- PVSM.RU - https://www.pvsm.ru -
Обсуждаем трудности, которые стоят перед разработчиками открытого ПО, и то, как сложности, с которыми им приходится сталкиваться, влияют на ИТ-экосистему в целом.
[1]
Фото — James Sutton [2] — Unsplash
По данным [3] Linux Foundation, 72% компаний из Fortune 2000 используют open source инструменты для решения своих задач. При этом 55% задействуют открытый код в коммерческих продуктах. Открытое ПО распространено в дата-центрах — например, с ним работают [4] Facebook, Rackspace, NASA и AT&T [5]. Ряд облачных провайдеров и ИТ-компаний даже основал организацию Open Compute Project [6]. Она разрабатывает открытый стандарт архитектуры серверных стоек (Open Rack) и требования к модульному серверу для облачных дата-центров (OpenCloud Server).
Значительная часть популярных open source продуктов — это масштабные проекты вроде Kubernetes, TensorFlow или Ansible. Их разрабатывают и финансируют крупные ИТ-компании. Но есть и небольшие продукты (например, cURL [7]), которые поддерживают энтузиасты. Часто они делают это на добровольной основе и в свободное время. И здесь кроются подводные камни.
Концепция open source подразумевает, что модифицировать исходники и исправлять в них ошибки могут все желающие. Коллективные усилия повышают качество кодовой базы и сокращают число багов. Но к сожалению, эта модель работает не всегда.
Значительную часть изменений в open source проект вносит или маленькая команда, или один мейнтейнер. Например, из 25 тыс. коммитов в репозитории cURL [8], 14 тыс. принадлежат автору — Даниэлю Стенбергу (Daniel Stenberg). Долгое время число разработчиков библиотеки OpenSSL не превышало [9] четырех человек. Большую часть коммитов сделал [10] один из них — Стив Хенсон (Steve Henson). Поэтому в таких условиях легко недоглядеть и «пропустить» баг.
Так, пять лет назад в OpenSSL обнаружили одну из самых крупных уязвимостей в софте — Heartbleed [11]. Она позволяет несанкционированно читать память на сервере или клиенте. Тогда число уязвимых веб-сайтов оценили [12] в полмиллиона. Патч выпустили сразу, но еще в 2017 году работали [13] 200 тыс. сайтов, подверженных Heartbleed.
Фото — James Sutton [2] — Unsplash
Многие open source проекты испытывают проблемы с финансированием. Тот же OpenSSL существует [9] за счет пожертвований комьюнити и доходов с корпоративных контрактов — сумма не превышает миллиона долларов в год. Бывший CEO проекта говорит [14], что одной из причин появления Heartbleed стал именно недостаток финансирования. Инженерам бывает сложно привлечь средства даже за консультации. По словам [15] Даниэля Стенберга, к нему часто обращаются международные компании с просьбами помочь решить проблему в cURL. Но каждый раз, когда он просит оплатить его работу, беседа почему-то прекращается.
«Иногда разработчики занимаются открытыми проектами в свободное время в качестве хобби. Поэтому неудивительно, что некоторые приложения забрасывают. Если никто не хочет поддерживать проект на плаву, сформированное вокруг него комьюнити распадается.
В худшем случае пользователи системы могут стать целью хакерской атаки. Пример — прошлогодняя атака [16] на npm-модуль event-stream».
Автор проекта, Доминик Тарр (Dominic Tarr), переключился на другие задачи и оставил свое детище без внимания. Некий пользователь предложил взять поддержку модуля на себя.
Тарр согласился и предоставил ему доступ к репозиторию на GitHub и npm. Со временем новый мейнтейнер внедрил [17] в утилиту скрипт, который воровал данные биткоин-кошельков и загружал их на его сервер. Уязвимость затронула большое число пользователей, учитывая, что у event-stream 1,9 млн скачиваний в неделю.
По данным [18] Национального бюро экономических исследований США, главный мотивирующий фактор развития open source — это экономическая выгода. Поэтому разработчики открытого ПО ищут способы его монетизировать. Например, переводят часть модулей на ограничивающие или даже коммерческие лицензии. По этому пути пошли MongoDB, Redis и другие компании.
Подробнее о ситуации мы уже говорили [19]. Разработчики считают, что даже частичная коммерциализация кода позволит открыть дополнительный источник дохода и привлечь новых людей в проект. Но такая модель часто воспринимается ИТ-сообществом в штыки.
Есть мнение, что подход противоречит концепции открытого ПО. При этом он годится не для всех. В 2017 году HTTP/2 веб-сервер Caddy анонсировал [20] коммерческую лицензию. Но по каким-то причинам месяц назад проект вновь вернули [21] в open source.
Фото — Artem Beliaikin [22] — Unsplash
Мировая интернет-инфраструктура зависит от открытых проектов. Поэтому важно уделять внимание их поддержке. И работа в этом направлении ведется. В Linux Foundation регулярно появляются [23] новые резиденты. Все больше в open source инвестируют [24] крупные компании. Возможно, такие инициативы помогут избежать повторения истории, аналогичной Heartbleed.
Дополнительное чтение в блоге 1cloud.ru:
Спасет ли облако ультра-бюджетные смартфоны [25]
Почему Apple изменила требования к разработчикам приложений [26]
Эволюция архитектуры облака 1cloud [27]
Что нового в Linux kernel 5.3 — графические драйверы, виртуализация и другие обновления [28]
Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена [29]
Почему Apple изменила требования к разработчикам приложений [26]
Автор: 1cloud
Источник [30]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/336043
Ссылки в тексте:
[1] Image: https://habr.com/ru/company/1cloud/blog/475164/
[2] James Sutton: https://unsplash.com/photos/mcjvw2570iA
[3] данным: https://www.linuxfoundation.org/uncategorized/2018/08/corporate-open-source-programs-are-on-the-rise-as-shared-software-development-becomes-mainstream-for-businesses/
[4] работают: https://www.dotmagazine.online/issues/self-regulation-for-a-better-internet/does-self-regulation-empower-industry/open-source-future-of-dc-hardware
[5] AT&T: http://about.att.com/innovationblog/061714hittingtheopen
[6] Open Compute Project: https://en.wikipedia.org/wiki/Open_Compute_Project
[7] cURL: https://curl.haxx.se/
[8] коммитов в репозитории cURL: https://github.com/curl/curl/graphs/contributors
[9] не превышало: https://www.vice.com/en_us/article/43zak3/the-internet-was-built-on-the-free-labor-of-open-source-developers-is-that-sustainable
[10] сделал: https://www.openssl.org/blog/blog/2017/10/24/steve-henson/
[11] Heartbleed: https://habr.com/ru/company/1cloud/blog/449866/
[12] оценили: https://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
[13] работали: https://thehackernews.com/2017/01/heartbleed-openssl-vulnerability.html
[14] говорит: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/
[15] словам: https://onezero.medium.com/the-internet-relies-on-people-working-for-free-a79104a68bcc
[16] атака: https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident
[17] внедрил: https://schneider.dev/blog/event-stream-vulnerability-explained/
[18] данным: https://www.nber.org/papers/w7600.pdf
[19] мы уже говорили: https://habr.com/ru/company/1cloud/blog/472964/
[20] анонсировал: https://news.ycombinator.com/item?id=15237923
[21] вернули: https://github.com/caddyserver/caddy/issues/2786
[22] Artem Beliaikin: https://unsplash.com/@belart84
[23] появляются: https://www.linuxfoundation.org/press-release/2019/04/43-new-members-join-the-linux-foundation-and-increase-their-participation-in-open-source-innovation/
[24] инвестируют: https://www.theverge.com/2018/10/26/17954714/microsoft-github-deal-acquisition-complete
[25] Спасет ли облако ультра-бюджетные смартфоны: https://1cloud.ru/blog/oblako-i-budgetnie-smartfoni?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog
[26] Почему Apple изменила требования к разработчикам приложений: https://1cloud.ru/blog/apple-izmenila-trebovania-k-razrabotchikam-prilogenii?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog
[27] Эволюция архитектуры облака 1cloud: https://1cloud.ru/blog/our-system-architecture-evolution?utm_source=habrahabr&utm_medium=cpm&utm_campaign=commandtools&utm_content=blogg
[28] Что нового в Linux kernel 5.3 — графические драйверы, виртуализация и другие обновления: https://1cloud.ru/blog/chto-novogo-v-linux-kernel-5-3?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog
[29] Почему разработчики мейнстрим-браузера снова отказались от отображения поддомена: https://1cloud.ru/blog/chrome-otkazalis-ot-otobragenia-www?utm_source=habrahabr&utm_medium=cpm&utm_campaign=open&utm_content=blog
[30] Источник: https://habr.com/ru/post/475164/?utm_source=habrahabr&utm_medium=rss&utm_campaign=475164
Нажмите здесь для печати.