Диджитал экономика построенная на Open-source. Вот как это защитить? Часть 2

 

Вчера мы говорили о преимуществах бесплатного программного обеспечения с открытым исходным кодом (FOSS), а также о том, с какими проблемами сегодня оно сталкивается. Были проведены два важных исследования, итоги которых весьма интересны. 

Выводы исследований

В ходе исследования возник ряд вопросов: 

  1. Окажет ли это негативное влияние на будущее здоровье и благополучие экосистемы FOSS?
  2. Перестанут ли разработчики, создающие программное обеспечение, участвовать в системе, движимой не столько чувством общности, сколько погоней за прибылью?
  3. Будут ли компании сосредоточены исключительно на прибыльном FOSS, игнорируя другие критически важные моменты, от которых зависит общество? 
  4. Будет ли сложнее поддерживать безопасность этого программного обеспечения? 
  5. Если работы над FOSS будут выполняться отдельными компаниями, будут ли уменьшаться риски и опасности? 

Если ответ на любой из этих вопросов утвердительный, это предвещает плохой прогноз для будущего программного обеспечения с открытым исходным кодом. Предварительные результаты выявили две тенденции, которые могут сделать программное обеспечение более уязвимым для безопасности. 

Нарушения

Во-первых, было обнаружено, что многие из наиболее широко используемых пакетов FOSS в коммерческом программном обеспечении находятся под учетными записями отдельных разработчиков, а не сообществ, что поднимает вопрос не только безопасности, но и надежности. Почему?

Подумайте над тем, что человек может устроиться на новую работу, может решить уйти на пенсию или, не дай Бог, попасть под автобус и стать неспособным поддерживать проект. Так же отдельные учетные записи могут не иметь достаточных средств защиты для предотвращения потенциально опасных атак со стороны хакеров.

Во-вторых, было обнаружено, что многие компании используют устаревшие версии программ с открытым исходным кодом. А это весьма тревожная информация. Это значит, что программное обеспечение, скорее всего, содержит ошибки и слабые места в системе безопасности. 

Результаты опроса также показали, что мотивация участников может потребовать от компаний использования нетрадиционных стимулов. Хотя компании спонтируют все больше участников, их основной мотивацией не являются деньги. 

Это означает, что традиционные рычаги корпоративного стимулирования поведения могут не работать и, возможно, придется полагаться на внутренние мотивы, включая любовь к обучению, чувство принадлежности к сообществу FOSS и профессиональное сообщество программистов. 

Откуда ждать помощь

Рассмотрев и проанализировав результаты исследований, эксперты рекомендует крупным игрокам, которые все чаще спонтируют FOSS, (правительства и крупные компании) следовать нескольким руководящим принципам, а именно:

  • Во-первых, цель как компаний, так и стран должна заключаться в достижении правильного баланса: следить за тем, чтобы FOSS продолжал расти, не подавляя дух сообщества. Это означает, что компании должны иметь четкую политику в отношении открытого исходного кода, притом предпочтительно такую, которая поощряет сотрудников вносить вклад в FOSS, если это возможно. 
  • Во-вторых, компании должны повысить свой уровень осведомленности о FOSS, которые они используют. 
  • В-третьих, по мере того, как компании продолжают свою деятельность, участвуя в содействии FOSS, предлагаем им помнить о стабильности программного обеспечения, которое они используют, чтобы они стимулировали своих сотрудников сосредоточить внимание как на функциях, полезных для компании, так и на общей безопасности и обслуживании. 

Бесплатное программное обеспечение с открытым исходным кодом — жизненно важный винтик в экономике, во многом как межгосударственные автомагистрали, энергосистема или сеть связи. Таким образом, вполне вероятно, что для обеспечения безопасности и жизнеспособности экосистемы FOSS в будущем потребуются многосторонние усилия, включая компаний, правительственных организаций и отдельных участников.

Комментарии

  1. 6 МИФОВ ПРО ЭТО ИНТРИГУЮЩЕЕ СЛОВО FOSS!
    Конечно, Вы уже догадались, что речь идет о программном обеспечении FOSS (Free Open Source Software), исходный код которого либо открыт для общего доступа, либо свободен для использования всеми желающими. Вокруг FOSS появились много мифов, некоторые из них попытаемся вкратце обосновать.
    Миф 1: FOSS бывает только для Linux
    Очевидно, что миф появился из-за истории самой Linux. И ядро, и окружение системы появились благодаря культуре Open Source, и до сих пор многие считают Linux образцом открытого ПО. Отчасти это так: почти весь софт для системы открыт, а Linux является платформой под его разработку.
    Но софт “для Linux” часто бывает кроссплатформенным. А иногда свободное ПО бывает только для Windows или MacOS. На днях появилась официальная версия открытого архиватора 7zip для Linux, но на Windows им пользуются уже больше 20 лет.
    Из известных примеров кроссплатформенного FOSS — VLC, Pidgin, Audacity, GIMP, LibreOffice, Calibre. Это так, навскидку.
    Фишка в том, что мы часто даже не подозреваем, что пользуемся FOSS на Windows или MacOS — это просто софт, который работает бесплатно.
    Миф 2: FOSS очень безопасный
    Вечный спор вокруг FOSS: безопаснее ли он проприетарного ПО?
    Позиция тех, кто считает FOSS безопаснее, такая: если код общедоступен, то каждый желающий может найти уязвимость и исправить её. Как минимум, сказать об этом сообществу.
    Есть такая штука —- Закон Торвальдса: при достаточном количестве наблюдателей ошибки выплывают на поверхность. Главный вопрос: а достаточно ли этих наблюдателей? Если нет, то получаем уязвимую и ненадёжную программу.
    Те, кто считает FOSS небезопасным, чаще всего говорят так: если код общедоступен, то любой злоумышленник может запросто написать эксплойт. Сама концепция открытого кода помогает хакерам, чего не скажешь про закрытый код. Не так просто взломать то, что не видишь.
    На практике это не помеха для хакеров. В проприетарном софте уязвимости могут быть десятилетиями, а ограниченное количество разработчиков либо их не заметит, либо не будет об этом говорить публично, чтобы сохранить репутацию компании.
    Получается, что на жизнь имеют право обе точки зрения, и они по-своему правдивы. Но сам тезис “FOSS очень безопасный” — всё-таки миф.
    Миф 3: корпорации избегают FOSS и противостоят ему
    Ноги этого мифа растут ещё из конца 1990-х: тогда в сеть утекли “Хэллоуинские документы” — внутренней переписки Microsoft, в которой обсуждались планы устранения Linux как конкурирующей ОС.
    Там был такой план — “Поддержать, надстроить и уничтожить”. Его суть: корпорация реализует свой вариант открытой технологии и продвигает его на рынок, затем добавляет туда проприетарные надстройки и в конце открытая базовая технология заменяется на закрытую проприетарную.
    И это не от большого альтруизма, а из выгоды, которую они получат в итоге. Даже гиганты пользуются FOSS. Хотя попытки подмять свободное ПО под себя встречаются и сейчас.
    Миф 4: с FOSS можно делать, что хочешь
    Получается, если код ПО открыт, то он доступен каждому. Что значит “доступен”? С ним можно делать, что хочешь? Нет.
    Если бы всё было так, то любая компания могла бы взять ваш код, повесить на него копирайт и он бы перестал быть вашим. Да, действительно, иногда открытый код “крадут”, но он защищён открытой лицензией, которая помогает защитить свои права в суде.
    Каждый пользователь должен соблюдать правила лицензионного использования, как с изображениями, видео или музыкой. Правообладатель может и не подать на вас иск, но нужно понимать, что ответственность за это есть.
    Существуют лицензии от BSD и MIT, и они дают право использовать код в своих целях. Но далеко не все лицензии настолько открыты, обращайте на это внимание.
    Миф 5: открытый код — это сплошной хаос
    Представим ситуацию, когда вам нужно написать программу, но вы это делаете одновременно с ещё 50-ю разработчиками. И если вы думаете, что это никак не систематизировали, то вы ошибаетесь.
    Каждая правка и изменение в коде согласовывается сообществом. Если изменение не соответствует концепции проекта или просто неуместно, его отклонят. Самый интересный момент — когда сообщество не может принять ключевое решение и проект разветвляется на независимые ветки.
    Это и развивает FOSS, и одновременно замедляет развитие некоторых проектов. В любом случае это делает сообщество живым.
    Миф 6: работа над FOSS — это всегда волонтёрство
    Если FOSS часто распространяется бесплатно, это не значит, что его создатели работают бесплатно. Хотя энтузиастов в мире свободного ПО всегда достаточно.
    Иногда проекты настолько важны для коммерческих организаций, что они финансируют разработку конкретного софта. Ещё есть модель, когда само ПО бесплатно, но за техническую поддержку нужно платить. И это не все способы монетизировать свой свободный код.
    Если вы будете работать над FOSS и добьётесь успехов в разработке, то ваш проект не останется без внимания и финансирования.
    И это не все мифы
    Мифы вообще окружают нас на каждом шагу. Кто-то считает, что сама концепция FOSS — это огромный раздутый миф. Если вы столкнётесь с новыми заблуждениями, обратить к нашим экспертам за полезным советом в интересующем Вас направлении развития современных бизнес-процессов.

  2. Развитие FOSS — это часть большего целого, техническое выражение глобального марша к самой сути сотрудничества, основанному на инстинктах, оформленных миллионами лет экспериментов в самых широких градациях природных условий. И что угодно, основанное на этом, так фундаментально присущем нашей коллективной природе, возможно, коллективной природе любой успешной разумной группы в любом уголке Вселенной, оно просто слишком могущественно, чтобы быть остановленным.

  3. Хотя FOSS может превосходить коммерчиские эквиваленты с точки зрения функций и стабильности программного обеспечения, во многих случаях FOSS имеет больше нефиксированных ошибок и отсутствующих функций по сравнению с аналогичным коммерческим программным обеспечением. Это зависит от конкретного случая и обычно зависит от уровня заинтересованности и участия в проекте FOSS. Более того, в отличие от обычного коммерческого программного обеспечения, отсутствующие функции и исправления могут быть реализованы любой стороной, у которой есть соответствующая мотивация, время и навыки для этого.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *