Co se otevřený software naučil z tržiště
Esej Erica S. Raymonda z roku 1997 na Linuxu a programu fetchmail ukázala, proč otevřený vývoj rychle hledá chyby. Platí to jen s údržbou, důvěrou a pravidly.
Editorial Observer ·
Eric S. Raymond přednesl text „The Cathedral and the Bazaar“ jako přednášku v roce 1997 a brzy poté ho vydal jako esej. Jeho základní protiklad byl zapamatovatelný: katedrála znamenala software stavěný malou uzavřenou skupinou, tržiště software vyvíjený veřejně mnoha přispěvateli. Raymond nepopisoval veškeré programování navždy. Snažil se vysvětlit, proč se Linux, který Linus Torvalds začal v roce 1991, stal funkčním jádrem operačního systému díky otevřené a rychlé spolupráci.
Praktickým příkladem v eseji byl fetchmail, Raymondův program pro stahování pošty. Autor zveřejňoval rané verze, poslouchal uživatele, přijímal opravy a bral hlášení chyb jako součást vývoje, ne jako ostudu. Slavná věta „při dostatku očí jsou všechny chyby mělké“, později označovaná jako Linusův zákon, vystihla mechanismus: mnoho nezávislých testerů používá různé počítače, návyky a okrajové případy, takže vady vyplavou rychleji, než by je dokázal napodobit jeden tým.
 *The Cathedral and the Bazaar dává článku konkrétní vizuální oporu. Kredit: Wikimedia Commons.*
Tento mechanismus stojí na více věcech než na ochotě. Otevřené projekty potřebují čitelný kód, veřejná úložiště, správce schopné odmítat špatné záplaty, pravidla pro hlášení bezpečnostních chyb a licenci, která dovoluje program používat a měnit. Tržiště není nepřítomnost řádu. Je to jiný řád, v němž část kontroly uzavřeného dodavatele nahrazuje revize, pověst a sdílené nástroje. Git, GitHub a průběžné testování později tento vzorec zviditelnily, lidský rozměr však nezmizel.
Esej zasáhla i mimo programátorský svět, protože společnost Netscape ji uvedla mezi vlivy, když v roce 1998 oznámila uvolnění kódu prohlížeče, z něhož vyrostla Mozilla. Manažerům dala jazyk pro věc, kterou vývojáři znali z praxe: uživatelé mohou být spoluobjeviteli problémů, ne jen zákazníky čekajícími na hotovou katedrálu. Dnes Linux běží v telefonech, serverech, cloudech i vestavěných zařízeních a otevřené knihovny nesou velkou část webu.
 *Open-zdrojový software ukazuje širší souvislost příběhu. Kredit: Wikimedia Commons.*
Hranice jsou dnes zřetelnější. Otevřený software může trpět nedostatkem peněz pro správce, opuštěnými balíčky, zmatkem v licencích i bezpečnostními útoky, což v roce 2024 připomněl pokus o zadní vrátka v nástroji xz Utils. Viditelnost sama o sobě neznamená bezpečí a dobrovolníci nejsou nekonečná infrastruktura. Trvalé poučení proto nezní, že tržiště vždy vítězí. Zní, že sdílená kontrola, rychlá zpětná vazba a odpovědná údržba mohou vytvořit silnější software než samotné utajení.
Limity se ukázaly zřetelněji s růstem spolupráce na otevřeném kódu. Veřejný repozitář automaticky nevytvoří bezpečný ani lidsky udržitelný software. Chyba Heartbleed v knihovně OpenSSL, zveřejněná v roce 2014, ukázala, že široce používanou infrastrukturu může udržovat velmi malý tým. Zranitelnost Log4Shell z roku 2021 ukázala, jak jedna javová knihovna pro logování zasáhne firmy i vlády po celém světě. Bazar funguje nejlépe tehdy, když kontrola, financování, dokumentace a správa rostou spolu s používáním.
Proto dnes vedle dobrovolníků záleží i na institucích. Linux Foundation, Apache Software Foundation, Python Software Foundation, GitHub Security Lab a OpenSSF představují pokusy dát sdílenému kódu údržbu, audity a peníze. Mechanismus je pořád rozdělené přispívání, ale omezením je správcovství: někdo musí třídit hlášení, podepisovat vydání, měnit klíče, kontrolovat závislosti a rozhodnout, co se stane, když správce vyhoří.