Μια νέα έκθεση για μια έρευνα σε πάνω από 1.200 συνεισφέροντες Ανοιχτού Κώδικα δημοσιεύτηκε ως μέρος μιας μεγαλύτερης έρευνας για τη βελτίωση της ασφάλειας και της βιωσιμότητας του Λογισμικού Ανοιχτού Κώδικα.
Ποια είναι τα πιο επείγοντα ζητήματα που σχετίζονται με την ασφάλεια και τη συντήρηση του Ανοιχτού Κώδικα; Πώς να βελτιώσετε την αξιοπιστία των πιο σημαντικών έργων ανοιχτού κώδικα που αποτελούν ακρογωνιαίους λίθους της σύγχρονης ψηφιακής υποδομής; Αυτά είναι μερικά από τα ερωτήματα που οι ερευνητές από το Linux Foundation’s Open Source Security Foundation (OpenSSF) και το Εργαστήριο Επιστήμης Καινοτομίας στο Χάρβαρντ (LISH) στα οποία προσπάθησαν να απαντήσουν στην τελευταία τους έκθεση “Report on the 2020 FOSS Contributor Survey“.
Η έρευνα εστίασε σε διάφορους παράγοντες που σχετίζονται με τους συνεισφέροντες στο λογισμικό ανοιχτού κώδικα: δημογραφικά στοιχεία, κίνητρα, αμοιβές, χρονική δέσμευση, αναγκαία υποστήριξη, τις τρέχουσες δραστηριότητες που σχετίζονται με την ασφάλεια και την παρεχόμενη εκπαίδευση και κατάρτιση. Αυτά τα ζητήματα είναι σημαντικά τόσο για τον ιδιωτικό όσο και για τον δημόσιο τομέα, καθώς τα τρωτά σημεία των έργων Ανοικτού Κώδικα αποτελούν την ίδια απειλή για ποικίλους ενδιαφερόμενους και η παρούσα έκθεση του συντάκτη της έκθεσης μπορεί να μετριάσει αυτούς τους κινδύνους.
Οι βασικές πληροφορίες της αναφοράς περιλαμβάνουν:
- Οι προγραμματιστές λογισμικού ανοιχτού κώδικα συνήθως απασχολούνται με πλήρη απασχόληση (σχεδόν ¾ των ερωτηθέντων αυτής της έρευνας) και οι περισσότεροι από τους μισούς πληρώνονται για την ανάπτυξη λογισμικού ανοιχτού κώδικα. Όπως ανέφεραν στις απαντήσεις τους, τα τρία πιο σημαντικά κίνητρα για τη συνεισφορά σε έργα Ανοιχτού Κώδικα είναι μη χρηματικά – αυτά περιλαμβάνουν την ανάπτυξη ενός απαραίτητου χαρακτηριστικού: την απόλαυση της μάθησης και την άσκηση δημιουργικής, ευχάριστης εργασίας. Αυτό σημαίνει ότι, σύμφωνα με την έκθεση, πρέπει να υπάρχει περισσότερη υποστήριξη για τις διαδικασίες μάθησης για νέους συνεισφέροντες, όπως δωρεάν μαθήματα και ανταλλαγή βέλτιστων πρακτικών, εξισορρόπηση δημιουργικών και ηθικών εργασιών, αλλά και οικονομική βοήθεια όχι μόνο όσον αφορά την πληρωμή στους συνεισφέροντες, αλλά και με τη μορφή ελέγχων ασφαλείας, υπολογιστικών πόρων και ταξιδιών.
- Υπάρχει ανάγκη για υποστήριξη και χρηματοδότηση για την αύξηση της ασφάλειας του Λογισμικού Ανοιχτού Κώδικα, διότι, όπως υποδεικνύεται από την έρευνα, μόνο το 2,27% του χρόνου που αφιερώνεται για τη συνεισφορά στο Ανοιχτό Κώδικα δαπανάται για την αντιμετώπιση θεμάτων ασφαλείας. Προκειμένου να μετριαστούν τα ζητήματα ασφάλειας, θα πρέπει να χρηματοδοτούνται τακτικοί έλεγχοι ασφαλείας, να εφαρμόζονται ασφαλείς πρακτικές ανάπτυξης λογισμικού και να παρέχεται εκπαίδευση ασφαλείας στους εργαζομένους. Άλλες μέθοδοι περιλαμβάνουν προγράμματα σήμανσης και καθοδήγησης, ενσωματώνοντας εργαλεία ασφαλείας και αυτοματοποιημένες δοκιμές ως αναπόσπαστο μέρος της διαδικασίας ανάπτυξης.
- Η διαχείριση των έργων λογισμικού ανοιχτού κώδικα είναι ζωτικής σημασίας. Ενώ υπάρχει μεγαλύτερη συμμετοχή του ιδιωτικού τομέα στην υποστήριξη των υπαλλήλων τους που συμβάλλουν στο λογισμικό ανοιχτού κώδικα, υπάρχει ανάγκη μεγαλύτερης διαφάνειας και μακροπρόθεσμης δέσμευσης για την υποστήριξη κρίσιμων έργων. Η μεταφορά έργων σε μια ουδέτερη διακυβέρνηση ενός ιδρύματος υποδεικνύεται ως ένας καλός τρόπος για να διασφαλιστεί η σταθερότητα και η βιωσιμότητά τους.
- Πάνω από το 45% των εργαζομένων τους επιτρέπεται να συνεισφέρουν ελεύθερα σε έργα ανοιχτού κώδικα, σε σύγκριση με το 35% πριν από δέκα χρόνια. Ωστόσο, οι εταιρείες δεν έχουν πάντα σαφείς κανόνες για τέτοια δέσμευση και θα πρέπει να υπάρχει μεγαλύτερη προώθηση συνεισφορών σε έργα λογισμικού ανοιχτού κώδικα και σαφείς οδηγίες για προγραμματιστές.
Όπως είπε ο Frank Nagle, ένας από τους συγγραφείς της έκθεσης και επίκουρος καθηγητής στο Harvard Business School, «Πολλές από τις λύσεις στα προβλήματα που εντοπίζονται απαιτούν ένα πολυεθνικό επίπεδο συμμετοχής». – και αυτή η προσέγγιση πολλών ενδιαφερομένων απαιτεί από εταιρείες, μεμονωμένους προγραμματιστές, δημόσιο τομέα, ιδρύματα και ανεξάρτητους οργανισμούς να συνεργαστούν για πιο ασφαλή και ισχυρά προγράμματα λογισμικού ανοιχτού κώδικα που είναι ζωτικής σημασίας για την ψηφιακή υποδομή που χρησιμοποιούν όλοι αυτοί οι φορείς.
Η έκθεση για την έρευνα είναι συμπληρωματική με την έρευνα “CII Census II Preliminary Report — Vulnerabilities in the Core” που δημοσιεύτηκε τον Φεβρουάριο του 2020.
Πηγή άρθρου: https://joinup.ec.europa.eu/649