Новый опрос сообщества свободного программного обеспечения с открытым исходным кодом (FOSS), проведенный Linux Foundation, показывает, что участники тратят 2,27% своего времени на вопросы безопасности и не стремятся это изменить.
Отчет, представленный Linux Foundation и Лабораторией инновационных наук в Гарварде (LISH), основан на ответах почти 1200 участников FOSS. Его авторы подчеркивают «очевидную необходимость» для разработчиков уделять больше времени безопасности проектов FOSS, поскольку предприятия все больше полагаются на программное обеспечение с открытым исходным кодом.
Опрос был призван помочь исследователям понять, сколько времени участники FOSS выделяют на безопасность. Ответы показывают, что многие респонденты мало заинтересованы в том, чтобы увеличивать это время. Один респондент отметил, что разработчики «находят предприятие по обеспечению безопасности душераздирающей рутиной и темой, которую лучше всего оставить для юристов и политиков», а другой сказал, что «считает безопасность невыносимо скучным процессуальным препятствием».
Исследователи пришли к выводу, что потребуется новый подход к аудиту FOSS, чтобы улучшить методы обеспечения безопасности, ограничив при этом нагрузку на участников.
Среди наиболее востребованных инструментов со стороны участников были исправления ошибок и безопасности, бесплатный аудит безопасности и упрощенные способы добавления инструментов, связанных с безопасностью, в их конвейеры непрерывной интеграции (CI).
Другие предлагаемые исследователями решения включали поощрение организаций к перенаправлению усилий на выявление и решение проблем безопасности в самих проектах. В качестве альтернативы разработчики «могут переписать части или целые компоненты проектов FOSS, которые подвержены уязвимостям».
Исследователи отметили: «Один из способов повысить безопасность перезаписи — это переключиться с языков, небезопасных для памяти (таких как C или C ++), на безопасные языки». Это устранило бы целые классы уязвимостей, таких как переполнение буфера и двойное освобождение».
Исследователи привели также социологическую статистику своего опроса. Из 1196 респондентов 91% оказались мужчинами в возрасте от 25 до 44 лет, что «подчеркивают сохраняющуюся озабоченность по поводу недостаточного участия женщин в сообществах FOSS». Большинство респондентов находятся в Северной Америке или Европе и работают полный день.
Почти половина (48,7%) заявили, что работодатели платили им за время, потраченное на работу с открытым исходным кодом, в то время как 44,02% заявили, что им не платили.
При этом деньги, как и желание признания, оказались низкими приоритетами для разработчиков, участвующих в проектах с открытым исходным кодом. Они заявили, что были исключительно заинтересованы в поиске функций, исправлений и решений для своих проектов. Среди других главных мотивов были удовольствие от работы и желание внести свой вклад в проекты FOSS.
«Современная экономика — как цифровая, так и физическая — все больше полагается на бесплатное программное обеспечение с открытым исходным кодом, — сказал Фрэнк Нэгл, доцент Гарвардской школы бизнеса. — Понимание мотивации и поведения участников FOSS является ключевым элементом обеспечения безопасности и устойчивости этой критически важной инфраструктуры в будущем».
См. также:
