02 سپتامبر 2021 هیلا لیفشیتز اساف و فرانک ناگل- آرتور دیبات/گتی ایماژ
خلاصه. نرم افزار رایگان و منبع باز (FOSS) برای بسیاری از فناوری هایی که ما هر روز از آن استفاده میکنیم ضروری است – از اتومبیل گرفته تا گوشی تا هواپیما تا ابر. در حالی که به طور سنتی، توسط لشکری از توسعه دهندگان داوطلب توسعه داده و به صورت رایگان واگذار شد، شرکتها به طور فزایندهای از آن استفاده میکنند.
اگرچه اکثر مردم آن را درک نمیکنند، بسیاری از فناوریهایی که ما هر روز به آن تکیه میکنیم بر اساس نرم افزار رایگان و منبع باز (FOSS) اجرا میشود. تلفنها، ماشینها، هواپیماها و حتی بسیاری از برنامههای پیشرفته هوش مصنوعی از نرم افزارهای منبع باز مانند سیستم عامل هسته لینوکس، سرورهای وب Apache و Nginx، که بیش از 60 درصد وب سایتهای جهان را اجرایی میکنند، و Kubernetes، که قدرت پردازش ابری را پیش میبرد. پایداری، ثبات و امنیت این بستههای نرم افزاری نگرانی اصلی هر شرکتی است که از آنها استفاده میکند (که اساساً هر شرکتی است). اما بر خلاف نرم افزارهای سنتی منبع بسته، که شرکت ها آنها را به صورت داخلی میسازند و میفروشند، FOSS توسط یک لشکر ناشناخته از توسعه دهندگان معمولاً بدون دستمزد توسعه یافته است و معمولاً به صورت رایگان در اختیار شما قرار میگیرد.
در چند سال گذشته، ما شاهد افزایش نقش فعال شرکتها در نرم افزارهای منبع باز بودهایم، به این صورت که کارکنان را مشارکت میدهیم تا در پروژههای منبع باز موجود مشارکت کنند یا کد منبع خود را باز میکنند تا هم جامعه بتواند از آن استفاده کند و هم کمک کند. از آنجا که شرکتها FOSS را بخشی از مدل تجاری خود قرار دادهاند، تولیدکنندگان مهم FOSS را نیز به دست آورده اند. دو سال پیش ، IBM Red Hat ، یکی از موفقترین شرکتهایی که در FOSS ساخته شده بود را با قیمت 34 میلیارد دلار خریداری کرد. یک سال قبل از آن، سایر غولهای فناوری میلیاردها دلار برای خرید سهام FOSS پرداخت کردند که مهمترین آنها مایکروسافت GitHub را به قیمت 7.5 میلیارد دلار خریداری کردند و Salesforce.com MuleSoft را به قیمت 6.5 میلیارد دلار خریداری کردند.
ورود جهان شرکتی به جوامع آنلاین رایگان و منبع باز باعث نگرانیها و اصطکاکهای جدی شده است. تصاحب تولیدکنندگان FOSS میتواند منجر به کم شدن مشارکت کنندگان داوطلب شود تا جایی که سلامت آینده اکوسیستم FOSS را تهدید میکند. علاوه بر این، بزرگترین ارائه دهندگان ابر جهان مشاغل چند میلیارد دلاری را بر روی اجزای FOSS ایجاد کردهاند، که باعث میشود مشارکت کنندگان FOSS تعجب کنند که چرا وقت آزاد خود را صرف ثروتمندتر شدن ثروتمندان میکنند. چنین اقداماتی میتواند داوطلبان را از مشارکت باز دارد و اخلاق اساسی جامعه FOSS را تهدید میکند.
یکی از موارد بحث برانگیز، درگیری اخیر بین الاستیک و آمازون است. الاستیک، یک شرکت عمومی که نرم افزار Elasticsearch قدرت جستجو در وب سایتهای شرکتی متعددی مانند Walmart و Audi را دارد، با آمازون درگیر شد، زیرا غول آنلاین نسخهای از Elasticsearch را تهیه کرد که Elastic منبع باز کرده بود، آن را مجدداً بسته بندی کرد و تقریباً به مشتریان خود فروخت. به همین دلیل الاستیک استدلال میکند که اساساً آمازون کد رایگان را که برای کل جامعه ارزش ایجاد میکند، گرفته و آن را حذف کرده است تا تنها آنها بتوانند از آن بهره بگیرند.
با حمایت بنیاد لینوکس و همراه با بنیاد امنیت منبع باز بین صنعت، ما دو تلاش تحقیقاتی مکمل را انجام دادهایم-یکی بر انجام سرشماری استفاده از FOSS و دیگری بر درک انگیزههای مشارکت کنندگان FOSS-به دنبال درک بهتر این نگرانیها برای اولین بار، ما با تجزیه و تحلیل ترکیب نرم افزار و شرکتهای امنیتی برنامه، از جمله Snyk و Synopsys، همکاری کردیم تا با انجام سرشماری از این نرم افزار مهم، برای شناسایی پرکاربردترین بستههای FOSS، بینش گستردهای در مورد کاربرد FOSS در برنامههای تولیدی بدست آوریم. در مرحله دوم، ما یک نظرسنجی وسیع جهانی از جامعه توسعه دهندگان FOSS انجام دادیم که میپرسید چرا توسعه دهندگان در پروژههای خاص FOSS مشارکت میکنند، چگونه سرمایهگذاریهای مالی قابل توجه شرکتها را درک میکنند و از چه شیوههای امنیتی استفاده میکنند. یک مسئله قابل توجه در FOSS چیزی است که ما پیدا کردیم.
در مورد یافتهها
بزرگترین سوال در مورد مشارکت فزاینده شرکتها با FOSS این است که آیا بر سلامت و رفاه آینده اکوسیستم FOSS تأثیر منفی خواهد گذاشت؟ آیا توسعه دهندگانی که نرم افزاری را که همه ما به آنها متکی هستیم ایجاد میکنند، از مشارکت در سیستمی که کمتر ناشی از احساس اجتماع است و بیشتر به دنبال سود است، متوقف خواهند شد؟ آیا شرکتها منحصراً بر FOSS سودآور تمرکز خواهند کرد در حالی که نادیده گرفتن سایر بخشهای مهم زیرساختهای جامعه بستگی دارد؟ آیا حفظ امنیت این نرم افزار سختتر خواهد بود؟ اگر بیشتر کار بر روی FOSS توسط شرکتهای فردی انجام شود، آیا چشمهای کمتری به دنبال اشکالات و آسیب پذیریهای احتمالی خواهند بود؟ اگر پاسخ به هر یک از این سوالات مثبت است، این نشان دهنده ضعف آینده نرم افزار منبع باز است.
نتایج اولیه سرشماری ما دو گرایش را نشان میدهد که میتواند FOSS را در برابر نقض امنیت آسیب پذیرتر کند. اول، ما دریافتیم که بسیاری از پرکاربردترین بستههای FOSS در نرم افزارهای تجاری تحت حساب توسعه دهندگان جداگانه (و نه جوامع وسیع تر) نگهداری میشوند و این مسئله نه تنها امنیت بلکه قابلیت اطمینان را نیز مطرح میکند. یک فرد ممکن است شغل جدیدی را انتخاب کند، ممکن است تصمیم بگیرد که بازنشسته شود یا – بدون ثروت – با انبوهی از افکار برخورد کند و از حفظ پروژه ناتوان شود. حسابهای شخصی همچنین ممکن است ضمانتهای کافی برای جلوگیری از حملات بالقوه خطرناک هکرها نداشته باشند. دوم، ما دریافتیم که بسیاری از شرکتها از نسخههای قدیمی برنامههای منبع باز استفاده میکنند-یک یافته نگران کننده، اگر نه لزوماً شگفت آور. عدم اطلاع از به روزرسانیها به این معنی است که به احتمال زیاد نرم افزار دارای اشکالات شناخته شده و ضعفهای امنیتی است. هر دو گرایش نشان میدهند که امنیت اغلب مورد تأمل است.
نتایج نظرسنجی همچنین نشان داد که انگیزه مشارکت کنندگان ممکن است شرکتها را ملزم به استفاده از مشوقهای غیر سنتی کند. اگرچه مشارکت کنندگان به طور فزایندهای توسط شرکتها حمایت میشوند، اما انگیزه اصلی این مشارکت کنندگان پول نیست. این بدان معناست که اهرمهای سنتی شرکتها برای ایجاد انگیزه در رفتارها ممکن است موثر واقع نشوند، و ممکن است نیاز به انگیزههای ذاتیتر از جمله اشتیاق برای یادگیری، احساس تعلق به جوامع FOSS و هویت حرفهای برنامه نویسان مورد استفاده قرار گیرد. بنابراین، هر شرکت، سازمان یا دولتی که قصد افزایش امنیت FOSS را دارد، باید بر جذب این انگیزههای ذاتی تمرکز کند، نه اینکه فقط به مشارکت کنندگان در امنیت کار بپردازد. از طرف دیگر، شرکتها میتوانند هزینههای اجارهای را پرداخت کنند تا به طور خاص در مسائل امنیتی کار کنند. در هر صورت، نظرسنجی ما نشان میدهد که انتظار نمیرود مشارکت کنندگان به طور داوطلبانه به مسائل امنیتی بپردازند.
چگونه شرکتها میتوانند کمک کنند
هیچ کس و مطمئناً ما، پیشنهاد نمیکنیم که باید به روزهای اولیه FOSS بازگردیم، زمانی که این حرکت بیشتر تلاش داوطلبانه افراد همفکر بود. اما ما به بازیگران بزرگی مانند شرکتها و دولتها – که به طور فزایندهای به طور مستقیم و غیرمستقیم از FOSS حمایت میکنند – توصیه میکنیم تا تأثیر آنها بر آینده اکوسیستم FOSS را درک کرده و از چند اصل راهنما پیروی کنند.
اول، هدف هر دو شرکت و کشورها باید ایجاد تعادل مناسب باشد: دیدن اینکه FOSS همچنان در حال رشد است بدون از بین بردن روح جامعه که در قلب انگیزههای مشارکت بوده است. این بدان معناست که شرکتها باید سیاست روشنی در قبال منبع باز داشته باشند، ترجیحاً سیاستی که کارکنان را تشویق میکند تا در صورت امکان به FOSS کمک کنند. تحقیقات ما نشان داد که بسیاری از کارکنان درک روشنی از سیاستهای FOSS شرکت خود ندارند، که باعث میشود آنها در استفاده آشکار و مشارکت در پروژههای FOSS مردد باشند. علاوه بر این، آنها میتوانند به طور فعال از این پروژهها برای اطمینان از سلامت آینده خود حمایت کنند.
ثانیاً، شرکتهایی که از FOSS استفاده میکنند (که اساساً همه شرکتها هستند، چه آنها بدانند و چه آن را نشناسند) باید سطح آگاهی خود را در مورد FOSS مورد استفاده خود افزایش دهند. یک فرمان اجرایی اخیر ریاست جمهوری مستلزم تهیه یک لایحه نرم افزاری مواد (SBOM) برای هر محصولی است که توسط دولت خریداری شده است تا بداند FOSS و نرم افزار اختصاصی در محصول چیست و بنابراین میتواند از آسیب پذیریهای احتمالی آگاه باشد. این یک مثال مهم است که همه شرکتها باید به دنبال آن باشند. انجام این کار به شرکتها اجازه میدهد تا وابستگی خود را به جامعه FOSS بهتر درک کنند و شفافیت بیشتری را به همراه خواهد داشت و به آنها این امکان را میدهد که بدانند چه زمانی مستعد آسیب پذیریهای جدید هستند.
سوم، با ادامه مشارکت شرکتها در مشارکت در FOSS، ما پیشنهاد میکنیم که ثبات نرم افزاری را که استفاده میکنند در نظر داشته باشند و مشارکت کارکنان خود را برای تمرکز بر ویژگیهای مفید برای شرکت و همچنین امنیت و نگهداری عمومی تشویق کنند. آگاه باشید که جامعه داوطلب پشت این پروژهها حیاتی است و باید از آنها محافظت شود. به این ترتیب، آنها نه تنها از ویژگیهای جدیدی که اضافه میکنند بهره مند میشوند، بلکه از سلامت و رفاه آینده FOSS که به آن تکیه میکنند اطمینان میدهند.
نرم افزارهای رایگان و منبع باز یک موضوع حیاتی، مانند بزرگراههای بین ایالتی، شبکه برق یا شبکه ارتباطات در اقتصاد هستند. با توجه به این که ما در مورد آن سیستمهای زیرساختی حیاتی میدانیم، آیا یادگیری دقیقاً در مورد معادل قرن 21 آنها منطقی نیست؟ با توجه به تعدادی از ذینفعان درگیر در اکوسیستم FOSS، حل همه مسائل برای هر بازیگری مشکل است. بنابراین، به احتمال زیاد برای اطمینان از امنیت و سرزندگی اکوسیستم FOSS در آینده، تلاش چند گروهی شامل شرکتها، سازمانهای دولتی و مشارکت کنندگان فردی ضروری خواهد بود. با این حال، درک دامنه مشکل ابتدا باید رخ دهد. ما معتقدیم که تلاشهای ما یکی از اولین گامها در این راستا است.
https://hbr.org
