Разработчики ПО с открытым исходным кодом уделяют вопросам безопасности менее 3% времени

Информационная безопасностьOpen sourceСовершенный кодИсследования и прогнозы в IT
image

Новый опрос сообщества свободного программного обеспечения с открытым исходным кодом (FOSS), проведенный Linux Foundation, показывает, что участники тратят 2,27% своего времени на вопросы безопасности и не стремятся это изменить.

Отчет, представленный Linux Foundation и Лабораторией инновационных наук в Гарварде (LISH), основан на ответах почти 1200 участников FOSS. Его авторы подчеркивают «очевидную необходимость» для разработчиков уделять больше времени безопасности проектов FOSS, поскольку предприятия все больше полагаются на программное обеспечение с открытым исходным кодом.

Опрос был призван помочь исследователям понять, сколько времени участники FOSS выделяют на безопасность. Ответы показывают, что многие респонденты мало заинтересованы в том, чтобы увеличивать это время. Один респондент отметил, что разработчики «находят предприятие по обеспечению безопасности душераздирающей рутиной и темой, которую лучше всего оставить для юристов и политиков», а другой сказал, что «считает безопасность невыносимо скучным процессуальным препятствием».

Исследователи пришли к выводу, что потребуется новый подход к аудиту FOSS, чтобы улучшить методы обеспечения безопасности, ограничив при этом нагрузку на участников.

Среди наиболее востребованных инструментов со стороны участников были исправления ошибок и безопасности, бесплатный аудит безопасности и упрощенные способы добавления инструментов, связанных с безопасностью, в их конвейеры непрерывной интеграции (CI).

Другие предлагаемые исследователями решения включали поощрение организаций к перенаправлению усилий на выявление и решение проблем безопасности в самих проектах. В качестве альтернативы разработчики «могут переписать части или целые компоненты проектов FOSS, которые подвержены уязвимостям».

Исследователи отметили: «Один из способов повысить безопасность перезаписи — это переключиться с языков, небезопасных для памяти (таких как C или C ++), на безопасные языки». Это устранило бы целые классы уязвимостей, таких как переполнение буфера и двойное освобождение».

Исследователи привели также социологическую статистику своего опроса. Из 1196 респондентов 91% оказались мужчинами в возрасте от 25 до 44 лет, что «подчеркивают сохраняющуюся озабоченность по поводу недостаточного участия женщин в сообществах FOSS». Большинство респондентов находятся в Северной Америке или Европе и работают полный день.

image

Почти половина (48,7%) заявили, что работодатели платили им за время, потраченное на работу с открытым исходным кодом, в то время как 44,02% заявили, что им не платили.

image

При этом деньги, как и желание признания, оказались низкими приоритетами для разработчиков, участвующих в проектах с открытым исходным кодом. Они заявили, что были исключительно заинтересованы в поиске функций, исправлений и решений для своих проектов. Среди других главных мотивов были удовольствие от работы и желание внести свой вклад в проекты FOSS.

«Современная экономика — как цифровая, так и физическая — все больше полагается на бесплатное программное обеспечение с открытым исходным кодом, — сказал Фрэнк Нэгл, доцент Гарвардской школы бизнеса. — Понимание мотивации и поведения участников FOSS является ключевым элементом обеспечения безопасности и устойчивости этой критически важной инфраструктуры в будущем».
См. также:

Теги:open sourcefossопросыразработчикибезопасностьоткрытый исходный код
Хабы: Информационная безопасность Open source Совершенный код Исследования и прогнозы в IT
-2
4,3k 0
Комментарии 37

Похожие публикации

Основы HTML и CSS
1 марта 2021БесплатноНетология
IT-Recruiter
7 мая 202140 000 ₽OTUS
Рефакторинг кода .NET
1 марта 202130 200 ₽Luxoft Training
Погружение в тестирование: Jedi point
1 марта 20217 500 ₽Лаборатория Качества

Лучшие публикации за сутки