Po raz kolejny światło dzienne rzuciła krytyczna luka w zabezpieczeniach na temat współczesnych realiów open source. Nieopłacani hobbyści utrzymujący tak zwane „projekty z Nebraski”, nazwane od wszechobecnego komiksu XKCD „Uzależnienie”, dźwigają na swoich barkach ciężar współczesnego świata.
Każde oprogramowanie zawiera błędy, w tym krytyczne luki w zabezpieczeniach. Własni sprzedawcy są znani Łatka we wtorek. Niektórzy szukają dowodów na to, iż płacący opiekunowie zwiększają bezpieczeństwo, ale bądźmy szczerzy: hobbyści open source już wykonują świetną robotę, tworząc oprogramowanie wysokiej jakości. Tak, poprzez wysiłki takie jak OtwórzSSFpowinniśmy proaktywnie identyfikować, ustalać priorytety, kontrolować i naprawiać luki w krytycznych komponentach. Zdarzenia takie jak ten dotykający Narzędzia XZ powinien nas do tego skłonić.
Incydenty takie jak XZ powinny nas również pobudzić do zaprzestania wypalania opiekunów. Wypalenie opiekuna XZ Lasse Collina było decydującym czynnikiem sukcesu ataku socjotechnicznego XZ. To uczyniło go bardziej podatnym na presję, aby zaakceptować osobowość „Jia Tan” jako współopiekuna. XZ to kolejny głośny objaw leżącego u podstaw kryzysu zrównoważonego rozwoju systemu open source.
Zrównoważony rozwój systemu typu open source, jak go definiuję, ma miejsce, gdy „każda inteligentna, zmotywowana osoba może tworzyć powszechnie przyjęte oprogramowanie typu open source i uczciwie zarabiać, bez skakania przez przeszkody”. Skakanie przez obręcze przybiera różne formy: założenie firmy konsultingowej, praca nad autorskim oprogramowaniem, produkcja treści edukacyjnych. Wszystko to może subsydiować indywidualną pracę związaną z oprogramowaniem open source, co jest wspaniałe, ale nie zapewnia jej bezpośredniego wsparcia. Kiedy w grę wchodzą naciski, open source traci, ponieważ zachęty są źle dopasowane.
Dopóki nie zmierzymy się z ekonomią open source i nie ustalimy zachęt, będziemy przez cały czas wypalać opiekunów. Open source jest jak restauracja. Większość firm je obiad i ucieka. Rozwiązaniem mogą być rozwiązania oparte na podatkach, takie jak fundusze Sovereign Tech Funds. Modele podziału przychodów, takie jak HeroDevs i OpenJS niedawno ogłoszone, to kolejne obiecujące podejście. Ostatecznie potrzebujemy, aby firmy z całej gospodarki zintensyfikowały działania i płaciły podmiotom utrzymującym. Fundatorzy FOSS to początek, ale pozostało wiele do zrobienia.
Jednym z wyzwań, być może najtrudniejszym, jest otwarcie korporacyjnych śluz. Tuż za nim znajduje się kolejne: gdzie powinny trafić pieniądze? W jaki sposób możemy najskuteczniej przydzielić fundusze opiekunom w sposób zapewniający dobrze prosperujący, produktywny ekosystem? Platformy bezpośrednio do opiekuna, takie jak Sponsorzy GitHuba I Dzięki.dev to jedna z metod, ale może to stanowić zbyt duże obciążenie dla firm, aby zajmowały się długim ogonem swoich zależności. Coraz częściej dostrzegam w fundacjach open source wielką szansę. W rzeczywistości nowe prawodawstwo europejskie formalizuje ich rolę jako stewardów systemu open source.
Musimy zapewnić indywidualnym programistom, takim jak Lassie Collin, jasną ścieżkę, którą powinni podążać, gdy odniosą sukces dzięki projektowi open source. Być może fundacje w przyszłości będą zachęcać do innowacji, „pozyskując” popularne projekty, płacąc pierwotnemu autorowi za przejęcie utrzymania. Następnie, już w fundacji, modele „bierz, co chcesz” mogą zapewnić zachęty ekonomiczne zgodne z wewnętrzną motywacją leżącą u podstaw otwartego oprogramowania. Narzędzia takie jak Otwarty Kolektyw Wydatki i Zespoły Liberapay już istnieją, aby w tym pomóc.
Incydenty związane z bezpieczeństwem, takie jak XZ, zawsze będą z nami. Powinniśmy pracować nad ich zmniejszeniem. Powinniśmy także pracować nad zapewnieniem odpowiednich nagród ekonomicznych tym, którzy rok po roku dostarczają doskonałe oprogramowanie typu open source. Dzięki przemyślanemu podejściu możemy zrównoważyć indywidualną wolność i kreatywność w sercu otwartego systemu z rygorem i bezpieczeństwem, których wymaga współczesny świat.
Chad Whitacre jest dyrektorem ds. systemu open source w firmie Wartownik, specjalista w zakresie monitorowania wydajności aplikacji i śledzenia błędów. Jest inżynierem oprogramowania, który przez całą karierę pracował między innymi w firmie Proofpoint zajmującej się bezpieczeństwem cybernetycznym.
