Разработчики ПО с открытым исходным кодом уделяют вопросам безопасности менее 3% времени

    image

    Новый опрос сообщества свободного программного обеспечения с открытым исходным кодом (FOSS), проведенный Linux Foundation, показывает, что участники тратят 2,27% своего времени на вопросы безопасности и не стремятся это изменить.

    Отчет, представленный Linux Foundation и Лабораторией инновационных наук в Гарварде (LISH), основан на ответах почти 1200 участников FOSS. Его авторы подчеркивают «очевидную необходимость» для разработчиков уделять больше времени безопасности проектов FOSS, поскольку предприятия все больше полагаются на программное обеспечение с открытым исходным кодом.

    Опрос был призван помочь исследователям понять, сколько времени участники FOSS выделяют на безопасность. Ответы показывают, что многие респонденты мало заинтересованы в том, чтобы увеличивать это время. Один респондент отметил, что разработчики «находят предприятие по обеспечению безопасности душераздирающей рутиной и темой, которую лучше всего оставить для юристов и политиков», а другой сказал, что «считает безопасность невыносимо скучным процессуальным препятствием».

    Исследователи пришли к выводу, что потребуется новый подход к аудиту FOSS, чтобы улучшить методы обеспечения безопасности, ограничив при этом нагрузку на участников.

    Среди наиболее востребованных инструментов со стороны участников были исправления ошибок и безопасности, бесплатный аудит безопасности и упрощенные способы добавления инструментов, связанных с безопасностью, в их конвейеры непрерывной интеграции (CI).

    Другие предлагаемые исследователями решения включали поощрение организаций к перенаправлению усилий на выявление и решение проблем безопасности в самих проектах. В качестве альтернативы разработчики «могут переписать части или целые компоненты проектов FOSS, которые подвержены уязвимостям».

    Исследователи отметили: «Один из способов повысить безопасность перезаписи — это переключиться с языков, небезопасных для памяти (таких как C или C ++), на безопасные языки». Это устранило бы целые классы уязвимостей, таких как переполнение буфера и двойное освобождение».

    Исследователи привели также социологическую статистику своего опроса. Из 1196 респондентов 91% оказались мужчинами в возрасте от 25 до 44 лет, что «подчеркивают сохраняющуюся озабоченность по поводу недостаточного участия женщин в сообществах FOSS». Большинство респондентов находятся в Северной Америке или Европе и работают полный день.

    image

    Почти половина (48,7%) заявили, что работодатели платили им за время, потраченное на работу с открытым исходным кодом, в то время как 44,02% заявили, что им не платили.

    image

    При этом деньги, как и желание признания, оказались низкими приоритетами для разработчиков, участвующих в проектах с открытым исходным кодом. Они заявили, что были исключительно заинтересованы в поиске функций, исправлений и решений для своих проектов. Среди других главных мотивов были удовольствие от работы и желание внести свой вклад в проекты FOSS.

    «Современная экономика — как цифровая, так и физическая — все больше полагается на бесплатное программное обеспечение с открытым исходным кодом, — сказал Фрэнк Нэгл, доцент Гарвардской школы бизнеса. — Понимание мотивации и поведения участников FOSS является ключевым элементом обеспечения безопасности и устойчивости этой критически важной инфраструктуры в будущем».
    См. также:

    Комментарии 37

      +6
      Из 1196 респондентов 91% оказались мужчинами в возрасте от 25 до 44 лет, что «подчеркивают сохраняющуюся озабоченность по поводу недостаточного участия женщин в сообществах FOSS»

      Честно говоря, неудивительно. По наблюдениям в целом у технических специальностей больше мужчин, чем женщин

        –14
        Это достаточно временно. Просто непривычно для людей и всё. Пройдет немало времени (думаю, десяток-другой лет), прежде достаточно много кадров-женщин будет в сообществах FOSS. Просто потому, что сообществу FOSS уж не один десяток лет и раньше не запаривались так сильно по поводу женщин в IT, специально не популяризировали.
          +13
          А для мужчин специально популяризировали?
          В смысле, зачем выравнивать, а не просто пользоваться энтузиастами, кто пришел, тот и пришел?
            –4
            1) Я не знаю, зачем выравнивать. Спросите у организаторов Gnome Outreachy, аналогичной вещи от JetBrains (тут даже локализованный ответ получить можно) и прочих активистов.
            2) С моей точки зрения, большая часть таких организаций фактически приравнивают женщин к умственным инвалидам, которые неспособны самостоятельно заинтересоваться техникой и сообществом с открытым исходным кодом (выглядит со стороны это — отвратительно, может быть стоит поучаствовать в таком и понять изнутри, но снаружи себе антипиар они устроили). И да, акции в поддержку доступности инвалидам по здоровью я всячески поддерживаю. Ибо раз — здоровье у нас у всех не вечно и весьма заметно плавает, два — люди с ограниченными возможностями != людям с поврежденным мозгом, нельзя в условиях нехватки квалифицированных кадров разбрасываться ресурсами.
            3) Для мужчин специально не популяризовали. Исторически сложилось. Как исторически был уклад общества с уклоном в патриархат. Скорее всего, из-за влияния военной сферы, в первую очередь, как двигателя компьютерной науки и скромным количеством женщин в военной сфере, конкретно принимающей решения.
            4) Из предыдущего пункта — раз мужчин в компьютерных технологиях больше — значит и в FOSS больше. Нам примерно всем одинаково лень что-то писать, и одинаково интересно, если задача «идёт» и подзадачи ясны и понятны. У меня много знакомых девушек-коллег, с которыми я общаюсь и вижу, что они ни капли в своих проблемах не отличаются от парней-коллег, поскольку так же не хватает времени на OSS, так же хочется иногда что-то написать. Так же опускаются руки у кого-то. Всё абсолютно одинаково.
            5) Энтузиасты будут. Просто сейчас надо мешать разделению мужские/женские технологии. Т.е. заставлять попридержать язык излишне умных преподавателей, которые бьют по студенткам, хотя у них такой же синдром самозванца. Я очень часто вижу, как студенты забрасывают предмет, чисто из-за сильной токсичности конкретного преподавателя. И да, взрослых переобучать — это трудиться на очень маленький выхлоп. Работать надо на возрасте школы и детского сада, когда не вбились ещё патриархальные догмы. В таком случае, лет через 20 процентное соотношение будет примерно равным, с небольшими отклонениями.
            6) Вон, наш коллега постом ниже утверждает, что девушкам чаще всего неинтересно, уныло и скучно. Мне вот тоже, неинтересно, уныло и скучно, когда копаюсь в коде без документации, когда человек решил, что сокращения в именах переменных понятны и оставлять комментарии излишне, у него идеальный и чистый код. Наверно, тестостерона не хватает, надо было пойти и морду уроду (понятное дело, что не уроду, ибо предсказать заранее всё невозможно, но когда горишь с непонятного кода, про себя и не так ругаешься), написавшему код, набить, а заодно и выбить из него документацию.
              +4
              Вы такой дичи понаписали, что я долго сомневался, стоит ли ввязываться в диалог. Отвечу кратко — так и не понял, зачем что-то дополнительно делать. Работаю в IT около 8 лет, ни разу не видел какого-то особого отношения ни к мужчинам, ни к женщинам.

              Отдельно отмечу момент, который цепляет сильно — токсичные преподаватели. Они есть везде. Проблема не только в IT, не только женщин касается, непонятно к чему вы про неё написали.
                –3
                Хорошо.

                Вы такой дичи понаписали, что я долго сомневался, стоит ли ввязываться в диалог.

                Спасибо за переход на личности. Прошу меня извинить за плохо выраженную второй раз подряд мысль. В будущем я постараюсь избегать писать большие комментарии без текстового редактора, чтобы позволить себе «выдержать» текст, проанализировать его повторно на свежую голову.

                Отвечу кратко — так и не понял, зачем что-то дополнительно делать.

                По всей видимости, я очень косноязычно выражаюсь. Я тоже этого не понимаю и не поддерживаю, а также считаю, что эти программы оказывают медвежью услугу женщинам (и прочим поддерживаемым) в IT.

                Работаю в IT около 8 лет, ни разу не видел какого-то особого отношения ни к мужчинам, ни к женщинам.

                Это же замечательно, если особого отношения к кому-либо в Вашем окружении нет.

                Отдельно отмечу момент, который цепляет сильно — токсичные преподаватели. Они есть везде. Проблема не только в IT, не только женщин касается, непонятно к чему вы про неё написали.

                Уточню: это я написал как пример устоявшегося фильтра, естественным образом замедляющего самостоятельную балансировку разнообразия. Что-то вроде уже сформировавшейся кастовой системы. Это не выражает какой-либо моей позиции по поводу решения этой проблемы, так как я недостаточное разнообразие проблемой не считаю.
                  0
                  ни разу не видел какого-то особого отношения ни к мужчинам, ни к женщинам.

                  Ну раз вы не видели, значит нету, да?
                    0
                    Нет, значит только то, что я не видел, и не знаю, как это выглядит и почему это могло случиться тоже не могу представить.

                    Может поделитесь своим опытом?
                  0
                  приравнивают женщин к умственным инвалидам, которые неспособны самостоятельно заинтересоваться техникой и сообществом с открытым исходным кодом

                  Это полная неправда. Просто так сложилось в отрасли.
                  Bash #397136
                  Она: ответь мне, только честно, да или нет, хорошо?
                  Он: спрашивай
                  Она: почему мужчины смеются над блондинками?
                  Он: да

                  –1
                  Для женщин специально непопуляризируют. «Бабе место на кухне», вот это все.
                    0

                    У вас есть научные подтверждения этого? (Цы)

                      0
                      news.microsoft.com/features/why-do-girls-lose-interest-in-stem-new-research-has-some-answers-and-what-we-can-do-about-it

                      www.builtbyme.com/lack-of-women-in-stem-reasons

                      www.ifs.org.uk/publications/13277

                      и так далее, там много еще если поискать. Учитывая специфику, исследований.

                      Если правда интересно, а не так, поболтать, рекомендую пролистать www.amazon.com/Inferior-Science-Wrong-Research-Rewriting/dp/0807071706, интересное чтиво про женщин в науке
                        0

                        То есть, "такое бывает — следовательно, это делают специально". Ну да, традиционная аргументация, "злые мужики нарочно не пущают".

                          0
                          Так и будете goalpost двигать?
                          Большинство, наверное, не специально, я этого и не говорил, я не знаю, тут хрен померяешь. Большинство, я предполагаю, по глупости или по незнанию. Некоторые от страха что илитизм пропадет. Некоторые в ужасе что жена будет больше чем он зарабатывать. Но факт остается фактом, это один из основных факторов, из-за которого женщинам в STEM сложнее попасть, и сложнее там быть, при прочих равных. Даже факт того что мы об этом спорим этому косвенное подтверждение.
                            0
                            Так и будете goalpost двигать?

                            Вот Ваше исходное утверждение, целиком:


                            "Для женщин специально непопуляризируют. «Бабе место на кухне», вот это все."

                            Я выделил то самое, что "нарочно делают" и есть.
                            В качестве подтверждения — привели заметки о том, что "такое случается". То есть, именно что о другом.


                            А теперь Вы ещё "сдвинули планочку" до уровня "может и не все, может и не специально, может вообще по ошибке".
                            Не надо так.

                  +2

                  девушкам чаще всего не интересно уныло и скучно, так же как большинству мужиков уныло работать сиделкой в детском саду


                  Нужны разные гормоны тестостерон для того, чтобы тянуло к технике, окситоцин для того, чтобы тянуло к детям

                    0
                    У вас есть научные подтверждения этого?
                    –1
                    Вы абсолютно правы! Уже очень много людей определяющих свой гендер как женский и предпочитающих когда к ним обращаются как she подалось в IT. Думаю им даже будут доплачивать за помощь в выравнивании статистики. Скорее бы уже наступило светлое будущее с единственно верным нормальным распределением.
                      0
                      She — это не толерантное слово.
                    0

                    Я бы не стал драматизировать. По моим наблюдениям много девушек в айти работают в тестировании, бизнес анализе, продажах, пиаре, дизайне и различном менеджменте. Ортодоксальный опенсорс, выросший из институтской среды, это больше кодерское занятие. И оно в современных реалиях не является особо престижным, чтобы туда стоило кого-то привлекать специально.

                      0
                      Это идеально соответствует естественному распределению М/Ж по профессиям в условиях, где либо нет необходимости идти в тех, либо за нее не платят, как в данном случае.

                      Норвегия, страна много лет подряд занимающая первое место в списке самых гендерно-равных, имеет распределение 90М/10Ж среди технарей (инженеров, программистов), и 10М/90Ж среди социальных профессий (медсестра/брат, учитель/ница). В Индии, напротив, где без техпрофессии будешь жить впроголодь, распределение близится к 50/50.

                      Норвежцы, кстати, сами этому факту удивились еще лет 15 назад и стали искать корни, почему одни с рождения хотят общаться с людьми, а вторым интереснее гаечный ключ. TLDR: все зависит от количества тестостерона. Забавно, что сей простой и фундаментальный факт вызвал бурление у тех, кто любит затирать про неравенство как следствие неправильного образования, «вы фсё врёти!», сказали они на том же видео.
                        0
                        TLDR: все зависит от количества тестостерона.

                        Хочу посмотреть на исследования, доказывающие что для создания сайтов по темплейтам нужно много тестостерона. Для тестирования нужно много тестостерона. Для штампования рест апи нужно много тестостерона. Все это примерно 80% ИТ, и это не считая еще релизов, проджектов, продактов и все кто рядом.
                        Покажете такие исследования?

                          0

                          Вы неправильно задаёте вопрос


                          Исследования, которые доказывают неравенство не толерантны и их не будут проводить и тем более публиковать в престижных журналах


                          Вам нужно искать обратные исследования, где пытаются доказать что для профессий гормон не важен

                            0

                            Скорее всего их будут проводить, только чтобы "уравнять" начнут кормить тестостероном девочек. Было же исследование, доказали. Надо уравнять шансы теперь.

                            0
                            Хочу посмотреть на исследования, доказывающие что для создания сайтов по темплейтам нужно много тестостерона.

                            Покажите, пожалуйста, "создание сайтов по темлпейтам" в исходном сообщении. Потому что его там нет. Есть про разницу интереса к областям в целом, и про влияние гормонов.

                              0
                              Покажите, пожалуйста, "создание сайтов по темлпейтам" в исходном сообщении. Потому что его там нет

                              Да, именно на это я и хочу обратить внимание. Его там нет. Как и неких исследований, которые это могут доказать.
                              Где-то был еще аргумент что среди нобелевских премий где-то 90% мужчины, значит женщины не могут в науку и не могут в ИТ. Жду вот пока появится, чтобы спросить — сколько нужно нобелевок чтобы рест апи написать. Может у меня не хватает.

                        +1

                        С тем количеством программистов в Индии и Китае, большинство в опенсурсе тем не менее с Европы и США.

                          –1
                          потому как в Индии и Китае надо на еду зарабатывать может?
                            0

                            А остальные получают еду бесплатно?

                              0
                              Да. Богатые родители, сдача квартир, гранты институтов, донаты, и.т.д.
                              Чтобы это все работало нужны лишние свободные деньги в обществе.
                                +3
                                Богатые родители, сдача квартир, гранты институтов, донаты, и.т.д.

                                Ах, вот кто пишет опенсурс — мажоры и доценты, теперь то все понятно :D
                                Вы видимо никогда не писали для собственного удовольствия, вот поэтому и не можете понять как это люди в свое свободное время пишут что-то опенсурсовое. Без богатых родителей, сданных квартир и грантов с института (лолшто).

                          +4
                          Не очень понятно, что такое время, уделенное вопросам безопасности.

                          Например, если я прилагаю изрядные усилия для обеспечения общей корректности кода, включая, но не ограничиваясь, усилиями по корректной работе с памятью, это время уделено вопросам безопасности или не им?

                          Или надо специально напрячь нужную морщину на лбу, и сказать всем, «сейчас я работаю с вопросами безопасности», и именно это время засчитывается?
                            0

                            Если днями и ночами отлаживать проезды по памяти в программе на C, то времени безопасности будет уделяться много, но вот насколько безопасна при этом программа?


                            И вообще, 3% это много или мало? А сколько надо?


                            Странная в общем метрика.

                            +2

                            «Кровавый ынтерпрайз» и коммерческий софт, по опыту, еще меньшее уделяет какой-то там безопасности и времени, и (по сути) денег, и усилий по повышению уровня в первую очередь менеджеров.


                            А что один проект строится с оглядкой на безопасность (именно by design), а другой — нет, так это больше от автора/ов зависит. Как любой вопрос личного вкуса и приличий, кто-то считает делать в стиле «тяп-ляп-продакшен» допустимым, кто-то — нет. Утрирую, но опенсорсность тут не мерило.


                            Ну а тема технического долга в «платных» закрытых проектах — это вообще отдельная боль!

                              0

                              Всё верно. Но это не повод игнорировать проблему безопасности именно в опенсорсе. И на то есть кучка причин:


                              • коммерческий продукт с закрытыми исходниками — он обычно один, в том смысле что его проблемы безопасности касаются только его одного, и данные проблемы нередко были озвучены разработчиками и были проигнорированы менеджментом как некритичные для бизнеса (их право так делать, и их же ответственность за последствия)
                              • в коммерческих продуктах всё-таки иногда попадаются компании, которые крупно вкладываются в безопасность своих проектов — в опенсорсе же это дикая редкость, по сути кроме ядра линуха и основных браузеров даже ничего (из больших проектов) в голову не приходит (из проектов значительно по-меньше ещё можно назвать проекты DJB, postfix и ещё небольшое количество, но в целом это капля в море)… честно говоря, не знаю как сравнить корректно, но такое ощущение что без поддержки крупных компаний за безопасностью следит пренебрежимо малый процент проектов
                              • опенсорс используется как база для практически всех современных проектов, в каждом используются десятки и сотни опенсорсных библиотек, утилит и сервисов — уязвимости в опенсорсе имеют значительно большее влияние на мир в целом, чем уязвимости в отдельном коммерческом проекте (если не брать, конечно, такой "один проект" как, например, винда)
                              • если компания может в любой момент серьёзно заняться безопасностью своего продукта, то в опенсорсе "внезапно" безопасностью никто заниматься не начнёт — если разработчик проекта не занимался этим ранее, то у него ни квалификации для этого нет, ни желания, и всё это из ниоткуда само по себе не возьмётся — и это как раз причина почему такие статьи писать стоит, и что-то в этом направлении делать тоже стоит, потому что сама по себе ситуация будет только ухудшаться.
                                0

                                Ну им не до безопасности им продавать надо, принцип "фигак, фигак и в продакшен" работает в полную силу.

                                0
                                Что-то мне кажется, что среди проектов с открытым исходным кодом не сильно больше тех же 3%, где вопрос безопасности вообще актуален. Среди них же далеко не только серверы и сетевые библиотеки, но и всякие конвертеры, текстовые и графические редакторы, музыкальный софт, игры, и т.п.

                                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                Самое читаемое