无处不在的开源,为科技领域带来巨大变革和创新的同时,安全问题也成为全球关注的焦点。最近,来自瑞典斯德哥尔摩市的程序员 Landgren ,就因为看不惯自家孩子学校的 IT 系统(Skolplattform),拉上其他家长一起重构了一个开源的版本 Öppna skolplattformen,由此引发了一场和市政府的“拉锯战”。
Landgren 是瑞典创新咨询公司 Iteam 的开发人员兼首席执行官,作为三个孩子的父亲,他每天都在花费宝贵的时间试图让斯德哥尔摩市的官方学校系统 Skolplattform 正常运转,他希望 Öppna Skolplattformen 的到来能改善 Skolplattform 失败的地方。
一场由 “IT 灾难”校务系统引发的拉锯战
而这个被称为“Skolplattform”的学校 IT 系统,是由瑞典在 2013 年花费约10 亿瑞典克朗(约 1.17 亿美元)采购的,目前已在斯德哥尔摩市 600 所幼儿园和 177 所学校应用。该系统由 18 个独立模块构成,有 5 个外包技术公司共同维护,主要用来登记出勤、记录成绩等,旨在让斯德哥尔摩 500000 多名学生、教师和家长的生活变轻松。
“但这个平台唯一的问题,就是它不起作用”,Landgren 评价称。
Skolplattform 耗资超过 10 亿瑞典克朗(约 1.17 亿美元),但未能达到其最初的目标。家长和教师抱怨该系统的复杂性,该系统的启动被推迟,有报告称项目管理不善,并被称为 IT 灾难(Android 版本的应用程序平均仅1.2星级。)
通过翻阅无数复杂的菜单,Landgren 可以看到他的孩子们在学校做什么。在 2018 年 8 月推出两年后,Skolplattform 系统一直是瑞典首都成千上万家长的眼中钉。“所有的用户和家长都很生气,”Landgren 说,这个系统体验非常差,比如弄清楚孩子们在健身器材里需要什么就是一件非常麻烦的事,还有“该怎么报告孩子生病这件事”简直是一场噩梦。
Landgren 认为,Skolplattform 不应该是这样的。
2020 年 10 月 23 日,Landgren 在推特上发布了一款帽子设计,上面印有“Skrota Skolplattformen”字样,大致翻译为“学校平台上的垃圾”。他开玩笑说,他应该在接孩子放学时戴上这顶帽子。几周后,戴着那顶帽子,他决定自己处理事情。他说:“出于我自己的挫败感,我刚刚开始创建自己的应用程序。”。
他写信给市政府官员,要求查看 Skolplattform 的 API 文档。在等待回复的同时,他登录了自己的账户,试图确定系统是否可以进行反向工程。在短短的几个小时内,他创造了一些行之有效的东西。“我的屏幕上有来自学校平台的信息,”他说。“然后我开始在他们糟糕的 API 上构建 API 。”
这项工作始于 2020 年 11 月底,正值斯德哥尔摩教育委员会因斯科尔平台的“严重缺陷”而被处以 400 万瑞典克朗 GDPR 罚款几天后(当时,瑞典数据监管机构Integritetsskyddsmyndigheten 发现该平台存在严重缺陷,暴露了数十万家长、儿童和教师的数据)。在某些情况下,人们的个人信息可以通过谷歌搜索获得(此后,缺陷已得到修复,上诉时罚款已减少。)
在接下来的几周里,Landgren 与其他同为开发者的学校孩子父母联手策划了一个计划。他们将创建一个开源版本的 Skolplattform,并将其作为应用程序发布,供斯德哥尔摩各地沮丧的家长使用。
在 Landgren 早期工作的基础上,团队打开 Chrome 的开发工具,登录Skolplattform,并记录所有 URL 和有效负载。采用该代码调用平台私有 API 并构建了软件包,这样就可以在手机上运行,基本上在现有的 glitchy Skolplattform 上创建了一个层。
最终打造出了 Öppna Skolplattformen 开放式学校平台,该应用程序于 2021 年 2 月 12 日发布,其所有代码均在 GitHub 上以开源许可证发布。任何人都可以接受或使用代码,对如何使用代码几乎没有限制。
开发者涉及隐私安全问题与市政府“对簿公堂”
但对于该开源程序 Öppna skolplattformen,市政府表示该新系统可能会泄露数据隐私、侵犯版权,多次警告并报警。
官方声称,该应用程序及其联合创始人可能犯下了刑事数据泄露罪,并要求网络犯罪调查人员调查该应用程序的工作原理。这一举动令 Landgren 大吃一惊,他一直在与市政府官员会面,以解决人们对该应用程序的担忧。
Landgren 表示,ÖPPNA SKOLPLATTFORMEN 不是一个复杂的应用程序。虽然官方的学校平台是为瑞典首都参与教育的每个人建立的——200000名家长、23500名学校工作人员和140000名学生,但它的开源替代方案只针对家长。而这款售价1欧元的应用程序在 iPhone 和 Android 上下载了约12500次(平均4.2星),只显示基本信息。
Öppna Skolplattformen 的联合创始人之一 Öbrink 说:“我们展示的一切都是公开的公共信息。”他解释称,当显示学生成绩时,学生成绩会通过应用程序内浏览器显示,而应用程序无法访问任何数据。该应用程序的第一次迭代包括一些家长的个人信息,这些信息可以通过官方平台获得,但后来被删除。
Öbrink 补充道:“这是一种偶然的成功”,“我们从未预料到它会像它那样工作。”他表示,Öppna Skolplattformen 团队与市政府举行了会议,官方可以使用他们的代码和他们版本的应用程序,但“他们不想与我们合作,甚至不想与我们讨论合作,他们只是继续向警方报告。”
同时,Landgren 及家长们还认为, Öppna skolplattformen 所用数据为政府公开信息,且参与调查的安全机构、警方都认为 Öppna skolplattformen 并无数据安全问题。反之,官方版本的软件耗时多年、资金投入巨大,但却漏洞百出,已经引发多次不满。
由此产生了一场“拉锯战”,且最终上升到对于瑞典政府数字化转型和开源协作方式的讨论上。
斯德哥尔摩市教育委员会成员 Holmdahl 承认, Öppna skolplattformen 虽不同于官方应用,但可能更易于家长使用,“用户驱动的 IT 开发很有趣,但必须与保护个人数据的立法和责任相结合。”
市教育部门数字化和 IT 副主管 Hélène Mossberg 在 Öppna skolplattformen 发布前曾透露总体上对该应用持肯定态度,但她仍表示需要对此展开“严格”调查。
目前,双方正在尝试通过许可协议达成合作。现在交易的细节仍在谈判中,该市鼓励开发商在调查完成之前不要发布该应用程序。