Якщо ви платите розробникам більше грошей, вони покращать якість свого коду. Звучить логічно, чи не так? Однак не все так однозначно, повідомляє DevOps.com.
Досі було небагато прямих доказів того, що вища платня розробникам відкритого коду стимулює їх створювати більш безпечний код.
Лабораторія цифрових криміналістичних досліджень Атлантичної ради (DFRLab) нещодавно продемонструвала взаємозв’язок між фінансуванням менейнтейнерів і безпекою відкритого коду.
Зокрема, дослідники виявили очевидні докази позитивного впливу загального фінансування програмного забезпечення із відкритим кодом на безпеку програмного забезпечення із відкритим кодом.
Вони переглянули 1000 найбільш завантажуваних пакетів Python Package Index (PyPl) і npm JavaScript. Використовуючи такі інструменти Open Source Security Foundation (OpenSSF), як finder-finder і Security Scorecard, дослідники побачили зв’язок між фінансовою підтримкою та покращенням безпеки.
Це може здатися очевидним висновком, але докази не такі чіткі, як ви думаєте. Дослідники повідомляють лише з «помірною впевненістю», що існує значущий зв’язок між більшим фінансуванням проєктів із відкритим кодом і покращеною безпекою. Більше фінансування зазвичай корелює з більш різко диференційованими методами безпеки.
Здається, це суперечить здоровому глузду.
Як сказала Дана Ван, головний архітектор OpenSSF, збалансувати безпеку, надійність, доступність, продуктивність і вартість програмного забезпечення із відкритим вихідним кодом не є тривіальним. Менейнтейнерам іноді доводиться вибирати між новими функціями, виправленнями помилок і менш критичними виправленнями безпеки.
І навіть після таких фіаско безпеки проєкту з відкритим кодом, як Log4J, як ми всі знаємо, безпека надто часто займає останнє місце у списку пріоритетів розробників.
Тим не менш, інші дослідження, як-от звіт компанії Tidelift із забезпечення безпеки програмування за 2023 рік, показали, що оплачувані мейнтейнери мали на 25-30% більше шансів виконати роботу або план із безпеки порівняно з неоплачуваними мейнтейнерами.
В іншому дослідженні Synopsys, звіті про безпеку та аналіз ризиків із відкритим вихідним кодом за 2024 рік, лише половина кодових баз містила компоненти з відкритим кодом без жодних нових розробок за останні 2 роки. А 91% містили компоненти на 10 або більше версій позаду останньої версії.
Це помилка користувачів із відкритим кодом, а не недооплачуваних розробників із відкритим кодом.
Дослідження DFRLab також виявило, що різноманітність джерел фінансування виявилася корисною. Тобто проєкти з кількома спонсорами, очевидно, працюють краще (принаймні з безпекою), аніж проєкти з одним спонсором. Це свідчить про те, що інвесторам слід шукати різноманітні механізми підтримки, а не фінансування з окремих джерел.
Одна з причин, чому результати такі нечіткі, полягає в тому, що ми не маємо достатньо даних. Ось що зауважила команда DFRLab:
«Інструмент OpenSSF Scorecard сам по собі має кілька особливостей. Scorecard не обов’язково фіксує всі покращення безпеки, які можуть відбутися під час проєкту. Наприклад, аудит безпеки, який добровільно оплачують супроводжувачі, що отримали фінансування, може шукати та виправляти нові вразливості, але, ймовірно, безпосередньо не покращуватиме жодну метрику Scorecard. Деякі практики також можуть відповідати критеріям OpenSSF у принципі, але бути пропущеними автоматичною перевіркою системи показників. Наприклад, проєкт може включати сильну політику безпеки, але мати іншу назву файлу, ніж те, що шукає система показників, і, отже, не пройти підперевірку».
Як заявляє DFRLab, зараз потрібні додаткові дослідження, щоб зрозуміти, як фінансування впливає на безпеку. Ніхто не може сумніватися, що більше грошей допомагає, але найефективніший спосіб фінансування проєктів, мейнтейнерів та розробників і спосіб вимірювання результатів залишаються незрозумілими.
Попри те, наскільки безпека з відкритим кодом є критично важливою для всіх наших технологій, чим швидше ми це зрозуміємо, тим краще.
Раніше ProIT повідомляв, що Atlassian додає ШІ-інструмент для автоматизації розробки ПЗ.
Також ми розповідали, що GitHub Copilot Workspace вдосконалює ШІ-функції для розробників.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!