对近1,200个FOSS贡献者的调查发现,开发人员的安全性较低。优先级列表。
Linux基金会对自由和开源软件(FOSS)社区进行的一项新调查表明,参与者在安全性问题上花费的时间不到3%,并且几乎没有希望增加这一时间。
一份基于Linux基金会和哈佛大学创新科学实验室(LISH)近1200名FOSS贡献者的答案的报告强调了“明确的需求”。随着企业和经济越来越依赖开源软件,开发人员可以将更多的时间用于FOSS项目的安全。
该调查包括旨在帮助研究人员了解贡献者如何分配时间到FOSS的问题,该调查显示,受访者平均花了其总贡献时间的2.27%来应对安全问题。
此外,答复表明,许多答复者对增加安全性的时间和精力不感兴趣。一位受访者评论说,他们为安全企业找到了令人头疼的琐事,这是最适合律师和程序怪胎的主题,"另一位则说:“我发现安全性是令人无聊的程序障碍。”
研究人员得出结论,将需要一种用于FOSS的安全性和审计的新方法,以改善安全性实践,同时限制贡献者的负担。
贡献者最需要的工具包括错误和安全修复,免费的安全审核以及将安全相关工具添加到其持续集成(CI)管道的简化方法。
显然,有必要为FOSS的安全做出更多的努力,但负担不应该完全由贡献者承担。阅读报告。
"开发人员通常不希望成为安全审核员;他们想接收审核结果。"
研究人员提出的其他解决方案包括鼓励组织将精力重新投入到识别和解决项目本身的安全问题中。或者,开发人员可以重写易受漏洞影响的FOSS项目的部分或整个组件,"而不是试图修补现有代码。
研究人员继续说:提高重写安全性的一种方法是从内存不安全的语言(例如C或C ++)切换到内存安全的语言(例如几乎所有其他语言),&# 34;研究人员说。
性别多样性-或者说缺乏性别多样性-是该报告的另一个重要发现。
在1,196名被调查者中,有91%报告称是男性,年龄在25至44岁之间。研究人员指出,这些发现强调了人们对FOSS社区中女性代表性不足的持续关注。并指出,报告中缺乏女性代表,这表明结果偏向于男性贡献者。 FOSS活动,并不能完全代表女性对FOSS的贡献。"
接受调查的大多数受访者来自北美或欧洲,其中大多数是全职工作。将近一半(48.7%)的人表示,雇主为他们的开源捐款花了时间,而有44.02%的人表示,由于其他原因而没有得到报酬。
有趣的是,结果表明COVID-19大流行对贡献者的工作状态几乎没有影响,只有极少数的受访者称其退出了劳动力队伍。研究人员再次指出,由于在调查中缺乏女性代表,因此,这些发现可能无法反映参与FOSS的妇女的经历,特别是在大流行期间受到家庭责任增加影响的妇女的经历。
尽管绝大多数受访者(74.8%)从事全职工作,而一半以上(51.6%)的人专门为开发FOSS付费,但在开发人员中的得分却很低。为开源项目做出贡献的动机,以及在同行中获得认可的愿望。
取而代之的是,开发人员说,他们纯粹是对他们正在从事的开源项目的功能,修复和解决方案感兴趣。其他主要动机包括娱乐和渴望回馈他们使用的FOSS项目。
"数字和实体的现代经济越来越依赖于自由和开源软件,"哈佛商学院助理教授弗兰克·纳格说。
"了解FOSS贡献者的动机和行为是确保此关键基础设施的未来安全性和可持续性的关键。
从最热门的编程语言到薪水最高的职位,请获取您需要了解的开发人员新闻和提示。每周
立即注册