"ลูกค้าแบบชำระเงินของเราต้องการ X คุณจะแก้ให้เมื่อไร?"
(twitter.com/maximilianhils)- กรณีผู้ใช้ระดับองค์กรรายหนึ่งที่มีลูกค้าในอุตสาหกรรมที่มีการกำกับดูแล (เช่น ธนาคารและหน่วยงานรัฐบาลกลาง) เรียกร้องกำหนดการรีลีสถัดไปของเครื่องมือโอเพนซอร์ส mitmproxy ในอิชชูสาธารณะ พร้อมกดดันว่าลูกค้าของบริษัทตนไม่สามารถใช้ซอฟต์แวร์ได้ เนื่องจากมีช่องโหว่ระดับ High และ Critical ที่เป็นที่ทราบแล้ว
- ช่องโหว่ดังกล่าวอยู่ในส่วนของไลบรารีที่ mitmproxy ไม่ได้ใช้งาน จึงเป็นสถานการณ์ที่ไม่มีผลกระทบต่อผู้ใช้จริง
- เมนเทนเนอร์ไม่ได้ปฏิเสธคำขอ แต่ตอบว่าหากต้องการรีลีสแพตช์อย่างทันท่วงที ก็ควรทำ สัญญาซัพพอร์ตแบบชำระเงิน (support contract) พร้อมชี้ให้ดูอีเมลในโปรไฟล์
- ผู้ใช้ระดับองค์กรมองคำตอบนี้ว่าเป็น "เรื่องล้อเล่น หรือความพยายามกรรโชกที่พรางไว้อย่างแนบเนียน" และส่งอีเมลประท้วง
- ประเด็นสำคัญคือ แม้คำถามเรื่องกำหนดการรีลีสจะสมเหตุสมผล แต่จำเป็นต้องมี ท่าทีแบบร่วมมือ เช่น "จะช่วยได้อย่างไรผ่านการมีส่วนร่วมหรือการสนับสนุนเงินทุน" และผู้เขียนคอมเมนต์เดิมได้ส่งคำขอโทษอย่างจริงใจในภายหลัง
เบื้องหลังเหตุการณ์
- ตามคำอธิบายบริบทที่แนบมา มี ช่องโหว่ในไลบรารี หนึ่งที่ถูกแจกจ่ายร่วมกับ mitmproxy แต่ช่องโหว่นั้นอยู่ในส่วนที่ mitmproxy ไม่ได้ใช้ จึง ไม่มีผลกระทบต่อผู้ใช้จริง
- หลังจากประเด็นนี้กลายเป็น กระแส (went viral) ภายนอก ได้มีการอธิบายบริบทเพิ่มเติมแล้ว
คำเรียกร้องแรกของผู้ใช้ระดับองค์กร (อิชชูบน GitHub)
- เมื่อ 16 ชั่วโมงก่อน ผู้ใช้คนหนึ่งกล่าวถึงสมาชิกโปรเจกต์อีกคนคือ @Prinzhorn และถามถึง วันเป้าหมาย (target date) สำหรับรีลีสถัดไป
- อธิบายว่าลูกค้าใน อุตสาหกรรมที่มีการกำกับดูแล (regulated industries) เช่น ธนาคารและหน่วยงานรัฐบาลกลาง ถูกข้อกำหนดห้ามใช้ซอฟต์แวร์ที่มีช่องโหว่ระดับความรุนแรง High หรือ Critical ที่เป็นที่ทราบแล้ว
- ระบุว่าบริษัทต้องการกำหนดจุดยืนของตนเองเกี่ยวกับการรอคอย (waiting) แต่จำเป็นต้องมี กำหนดการเป้าหมายในรูปแบบใดรูปแบบหนึ่ง
คำตอบของเมนเทนเนอร์ mhils
- สมาชิก mhils ตอบเมื่อ 15 ชั่วโมงก่อน โดยเสนอว่าหากสนใจ รีลีสแพตช์อย่างทันท่วงที เพื่อให้เป็นไปตามข้อกำหนดด้านคอมพลายแอนซ์ของบริษัท ก็ยินดีตั้งค่าสัญญาซัพพอร์ตให้
- แจ้งว่าข้อมูลติดต่ออยู่ที่ อีเมล ในโปรไฟล์ (รวมสัญลักษณ์ ":-)" ไว้ด้วย)
อีเมลประท้วง ("Concerning response")
- ต่อมา มีอีเมลหัวข้อ "Concerning response" ถูกส่งจากที่อยู่โดเมน us.ibm.com ไปยัง github@hi.ls (ระบุวันที่ Jul 14, 2023)
- ขึ้นต้นว่า "Mr. Hils" และระบุว่าตั้งใจจะอธิบายคำขอเรื่องกำหนดการเป้าหมายให้ชัดขึ้น เพื่อให้ได้ คำตอบโดยตรง แทนที่จะทำให้เรื่องบานปลายหรือทำให้ GitHub issue tracker รกด้วยถ้อยคำที่ไม่จำเป็น
- ระบุว่าหวังว่าอีเมลติดตามฉบับนี้จะไม่ถูกมองว่าไม่พอใจ เพราะนั่น ไม่ใช่ เจตนา
- ในส่วนที่ถูกเน้น ระบุว่าสมมติว่าคำตอบของเมนเทนเนอร์เป็น เรื่องล้อเล่น ไม่ใช่คำตอบอย่างเป็นทางการของโปรเจกต์ หรือที่แย่กว่านั้นคือ ความพยายามกรรโชกที่พรางไว้อย่างแนบเนียน (thinly veiled extortion attempt) (จากนั้นประโยคขาดช่วงระหว่างตรวจเอกสารทางการของโปรเจกต์)
สรุปจุดยืนของเมนเทนเนอร์
- ยืนยันชัดเจนว่าคำตอบนั้น ไม่ใช่เรื่องล้อเล่น
- แนวทางแบบ "ลูกค้าแบบชำระเงินของเราต้องการ X คุณจะแก้ให้เมื่อไร" อาจ ไม่ใช่วิธีที่ดีที่สุด ในการแนะนำตัวกับโปรเจกต์โอเพนซอร์ส
- ยอมรับว่าคำถามเรื่องกำหนดการรีลีสเองไม่ได้น่ารำคาญ และเป็น คำถามที่สมเหตุสมผล (valid)
- แต่ประเด็นสำคัญคือ บริบทควรเป็น "เราสนใจเรื่องนี้ จะช่วยให้เกิดขึ้นได้อย่างไร" (ผ่านการมีส่วนร่วมหรือเงินทุน) ไม่ใช่ "คุณกำลังก่อปัญหาให้ลูกค้าของเรา"
ปิดท้าย
- ผู้เขียนคอมเมนต์เดิมได้ส่ง คำขอโทษอย่างจริงใจ (genuine apology) มา และเมนเทนเนอร์รู้สึกขอบคุณจากใจจริง
- ขอให้ทุกคน ตั้งสมมติฐานว่าผู้อื่นมีเจตนาดี (assume good intentions) และปฏิบัติต่อกันด้วยความกรุณา
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
ถ้าอ่านอีชูนี้https://github.com/mitmproxy/mitmproxy/issues/6051 จะเห็นว่าคำขอของ IBM สมเหตุสมผลกว่าที่เห็นในทวีตมาก
ปัญหาคือมี CVE อยู่ใน dependency ของ mitmproxy และแม้ว่า mitmproxy จะอัปเดต dependency ไปแล้วตั้งแต่เดือนมีนาคม แต่จนถึงตอนนี้ก็ยังไม่ได้ออกรุ่นเสถียรที่รวมอัปเดตนั้นเข้าไป ฝั่ง IBM กำลังถามว่า “มีแผนจะติด release tag เมื่อไร มีกรอบเวลาที่จะสื่อสารกับลูกค้าได้หรือไม่”
โดยเฉพาะอย่างยิ่ง พวกเขาไม่ได้ถามว่า “จะซ่อมเมื่อไร” สิ่งที่ต้องแก้จริง ๆ ไม่มีแล้ว และคำถามใกล้เคียงกว่าคือ “มีแผนจะออกรุ่นใหม่ที่รวมการอัปเดต dependency นี้เมื่อไร”
ผมไม่คิดว่าคำถามแบบนี้ไม่สมควรนะ แน่นอนว่าถ้าต้องการให้การแก้ไขแบบนี้ถูกปล่อยออกมาภายในช่วงเวลาที่กำหนด การขอสัญญาซัพพอร์ตก็ไม่ใช่เรื่องไม่สมเหตุสมผล แต่การตอบทันทีว่า “หากต้องการสัญญาซัพพอร์ตให้ติดต่อทางอีเมล” ก็ดูแรงไปหน่อย
Maximilian ไม่มีหน้าที่ต้องให้กำหนดการออกรุ่นกับคนที่ไม่ได้จ่ายเงิน และถ้า IBM ต้องการไทม์ไลน์จริง ๆ การเสนอให้จ่ายค่าใช้จ่ายก็ไม่ได้แปลกอะไรเลย ถ้า IBM มองว่าสำคัญขนาดนั้น วันนี้เลยก็สามารถทำ internal release ของ mitmproxy เองได้
เหตุผลที่ผมบอกว่า “หากต้องการสัญญาซัพพอร์ตให้ติดต่อทางอีเมล” คือ 1) ผมได้บอกไว้แล้วในเธรดนั้นว่าจะไม่ออกรุ่นแพตช์สำหรับเรื่องนี้ และ 2) อีกฝ่ายเน้นย้ำถึงผลกระทบที่มีต่อลูกค้าที่จ่ายเงินของพวกเขา
ดังนั้นตอนนั้นจึงไม่มีอะไรให้พูดมากไปกว่านั้น ผมเห็นด้วยว่าน่าจะพูดให้ดีกว่านี้ได้ แต่ก็ไม่รู้สึกว่าคำตอบของผมเกินเลยอย่างสิ้นเชิง
ตัว CVE เองก็เป็นข้อมูลมั่ว และพวกเราก็ไม่ได้ใช้ส่วนนั้นของ dependency นี้
ในเมื่อผู้ร้องขอได้ประโยชน์จากแรงงานฟรี ทำไมผู้ดูแลต้องทำงานฟรีด้วย
สิ่งที่ไม่สมเหตุสมผลคือท่าทีที่ FrugalGuy มองว่าเป็นเรื่องปกติ ถ้าจะเรียกร้องให้ผู้ดูแลโอเพนซอร์สทำงานฟรี แล้วพอไม่ได้ดั่งใจก็กล่าวหาว่าเป็นการรีดไถ ก็ต้องเป็นคนหน้าด้านในระดับพิเศษทีเดียว คุณไม่สามารถบังคับข้อเรียกร้องกับอาสาสมัครที่ทำโปรเจ็กต์ free/open source แบบพาร์ตไทม์ได้
OP เองนะ เพื่อให้ชัดเจน คำถามเรื่องการออกรุ่น นั้นไม่มีปัญหาเลยและสมเหตุสมผล
แต่บริบทควรเป็นว่า “เราใส่ใจเรื่องนี้ แล้วจะช่วยให้มันเกิดขึ้นได้อย่างไร” ไม่ว่าจะด้วยการมีส่วนร่วมหรือค่าใช้จ่ายก็ตาม ไม่ควรเป็น “เพราะคุณ ลูกค้าของเราจึงมีปัญหา”
ผมไม่ได้อยากให้ผู้ร้องขอชีวิตพังเพราะพูดผิดไปคำหนึ่ง แต่อยากให้บริษัทยักษ์ใหญ่มีความสัมพันธ์ที่ดีกับซอฟต์แวร์ free/open source
การที่เขาเสนอเรื่องสัญญาแบบนั้นจริง ๆ แล้วก็ค่อนข้างใจดี FrugalGuy อาจได้รับคำตอบว่า “ส่ง pull request มา” ก็ได้ และไม่รู้ว่าเขาจะชอบแบบนั้นไหม
แต่ถ้าปัญหาคือไม่มีการออกรุ่นสำหรับการแก้ไขที่ทำเสร็จไปแล้ว ผมก็ไม่ค่อยเข้าใจว่าจะใช้การมีส่วนร่วมหรือเงินมาแก้เรื่องนั้นได้อย่างไร
ฟังดูเหมือนพวก คนโง่ด้านความปลอดภัยสารสนเทศ แบบฉบับ ที่ไม่รู้ด้วยซ้ำว่าสิ่งที่ตัวเองจะ “แก้” คืออะไร พอระบบอัตโนมัติแจ้งว่ามี CVE ก็คิดว่าต้อง “แพตช์” ทันที
พวกเขาไม่ตรวจเลยว่าข้ออ้างใน CVE คืออะไร หรือรูปแบบการใช้งานของตัวเองมีความเสี่ยงจริงหรือไม่ ไม่รู้ ไม่สนใจ และไม่ใช่โปรแกรมเมอร์ สิ่งเดียวที่รู้คือ ต้องลบเครื่องหมายถูกในเช็กลิสต์ให้ได้
เคยมีเรื่องคล้ายกันกับ h2database เช่นกัน มี “นักวิจัยด้านความปลอดภัย” คนหนึ่งพบว่าถ้าคุณทำสิ่งที่เขาบอกว่าไม่ควรทำ ก็จะเกิดเรื่องไม่ดีขึ้น แล้วก็ยังไปเรียกร้อง CVE จนได้มา ถ้าดูละเอียดจะเห็นว่าเป็นเรื่องเหลวไหล แต่สำหรับคนพวกนี้ สิ่งสำคัญมีแค่ว่า CVE นั้นมีอยู่
คำพูดของนักพัฒนา h2database: https://github.com/h2database/h2database/issues/3686#issueco...
“ผมไม่ค่อยเข้าใจว่าทำไมต้องเห็นอกเห็นใจแม้แต่นิดเดียวกับ ‘บริษัทใหญ่’ ที่ใช้โปรเจกต์โอเพนซอร์สซึ่งพัฒนาโดยอาสาสมัคร จะจ้างใครสักคนด้วยเงินบริษัทมาจัดการก็ได้ หรือไม่ก็จ่ายเงินให้ไลบรารีเชิงพาณิชย์ที่คล้ายกัน”
ต่อให้มีอำนาจให้ข้อยกเว้นในบางกรณี แต่การจะอธิบายเหตุผลของการตัดสินใจนั้นอาจต้องเขียนเอกสารเพิ่มอีก ซึ่งเอกสารเพิ่มนั้นทำให้ช้าลง และส่งผลเสียต่อ KPI ของตัวเอง
“ถ้าส่งรหัสผ่านผ่าน command line โปรเซสอื่นในระบบสามารถเห็นได้ด้วย
ps”ก็แน่อยู่แล้ว ถ้านี่นับเป็น CVE ระดับ “ความรุนแรงสูง” งั้นฉันก็ควรเรียกตัวเองว่านักวิจัยด้านความปลอดภัยได้เหมือนกัน ฉันนึกถึงแอปอย่างน้อยห้าหกตัวที่ยอมให้ทำแบบเดียวกัน พร้อมแค่ติดคำเตือนว่า “อย่าทำแบบนี้”
ทีมความปลอดภัยสารสนเทศยก ช่องโหว่ ที่โผล่ในรายงานขึ้นมา แล้วผู้จัดการก็กลัว
นักพัฒนาต้องคอยอัปเดตตลอด แม้แต่ dependency ที่ไม่ได้รันใน production ก็ยังต้องทำ ขอข้อยกเว้นได้ แต่ก็เป็นปัญหาปวดหัวอีกแบบหนึ่ง
แล้วจากนั้นผู้จัดการก็สงสัยว่าทำไมงานพัฒนาถึงช้าลง
และฉันยังสงสัยด้วยซ้ำว่ามีใครตรวจคำตอบที่เหลือจริง ๆ หรือเปล่า
มีอยู่ช่วงหนึ่งที่โปรเจกต์หนึ่งของฉันจู่ ๆ ก็มีคอมเมนต์แนว “จะซ่อมเมื่อไหร่”, “ฉันก็ได้รับผลกระทบเหมือนกันและเรื่องนี้สำคัญ” เพิ่มเข้ามาอย่างรวดเร็ว ความสนใจแบบฉับพลันนั้นค่อนข้างแปลก
แต่แล้วในช่วงเวลาใกล้กัน ฉันก็ได้รับอีเมลขอโทษว่าหัวหน้าที่บริษัทแห่งหนึ่งสั่งให้พนักงานกดดันฉัน โดยแกล้งทำเหมือนว่ามีคนได้รับผลกระทบมากกว่าความเป็นจริงมาก
ดูเหมือนว่าจะมีคนเรียนรู้มาว่า น้ำเสียงก้าวร้าวหรือข่มขู่ ในที่ทำงานของตัวเองได้ผลมาก แต่ไม่เข้าใจว่าตำแหน่งในการต่อรองที่นี่ต่างออกไปโดยสิ้นเชิง
ระหว่าง “ฉันต้องรู้ว่าจะเสร็จเมื่อไหร่เพื่อจะได้วางแผนได้” กับ “ฉันได้เงินจากงานของคุณ เพราะงั้นคุณต้องทำอันนี้ ช่วยรีบหน่อย” มีความต่างที่ละเอียดอ่อนอยู่
ถ้าผู้ขอถามโดยไม่ใส่ข้อมูลพื้นหลังเข้าไป น้ำเสียงก็คงใกล้แบบแรกมากกว่า และไกลจากแบบหลังมากกว่า
ถ้าเหตุผลนั้นดูสำคัญกับผู้ใช้อีกหลายคนด้วย ก็อาจช่วยให้ผู้ดูแลตัดสินใจได้ว่าจะเร่งเพิ่มฟีเจอร์หรือแก้บั๊กนั้นเร็วขึ้นหรือไม่ ถ้ามีวิธีเลี่ยงปัญหา ข้อมูลนั้นก็อาจช่วยหาเจอได้เช่นกัน
การเรียกว่านั่นคือการกรรโชกนักพัฒนานั้นไม่ยุติธรรม แต่ฉันคิดว่าข้อความแรกเองไม่ได้มีปัญหาอะไร
ระหว่างที่ใช้โอเพนซอร์สแล้ว ยังไปเรียกร้องซัพพอร์ตอีกนั้น แสดงถึง ความรู้สึกว่าบริษัทมีสิทธิ์โดยชอบ อย่างมหาศาล อยากให้ไลเซนส์ที่มีข้อจำกัดการใช้งานถูกใช้อย่างแพร่หลายกว่านี้ และอยากให้ OSI ไม่ได้เอาแต่พูดว่า “นั่นไม่ใช่โอเพนซอร์ส!!!” เฉยๆ
ไลเซนส์แบบนั้นช่วยป้องกันสถานการณ์ลักษณะนี้ได้
ไม่ว่าอย่างไร การที่ OSI และ FSF ยืนกรานแข็งกร้าวในเรื่องนี้ก็เป็นสิ่งที่ดี ถ้าลำดับความสำคัญของคุณไม่ตรงกับพวกเขา แล้วทำไมพวกเขาต้องเปลี่ยนตัวเองเพื่อทำให้คุณพอใจด้วย
ก็แค่ใช้ไลเซนส์ที่คุณชอบ แม้พวกเขาจะไม่รับรองก็ตาม ไม่เข้าใจว่าทำไมถึงต้องเป็นปัญหา ในเมื่อแต่แรกคุณก็ไม่ได้แชร์คุณค่าร่วมกับพวกเขาอยู่แล้ว ทำไมองค์กรเหล่านั้นต้องมาประทับตรารับรองตัวเลือกไลเซนส์ของคุณด้วย
สำหรับสปอนเซอร์องค์กร การไม่สนับสนุนข้อจำกัดการใช้งานไม่ใช่ข้อบกพร่อง แต่เป็นคุณสมบัติ
รอบๆ นิยามของโอเพนซอร์สและซอฟต์แวร์เสรีก็มีความยึดติดแบบหลักคำสอนอย่างหนักเช่นกัน ถ้าคุณไม่ทำตามนิยามนี้ ก็พร้อมจะโดนรุมโจมตีได้ง่าย และนิยามเหล่านี้มักถูกปฏิบัติราวกับเป็นคัมภีร์ ผู้สนับสนุนจำนวนมากไม่ยอมรับแม้แต่ความเป็นไปได้ที่มันอาจต้องปรับให้เข้ากับความเป็นจริงของปี 2023
ต่อให้พยายามสร้างคำใหม่เพื่อหลีกเลี่ยงความขัดแย้ง นักเคลื่อนไหวฝั่งโอเพนซอร์สและซอฟต์แวร์เสรีก็ยังยืนกรานจะใช้ภาษาของตัวเองและควบคุมการเล่าเรื่องต่อไป ภาษานั้นถูกออกแบบให้มีนัยเชิงลบภายในกลุ่มของพวกเขาเอง
เสรีภาพของผู้ใช้ในการรันซอฟต์แวร์เพื่อวัตถุประสงค์ใดก็ตามคือเสรีภาพข้อ 0 และ Stallman ก็อธิบายไว้อย่างน่าเชื่อมากว่าทำไมข้อจำกัดการใช้งานถึงไม่ช่วยอะไร: https://www.gnu.org/philosophy/programs-must-not-limit-freed...
เช่นเดียวกับข้อปฏิเสธการรับประกัน ซอฟต์แวร์เสรีถูกมอบให้โดยไม่มีเงื่อนไข คุณยังได้รับเสรีภาพในการแก้ไขมันตามต้องการเป็นของแถมอีกด้วย แต่กลับไปเรียกร้องซัพพอร์ตและการบำรุงรักษาฟรีด้วยนั้นเป็นเรื่องเสียมารยาท ต่อให้เปลี่ยนไลเซนส์ ก็ดูไม่น่าจะทำให้คนเสียมารยาทแบบนั้นหายไปได้
และก็อาจมีทางเลือกที่เป็นมิตรกับโอเพนซอร์สมากกว่าบริษัทโดยไม่ต้องพึ่งไลเซนส์ก็ได้ เช่น ถ้าใครจะรายงานปัญหาร้ายแรง ก็ต้องเปิดเผยโค้ดที่ใช้ทำให้เกิดปัญหาซ้ำได้
แม้แต่ในยุค 80 ตอนที่ซัพพอร์ตมักให้กันฟรี ก็ได้ยินเรื่องบริษัทที่ทำแบบนี้กับซอฟต์แวร์เถื่อนอยู่บ่อยๆ สิ่งเดียวที่ลดพฤติกรรมแบบนี้ได้คือสัญญาซัพพอร์ตแบบเสียเงิน
การตอบโต้ที่เป็นจริงได้มีเพียงการฟ้องร้องเรื่องละเมิดไลเซนส์ แต่ก็มีนักพัฒนาโอเพนซอร์สไม่มากนักที่มีทรัพยากรจะทำแบบนั้นได้กับบริษัทใหญ่ ไม่ต้องพูดถึงบริษัทระดับบนๆ
พฤติกรรมของ “FrugalGuy” นั้นไม่เป็นมืออาชีพและดูเป็นเด็ก แต่ผู้ดูแล mitmproxy ก็สามารถตอบได้ดีกว่านี้ ด้วยคำตอบที่ทั้งสุภาพและหนักแน่น โดยไม่เปิดช่องให้เกิดความเข้าใจผิดหรือดราม่า
“ตามไลเซนส์ของ mitmproxy ซอฟต์แวร์นี้ให้มาแบบ as-is โดยไม่มีการรับประกัน และผู้ดูแลโครงการก็กำลังติดภารกิจกับลำดับความสำคัญและงานส่งมอบอื่นอยู่ในขณะนี้”
“ดังนั้น คำกล่าวใน GitHub issue tracker เพียงอย่างเดียวจึงไม่เพียงพอที่จะใช้กำหนดลำดับความสำคัญของ issue วิธีเดียวที่จะยกระดับความสำคัญของ issue ได้คือทำสัญญาซัพพอร์ต ซึ่งมีให้ที่ [here] และเรายินดีหารือรายละเอียดเพิ่มเติม”
ถ้าเทียบกับเงินเดือนวิศวกร 1 ปี สำหรับบริษัทบางขนาดแล้วมันแทบไม่ใช่เงินเลย และก็ดูเหมือนน่าจะแก้ได้ภายในไม่กี่สัปดาห์ ซึ่งก็นับว่ายุติธรรม
หรือถ้าไม่อยากจ่ายเงินจริงๆ ก็แค่จัดวิศวกรของบริษัทตัวเองมาหนึ่งคนสักสองสามเดือน เพื่อแพตช์ส่วนที่ลูกค้าแบบจ่ายเงินต้องการ แล้วส่งกลับขึ้นไปยัง upstream
แก้ไข: การบอกว่าเท่ากับค่าตอบแทนวิศวกร 1 ปี เป็นแค่การประเมินที่จำกัดและไม่แม่นยำของฉันเอง ฉันไม่ได้อยู่ในฐานะจะบอกมูลค่าที่แน่นอนได้ แต่คาดว่าสำหรับวิศวกรที่ไม่คุ้นกับโค้ดเบส ก็น่าจะต้องใช้ความพยายามระดับหลายเดือน
เพียงแต่การทำแบบนั้นอาจก่อ ปัญหาด้าน compliance อื่นตามมา และนั่นก็น่าจะเป็นเหตุผลที่ไม่ได้ทำ แน่นอนว่านั่นไม่ใช่ปัญหาของโปรเจ็กต์โอเพนซอร์ส
https://github.com/mitmproxy/mitmproxy/issues/6051#issuecomm...
การถามง่ายๆ ว่า “มีวันเป้าหมายสำหรับรีลีสถัดไปไหม?” ไม่ใช่ปัญหา เพราะมันไม่ใช่การเรียกร้อง
คำพูดว่า “เรากำลังพยายามสร้างตรรกะภายในเพื่อรอ และต้องการวันเป้าหมายบางอย่าง” นั้น คำว่า “ต้องการ” อ่านได้ว่าไม่ได้เป็นการเรียกร้องไปยังนักพัฒนา mitmproxy แต่เป็นการสะท้อนว่าคนอื่นกำลังเรียกร้องจากเขา
ในคอมเมนต์นี้ เขากำลังขอความช่วยเหลือพร้อมอธิบายแรงจูงใจเชิงธุรกิจและส่วนตัวของคำขอนั้น ก่อนที่จะย้อนกลับมาทางอีเมลพร้อมคำอย่างการขู่กรรโชก มันก็ยังไม่มีปัญหาอะไร
ในโพสต์ต้นฉบับมีทั้งบริบทและนายจ้างรวมอยู่ด้วย เห็นได้ชัดว่าผู้เขียนตั้งใจหลีกเลี่ยงเรื่องนั้น แต่การเอา GitHub issue จริงมาเผยแพร่ก็เป็นพฤติกรรมที่แย่เหมือนกัน
FrugalGuyเนี่ยนะ จนพูดไม่ออก