- PVSM.RU - https://www.pvsm.ru -
В начале января разработчик библиотек faker.js и colors.js намеренно «испортил [1]» собственные программные продукты. Он добавил в код бесконечный цикл, который выводил в консоль бессмыслицу. В результате нарушилась работа тысяч приложений по всему миру, в том числе у крупных облачных провайдеров. Таким необычным (но крайне эффективным) образом инженер хотел привлечь внимание к проблеме финансирования и уважения к труду open source разработчиков.
Пользуясь случаем, мы решили обсудить разные точки зрения, касающиеся финансирования разработки открытых проектов.
Примерно девять из десяти компаний работает [2] с открытыми инструментами. В то же время open source составляет базу мировой интернет-инфраструктуры. Так, веб-серверы Apache и Nginx использует [3] более 60% сайтов, а Linux доминирует [4] в облаке. Некоторые провайдеры не останавливаются на программном обеспечении и используют в своих дата-центрах открытые стандарты серверных стоек [5].
Концепция open source проста и понятна — тысячи разработчиков по всему миру совместными усилиями развивают проекты и следят за качеством кода. Но на практике такая модель работает не всегда. Достаточно частая история, когда FOSS поддерживает или небольшая команда энтузиастов, или «тот единственный инженер» в свободное время. Подобная модель — при не совсем аккуратном применении — несет риски [6] для критически значимой инфраструктуры. Энтузиасты могут забросить разработку в любой момент или внести существенные изменения в код.
Ситуация, сложившаяся вокруг библиотек faker.js и colors.js, далеко не единственная. Еще в 2018 году разработчик npm-модуля event-stream передал [7] управление репозиторием другому участнику сообщества, который внедрил [8] в утилиту скрипт, ворующий данные криптовалютных кошельков у пользователей. Однако еще одна причина, почему FOSS не всегда может быть лучшей основой для интернет-инфраструктуры, связана с низким финансированием этого направления.
Большинство open source разработчиков трудится за свой счет. В этом нет ничего удивительного, если речь идет о небольшом домашнем проекте. Но ситуация меняется, как только инструментом начинают пользоваться тысячи компаний по всему миру. Большая часть разработчиков денег все так же практически не получают, а уровень ответственности и репутационные риски серьезно возрастают.
Так, в конце прошлого года в библиотеке Log4j обнаружили [9] уязвимость. Она позволяла выполнить любой вредоносный код на сервере. Команда мейнтейнеров работала круглые сутки [6] в новогодние праздники, чтобы закрыть уязвимости, которые продолжали появляться [10]. Но несмотря на колоссальные усилия, автора библиотеки и его команду постоянно критиковали [11] за нерасторопность.
Cитуацию усугубляет [3] тот факт, что корпорации и облачные провайдеры часто перепродают [12] open source инструменты своим клиентам в SaaS-обертке, но ничего не привносят в исходных продукт. Неудивительно, что разработчики FOSS задаются вопросом, а нужно ли продолжать развивать проект, если они не получают ни признания, ни денег, ни какого-либо иного вклада в общее дело?
Есть мнение, что ситуацию вообще не нужно исправлять. Тот, кто решил запустить open source проект, должен был изначально понимать, на что идет. Жаловаться на недостатки финансирования и монетизацию продукта другими компаниями нет смысла — нужно было делать закрытую или ограниченную лицензию. И некоторые разработчики уже пошли по этому пути. Так поступили в Redis, изменив [13] порядок лицензирования для некоторых модулей Redis Labs. Хотя практика встречает некоторое сопротивление в ИТ-сообществе. Есть мнение, что она противоречит духу открытого программного обеспечения.
Достаточно очевидным вариантом монетизации FOSS также являются донаты. Но таких сборов не всегда достаточно [14] для полноценной работы. Другой выход из ситуации — привлечение инвестиций от коммерческих и государственных компаний. Но если одни считают это благом, другие — способом разрушить идею открытого программного обеспечения. Некоторые уверены, что крупные компании нарушат принципы управления сообществом и попытаются повлиять на его развитие. Достаточно вспомнить реакцию [15]на новость о покупке GitHub.
Еще одной популярной и достаточно очевидной моделью монетизации FOSS является freemium. В этом случае базовый продукт доступен бесплатно, но пользователи могут приобрести дополнительные функции — например, эту модель применяет [16] GitLab. Некоторые предлагают [17] платные услуги консалтинга и обучение. Однако подобные способы подходят больше для компаний, и далеко не каждый инди-разработчик захочет продавать свой продукт, чтобы потом заниматься техподдержкой, консультациями и обрабатывать запросы покупателей, требующих внедрить «эту важную функцию» и «исправить ту нужную штуку».
А как вы думаете, нужно ли решать вопрос с компенсацией разработчикам открытого ПО, или все устроено так, как это должно быть и задумывалось изначально?
О чем мы пишем в корпоративном блоге:
Автор: VAS Experts
Источник [22]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/371499
Ссылки в тексте:
[1] испортил: https://habr.com/ru/news/t/599865/
[2] работает: https://www.zdnet.com/article/open-source-nine-out-of-ten-companies-use-it-but-how-much-is-it-really-worth/
[3] использует: https://hbr.org/2021/09/the-digital-economy-runs-on-open-source-heres-how-to-protect-it
[4] доминирует: https://www.cbtnuggets.com/blog/certifications/open-source/why-linux-runs-90-percent-of-the-public-cloud-workload
[5] стандарты серверных стоек: https://engineering.fb.com/2019/03/15/data-center-engineering/open-rack/
[6] несет риски: https://www.technologyreview.com/2021/12/17/1042692/log4j-internet-open-source-hacking/
[7] передал: https://blog.npmjs.org/post/180565383195/details-about-the-event-stream-incident
[8] внедрил: https://schneider.dev/blog/event-stream-vulnerability-explained/
[9] обнаружили: https://theconversation.com/what-is-log4j-a-cybersecurity-expert-explains-the-latest-internet-vulnerability-how-bad-it-is-and-whats-at-stake-173896
[10] продолжали появляться: https://www.bleepingcomputer.com/news/security/all-log4j-logback-bugs-we-know-so-far-and-why-you-must-ditch-215/
[11] критиковали: https://twitter.com/yazicivo/status/1469349956880408583
[12] перепродают: https://www.iguazio.com/did-amazon-just-kill-open-source/
[13] изменив: https://redis.com/blog/redis-license-bsd-will-remain-bsd/
[14] не всегда достаточно: http://veridicalsystems.com/blog/of-money-responsibility-and-pride/
[15] реакцию : https://news.ycombinator.com/item?id=17221527
[16] применяет: https://about.gitlab.com/pricing/
[17] предлагают: https://plausible.io/blog/open-source-funding
[18] DNS-over-HTTPS — как идет адаптация: https://vasexperts.ru/blog/seti/dns-over-https-kak-idet-adaptaciya/
[19] P2P-протокол Dat — как работает и кем используется: https://vasexperts.ru/blog/seti/p2p-protokol-dat-kak-rabotaet-i-kem-ispolzuetsya/
[20] Как детектировать Brute Force в сети оператора: https://vasexperts.ru/blog/bezopasnost/kak-detektirovat-brute-force-v-seti-operatora
[21] Критические ошибки в строительстве сетей операторов связи: https://vasexperts.ru/blog/telekom/ekonomiya-na-spichkax-i-neskolko-sposobov-vystrelit-sebe-v-nogu-kriticheskie-oshibki-v-stroitelstve-setej-operatorov-svyazi/
[22] Источник: https://habr.com/ru/post/647187/?utm_source=habrahabr&utm_medium=rss&utm_campaign=647187
Нажмите здесь для печати.