开源开发者说保护自己的代码是令人心力交瘁的浪费时间
Linux 基金会对自由和开源软件(free and open-source software)(FOSS)社区进行的一项新调查表明,贡献者花在安全问题上的时间不到 3%,而且几乎没有增加这一比例的意愿。
Linux 基金会和哈佛大学创新科学实验室(Laboratory for Innovation Science at Harvard)(LISH)根据近 1200 名 FOSS 贡献者的回答所做的一份报告显示,随着企业和经济越来越依赖开源软件,开发人员“明显需要”将更多的时间用于 FOSS 项目的安全。
该调查包括了旨在帮助研究人员了解贡献者如何分配他们在 FOSS 上的时间的问题,该调查显示,受访者平均只花了其总贡献时间的 2.27% 来应对安全问题。
此外,这些问题的回答还表明,许多受访者对增加安全方面的时间和精力兴趣不大。一位受访者评论说,他们“觉得安全是一件令人心力交瘁的苦差事,是一个最好留给律师和流程狂人的课题”,而另一位受访者则说:“我发现安全是一个令人难以忍受的、无聊的流程障碍。”
研究人员得出结论,需要对 FOSS 的安全和审计采取一种新的方法,以改善安全实践,同时控制对贡献者的负担。
贡献者需求最多的一些工具是错误和安全修复、免费的安全审计,以及将安全相关工具添加到其持续集成(CI)管道的简化方法。
“显然需要为 FOSS 的安全投入更多的精力,但这个负担不应该只落在贡献者身上。”报告中写道。“开发人员一般不想成为安全审计人员,他们希望得到审计结果。”
研究人员提出的其他解决方案包括:鼓励组织将精力重新投入到识别和解决项目本身的安全问题上。另外,开发人员“可以重写 FOSS 项目中容易出现漏洞的部分或整个组件”,而不是试图修补现有代码。
研究人员继续说道,“提高重写安全性的一种方法是将内存不安全的语言(如 C 或 C++)转换为内存安全的语言(几乎所有的其它语言)。……这将消除一整类漏洞,如缓冲区溢出和双重释放。”
性别多样性 —— 或者说,缺乏多样性 —— 是该报告的另一个关键发现。
在 1196 名调查对象中,91% 的人报告说是男性,年龄在 25 至 44 岁之间。研究人员指出,这一发现“强调了人们对 FOSS 社区缺乏女性代表的持续关注。”并指出,报告中缺乏女性代表表明,结果“偏向于男性贡献者的 FOSS 活动,并不能完全代表女性对 FOSS 的贡献。”
调查的大多数受访者来自北美或欧洲,大多数人从事全职工作。将近一半(48.7%)的人说,他们在开放源码贡献上花费的时间得到了雇主的报酬,而 44.02% 的人说,这是他们唯一得到报酬的途径。
有趣的是,结果表明,COVID-19 大流行病对贡献者的工作状态影响不大,只有极少数受访者报告说已脱离工作。研究人员再次指出,由于调查中缺乏女性代表,“这些调查结果可能并不能反映为 FOSS 做出贡献的女性的经历,特别是那些在大流行期间受到家庭责任增加影响的女性。”
虽然绝大多数受访者(74.8%)都是全职雇员,超过一半(51.6%)的受访者是专门为开发 FOSS 而接受报酬的,但在开发者为开源项目做出贡献的动机中,金钱的得分很低,“渴望得到同行的认可”也是如此。
相反,开发者说他们纯粹是对为他们正在开发的开源项目寻找功能、修复和解决方案感兴趣。其他最主要的动机包括享受和希望回馈他们所使用的 FOSS 项目。
“现代经济 —— 无论是数字经济还是实体经济 —— 越来越依赖于自由和开源软件,”哈佛商学院(Harvard Business School)助理教授 Frank Nagle 说。
“了解 FOSS 贡献者的动机和行为是确保这一关键基础设施未来安全和可持续性的关键一环。”
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的