn chưa rõ liệu phần mềm liên quan tới các tình huống sống hoặc chết, như các ô tô, các máy bay, hay các thiết bị y tế có nằm trong số đó hay không.

Việc ép buộc các công ty nước ngoài xuất bản mã nguồn của họ sẽ không nhất thiết giải quyết được vấn đề gian lận hoặc phần mềm có lỗi. Các vấn đề khổng lồ về an toàn từng được biết nán lại hàng năm trong các dự án nguồn mở mà từng có ít sự kiểm toán an toàn. Và có các cách thức để khuyến khích các công ty phát hành mã nguồn của họ mà không liên quan tới việc vượt qua được các luật nhập khẩu. Nhưng TPP, như được viết, có thể loại bỏ một lựa chọn mạnh mẽ trong việc đấu tranh để mở ra Internet của Vạn vật (Internet of Things).

Stewart Baker nghĩ rằng sự cấm không có chỗ trong một hiệp định thương mại và là thiển cận:

Ngay bây giờ, đây là một biện pháp mà các công ty phần mềm của Mỹ mong muốn. Điều đó là vì chúng ta làm ra hầu hết các phần mềm thị trường đại chúng trong thị trường. Nhưng điều đó có khả năng sẽ thay đổi, đặc biệt khi nói tới sự dễ dàng đi vào các thị trường ứng dụng cho điện thoại thông minh. Chúng ta đang muốn bảo vệ chống lại sự sản xuất các phần mềm độc hại trong các phần mềm như vậy. Yêu cầu thẩm tra mã nguồn là yêu cầu khắt khe. Nếu các quốc gia khác có thể thẩm tra mã nguồn của nước Mỹ, thì họ sẽ thấy nó dễ dàng hơn để nhặt ra các lỗi về an toàn, thế mà chính phủ Mỹ muốn giữ cho các quốc gia khác khỏi việc làm điều đó. Nhưng tôi nghi ngờ các cơ quan an toàn của Mỹ lại thấy thuận tiện cho phép Việt Nam viết các ứng dụng mà kết quả nằm trong các điện thoại của các nhân viên của họ mà không có khả năng để thẩm tra nguồn. Nói ngắn gọn, đây là lời kêu gọi chính sách khắt khe mà có khả năng trông hoàn toàn khác trong 5 năm tới so với bây giờ.

Điều này giải thích vì sao nó là chủ đề tồi tệ cho một hiệp định thương mại. Các cuộc thương thảo đã vượt ra khỏi các thương thảo về ưu đãi thuế quan đơn giản và trở thành “các rào cản thương mại phi thuế quan” - điều có thể là bất kỳ điều gì doanh nghiệp quốc tế không thích đối với các chính sách của các quốc gia khác.

Among the negative reactions following the release of the full text of the TPP trade deal, there is particular consternation about the ban against requiring the transfer of, or access to, source code of software as a condition for its import, distribution, sale or use in products in a member country. Cory Doctorow shakes his head:

As software becomes more tightly integrated into cars and buildings and medical devices (and everything else), many governments have enacted procurement policies requiring contractors to disclose and/or publish the sourcecode of the products they supply to public bodies. For example, if Volkswagen were to supply a fleet of diesels to the National Parks Service, the government might tell them that they have to turn over their source-code so that it can be audited for "defeat devices," or Chrysler might have to disclose source on their jeeps before they're sold to the Army, which could result in them being made secure against over-the-Internet attacks on steering and brakes.

If this sounds weird, think of other kinds of procurement. If a government commissions a private contractor to produce a building, the contractor wouldn't be allowed to keep the mathematics used to calculate load-stresses a secret (even if having proprietary engineering principles could make the firm for money). The firmware for an engine or an HVAC system could render cars and buildings unusable or even deadly -- why should public money be spent on infrastructure produced with secretive and opaque methodologies?

As we saw with the VW "defeat device," disclosure and publication of software is also necessary for a thorough evaluation of regulated devices, like emissions systems. It would be reasonable for regulators to demand that source code for these sorts of devices be made available for public inspection as a condition of approval for use within a nation's borders.

Klint Finlay remarks that Volkswagen, being a German company, wouldn’t be able to invoke the ban. But Japanese and South Korean automakers possibly could:

The proposal includes an exception for critical infrastructure, but it’s not clear whether software involved in life or death situations, such as cars, airplanes, or medical devices would be included.

Forcing companies to publish their source code won’t necessarily solve the problem of cheating or buggy software. Huge security problems have been known to linger for years in open source projects that had too few security audits. And there are ways to encourage companies to release their source code that don’t involve passing import laws. But the TPP, as written, would remove one powerful option in the fight to open the Internet of Things.

Stewart Baker thinks the ban has no place in a trade deal and is shortsighted:

Right now, this is a measure US software companies want. That’s because we make most of the mass market software in the market. But that’s likely to change, especially given the ease of entry into smart phone app markets. We’re going to want protection against the introduction of malware into such software. The question of source code inspection is a tough one. If other countries can inspect US source code, they’ll find it easier to spot security flaws, so the US government would like to keep other countries from doing that. But I doubt US security agencies are comfortable letting Vietnam write apps that end up on the phones of their employees without the ability to inspect the source. In short, this is a tough policy call that is likely to look quite different in five years than it does today.

Which is why it’s a bad topic for a trade deal. Trade negotiations have sprawled out of simple tariff deals and into “nontariff trade barriers” — which can be anything international business doesn’t like about other countries’ policies.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com