IT资讯 开源开发者:不想在项目安全性上浪费时间

duane · 2020-12-11 09:00:06 · 热度: 15

Linux 基金会联合哈佛大学创新科学实验室(LISH)进行了一项针对 FOSS(Free and Open Source Software,自由开源软件)贡献者的调查。

调查的主要目的在于,确定怎样最好地提高自由开源软件的安全性和可持续性(特别是那些被现代经济广为依赖的项目)。具体表现为,该调查旨在帮助回答这一问题:"我们该如何更好地激励对使用最多的自由开源软件项目进行充分的维护和保障?"

开源开发者:不想在项目安全性上浪费时间

调查基于 1196 名开发者进行,其中 30 多岁的 程序员 占多数。大多数(74.87%)的受访者从事的是全职工作,年均薪资水平为 12.3 万美元;超过一半(51.65%)的受访者有专门的报酬来开发 FOSS。受访者表示,他们为开源软件作出贡献的动机集中在:增加所需的功能或修复、享受学习和满足创造性或愉快工作的需要。相比较而言,报酬并不是最主要的动机。

不过报告也指出,虽然大众仍对开源贡献保有着热情,但软件开发的一个重要领域 — 安全性,却得到了忽视。调查结果表明,受访者平均在安全上花费的时间仅占其总贡献时间的 2.27%;并且他们还表示,没有增加这一时间的想法。

对此,Linux 基金会的开源供应链安全总监 David A. Wheeler 则表示,"2020 年的研究结果表明,我们需要采取措施,在不给贡献者造成过重负担的情况下提高安全性"。

研究人员提出了一个建议称,可以将资金和资源用于特定的安全目的。包括将安全相关 工具 添加到持续集成(CI)管道、安全审计和计算资源中。换句话说,就是让开发人员能够更容易将安全添加到他们的项目中。具体表现为:

  • 为关键的开源项目的安全审核提供资金,并要求审核产生特定的可合并更改。 
  • 重写易受漏洞影响的 FOSS 项目的部分或全部组件,从而产生实质上更安全的结果(例如,以内存安全语言进行重写)。 
  • 优先考虑安全软件开发的最佳做法。 
  • 公司应将安全的软件开发培训作为其有偿 FOSS 开发人员聘用或持续专业开发的要求。 
  • 利用徽章计划、指导计划以及受尊敬的 FOSS 贡献者的影响来鼓励项目及其贡献者开发和维护安全的软件开发实践。 
  • 鼓励项目将安全工具和自动化测试纳入其持续集成(CI)流程的一部分;最好是作为其默认代码管理平台的一部分。 

此外,调查还发现,企业在支持员工从事开源贡献方面也做得越来越好。有超过 45.45% 的受访者表示,其现在已无需征求许可就可以自由地为开源项目做出贡献;10 年前,这一比例为 35.84%。不过,也有 17.48% 的受访者称,他们的公司对员工是否可以自由参与贡献没有明确的规定,还有 5.59% 的人则不知道公司是否存在相关政策。 

完整报告地址:https://www.linuxfoundation.org/wp-content/uploads/2020/12/2020FOSSContributorSurveyReport_V7.pdf

猜你喜欢:
暂无回复。
需要 登录 后方可回复, 如果你还没有账号请点击这里 注册