SG.hu
Ingyen dolgoznak a nyílt forráskódú projekteket fejlesztők
A nyílt forráskódú projektek karbantartóinak többsége nem kap fizetést a munkájáért, háromszor annyi időt fordítanak a biztonságra, mint három évvel ezelőtt, és az xz backdoor után kevésbé bíznak a hozzájárulókban - derül ki a Tidelift biztonsági cég felméréséből. Nem csoda tehát, hogy a karbantartók populációja öregszik - nem sok újonnan érkezett ember akar egy alulfizetett, megbecsülést nélkülöző munkát végezni.
A Tidelift 202-es State of the Open Source Maintainer Report című jelentése több mint 400 szakember véleményét összegzi. A felmérést kitöltők mintegy 45 százaléka már több mint 10 éve végzi a munkáját, és a kormegoszlás egyre idősebb. A jelentés szerint „a 2021-es első felmérésünk óta megduplázódott a saját magukat 46-55 vagy 56-65 évesnek vallók aránya, míg a 26 év alattiak aránya a 2021-es felmérésünkben mért 25 százalékról tavaly 12 százalékra, most pedig 10 százalékra esett vissza”. Linus Torvalds, a Linux kernel atyja is megszólalt az elöregedéssel kapcsolatos aggodalmak kapcsán. A héten a Linux Foundation Open Source Summit Europe rendezvényén elmondta, hogy megérti, hogy a karbantartók közössége nem lesz fiatalabb, de egy olyan összetett projektnek, mint a Linux, sokéves tapasztalattal rendelkező résztvevőkre van szüksége. Jelezte, hogy még évekig folytatni kívánja a szerepét, és azt sugallta, hogy őszülő haja „a megfelelő színű”. A válaszadók főként Európából (48 százalék) és Észak-Amerikából (38 százalék) származnak, és nagyrészt férfiként azonosítják magukat (85 százalék), a többiek a női (hat százalék), a nem bináris (három százalék) és a nem válaszol (hat százalék) jelölőnégyzeteket ikszelték be.
A válaszadók 60 százaléka nem fizetett hobbistának vallotta magát - ez ugyanannyi, mint a tavalyi felmérésben. A Tidelift ezt „kiábrándítónak” tartja, mivel az xz kompromittálódás - amelynek során legalább egy támadó éveken keresztül türelmesen beférkőzött a programozók bizalmába, hogy hátsó ajtót építsen egy szoftvercsomagba - megmutatta, hogy a fizetetlen, magányos karbantartók mekkora kockázatot jelentenek a szoftverellátási láncokra. Az xz incidensnek azonban volt némi hatása: A kitöltők kétharmada (66 százalék) azt mondta, hogy kevésbé bízik a kívülről érkező kérelmekben. Ez nem feltétlenül rossz dolog, ha ez azt jelenti, hogy a kód-hozzájárulásokat alaposabban megvizsgálják, de több munkát jelent, amit nem biztos, hogy értékelnek.
Van némi jele annak, hogy ez történik. A válaszadók szerint háromszor annyi időt (a teljes idő 11 százalékát) fordítják a biztonságra, mint 2021-ben (amikor ez a teljes idő négy százalékát tette ki). Az egyéb tevékenységek közé tartoznak: napi karbantartási munkák (50 százalék), új funkciók kiépítése (35 százalék), finanszírozás/támogatás keresése (2 százalék) és egyéb (két százalék). A hivatásos és félprofesszionális programozók több időt töltenek biztonsági munkával, mint a nem fizetett hobbisták (13 százalék a 10 százalékkal szemben), és karbantartással (53 százalék a 48 százalékkal szemben).
A válaszadók jobban megismerték az olyan iparági biztonsági szabványokat, mint a NIST Secure Software Development Framework (SSDF), az OpenSSF Scorecard és a Supply Chain Levels for Software Artifacts (SLSA) Framework, valamint az amerikai Cybersecurity and Infrastructure Security Agency (CISA) Secure by Design elnevezésű ígéretét. E kezdeményezések közül az OpenSSF Scorecard ismertsége volt a legmagasabb (40 százalék), ami jobb, mint a korábbi felmérés során (28 százalék). Ami azonban azt illeti, hogy valóban végrehajtják-e az ajánlott gyakorlatokat, a fizetett munkások nagyobb valószínűséggel (átlagosan 55 százalékkal) tették ezt meg, mint a nem fizetettek.
A jelentés megjegyzi, hogy nagy eltérés van a magukat fizetetlen hobbistáknak valló válaszadók (60 százalék) és a munkájukért fizetés nélkül dolgozók (47 százalék) között. A Tidelift ezt a különbséget a felmérés kérdésének megfogalmazásának tulajdonítja: Azok egy része, akik fizetetlen hobbistaként azonosítják magukat, olyan névleges összeget kaphatnak, amely nem elég ahhoz, hogy fizetett szakembernek vagy félprofi szakembernek tekintsék magukat. A Tidelift jelentése még így is megállapítja, hogy az emberek még mindig nagyrészt adományokból (25 százalék, olyan projektekből, mint a GitHub Sponsors), olyan vállalati fizetésekből, amelyek kifejezetten nyílt forráskódú karbantartást tartalmaznak (24 százalék), vagy a Tidelift-től (19 százalék) kapnak jövedelmet. A vállalatoktól (öt százalék), a nyílt forráskódú alapítványoktól (három százalék), valamint a kormányoktól vagy más közintézményektől (egy százalék) származó közvetlen kifizetések még mindig nagyon kis részét teszik ki a karbantartók összjövedelmének.
„Ha nem találjuk ki, hogyan kompenzáljuk és ismerjük el megfelelően a dolgozókat az általuk létrehozott értékért, egy nap arra ébredhetünk, hogy a projektek, amelyekre a leginkább támaszkodunk, már egyáltalán nem kerülnek karbantartásra” - áll a jelentésben. Végül a Tidelift jelentése azt vizsgálta, hogy a nyílt forráskódon dolgozók hogyan látják az MI-eszközök hatását. A válaszadók 23 százaléka „rendkívül negatívan”, 22 százaléka „valamelyest negatívan”, 24 százaléka „sem pozitívan, sem negatívan”, 22 százaléka „valamelyest pozitívan”, kilenc százaléka pedig „rendkívül pozitívan” nyilatkozott. A mesterséges intelligencia kódoló eszközökkel kapcsolatos aggodalmak közé tartozik a hibás, bár nem nyilvánvalóan hibás kód, ami több javítási munkát okoz, valamint a pull request spam. Az emberek kétharmada (64%) azt mondta, hogy kevésbé hajlandó elfogadni a mesterséges intelligencia-kódoló eszközöket használó közreműködők pull-kérelmeit.
A Tidelift 202-es State of the Open Source Maintainer Report című jelentése több mint 400 szakember véleményét összegzi. A felmérést kitöltők mintegy 45 százaléka már több mint 10 éve végzi a munkáját, és a kormegoszlás egyre idősebb. A jelentés szerint „a 2021-es első felmérésünk óta megduplázódott a saját magukat 46-55 vagy 56-65 évesnek vallók aránya, míg a 26 év alattiak aránya a 2021-es felmérésünkben mért 25 százalékról tavaly 12 százalékra, most pedig 10 százalékra esett vissza”. Linus Torvalds, a Linux kernel atyja is megszólalt az elöregedéssel kapcsolatos aggodalmak kapcsán. A héten a Linux Foundation Open Source Summit Europe rendezvényén elmondta, hogy megérti, hogy a karbantartók közössége nem lesz fiatalabb, de egy olyan összetett projektnek, mint a Linux, sokéves tapasztalattal rendelkező résztvevőkre van szüksége. Jelezte, hogy még évekig folytatni kívánja a szerepét, és azt sugallta, hogy őszülő haja „a megfelelő színű”. A válaszadók főként Európából (48 százalék) és Észak-Amerikából (38 százalék) származnak, és nagyrészt férfiként azonosítják magukat (85 százalék), a többiek a női (hat százalék), a nem bináris (három százalék) és a nem válaszol (hat százalék) jelölőnégyzeteket ikszelték be.
A válaszadók 60 százaléka nem fizetett hobbistának vallotta magát - ez ugyanannyi, mint a tavalyi felmérésben. A Tidelift ezt „kiábrándítónak” tartja, mivel az xz kompromittálódás - amelynek során legalább egy támadó éveken keresztül türelmesen beférkőzött a programozók bizalmába, hogy hátsó ajtót építsen egy szoftvercsomagba - megmutatta, hogy a fizetetlen, magányos karbantartók mekkora kockázatot jelentenek a szoftverellátási láncokra. Az xz incidensnek azonban volt némi hatása: A kitöltők kétharmada (66 százalék) azt mondta, hogy kevésbé bízik a kívülről érkező kérelmekben. Ez nem feltétlenül rossz dolog, ha ez azt jelenti, hogy a kód-hozzájárulásokat alaposabban megvizsgálják, de több munkát jelent, amit nem biztos, hogy értékelnek.
Van némi jele annak, hogy ez történik. A válaszadók szerint háromszor annyi időt (a teljes idő 11 százalékát) fordítják a biztonságra, mint 2021-ben (amikor ez a teljes idő négy százalékát tette ki). Az egyéb tevékenységek közé tartoznak: napi karbantartási munkák (50 százalék), új funkciók kiépítése (35 százalék), finanszírozás/támogatás keresése (2 százalék) és egyéb (két százalék). A hivatásos és félprofesszionális programozók több időt töltenek biztonsági munkával, mint a nem fizetett hobbisták (13 százalék a 10 százalékkal szemben), és karbantartással (53 százalék a 48 százalékkal szemben).
A válaszadók jobban megismerték az olyan iparági biztonsági szabványokat, mint a NIST Secure Software Development Framework (SSDF), az OpenSSF Scorecard és a Supply Chain Levels for Software Artifacts (SLSA) Framework, valamint az amerikai Cybersecurity and Infrastructure Security Agency (CISA) Secure by Design elnevezésű ígéretét. E kezdeményezések közül az OpenSSF Scorecard ismertsége volt a legmagasabb (40 százalék), ami jobb, mint a korábbi felmérés során (28 százalék). Ami azonban azt illeti, hogy valóban végrehajtják-e az ajánlott gyakorlatokat, a fizetett munkások nagyobb valószínűséggel (átlagosan 55 százalékkal) tették ezt meg, mint a nem fizetettek.
A jelentés megjegyzi, hogy nagy eltérés van a magukat fizetetlen hobbistáknak valló válaszadók (60 százalék) és a munkájukért fizetés nélkül dolgozók (47 százalék) között. A Tidelift ezt a különbséget a felmérés kérdésének megfogalmazásának tulajdonítja: Azok egy része, akik fizetetlen hobbistaként azonosítják magukat, olyan névleges összeget kaphatnak, amely nem elég ahhoz, hogy fizetett szakembernek vagy félprofi szakembernek tekintsék magukat. A Tidelift jelentése még így is megállapítja, hogy az emberek még mindig nagyrészt adományokból (25 százalék, olyan projektekből, mint a GitHub Sponsors), olyan vállalati fizetésekből, amelyek kifejezetten nyílt forráskódú karbantartást tartalmaznak (24 százalék), vagy a Tidelift-től (19 százalék) kapnak jövedelmet. A vállalatoktól (öt százalék), a nyílt forráskódú alapítványoktól (három százalék), valamint a kormányoktól vagy más közintézményektől (egy százalék) származó közvetlen kifizetések még mindig nagyon kis részét teszik ki a karbantartók összjövedelmének.
„Ha nem találjuk ki, hogyan kompenzáljuk és ismerjük el megfelelően a dolgozókat az általuk létrehozott értékért, egy nap arra ébredhetünk, hogy a projektek, amelyekre a leginkább támaszkodunk, már egyáltalán nem kerülnek karbantartásra” - áll a jelentésben. Végül a Tidelift jelentése azt vizsgálta, hogy a nyílt forráskódon dolgozók hogyan látják az MI-eszközök hatását. A válaszadók 23 százaléka „rendkívül negatívan”, 22 százaléka „valamelyest negatívan”, 24 százaléka „sem pozitívan, sem negatívan”, 22 százaléka „valamelyest pozitívan”, kilenc százaléka pedig „rendkívül pozitívan” nyilatkozott. A mesterséges intelligencia kódoló eszközökkel kapcsolatos aggodalmak közé tartozik a hibás, bár nem nyilvánvalóan hibás kód, ami több javítási munkát okoz, valamint a pull request spam. Az emberek kétharmada (64%) azt mondta, hogy kevésbé hajlandó elfogadni a mesterséges intelligencia-kódoló eszközöket használó közreműködők pull-kérelmeit.