Plaćeni održavaoci imaju 55% veću vjerovatnoću da će implementirati kritične sigurnosne prakse i prakse održavanja od neplaćenih održavatelja i posvećuju više vremena implementaciji sigurnosnih praksi poput onih uključenih u industrijske standarde kao što su OpenSSF Scorecard i NIST Secure Software Development Framework (SSDF), prema Tidelift .
Otvoreni kod je moderna platforma za razvoj aplikacija, sa do 98% aplikacija koje sadrže komponente otvorenog koda i otvoreni kod koji čine 70% ili više od prosječne aplikacije. Ipak, od onih koji održavaju čiji je rad ključan za uspjeh otvorenog koda traži se da učine još više kako bi osigurali da njihovi projekti budu dobro održavani i sigurni, dok 60% njih ostaje neplaćeni hobisti.
Finansiranje održavalaca otvorenog koda pojačava sigurnost organizacije
Uzimajući u obzir povećane napade na lanac nabavke softvera, rješavanje prijetnje stvorene ignorisanjem potreba prezaposlenih, nedovoljno cijenjenih i nedovoljno plaćenih održavatelja trebalo bi biti glavni prioritet za organizacije koje se oslanjaju na softver otvorenog koda.
„Zdravlje i sigurnost naše globalne softverske infrastrukture zavise o održavateljima otvorenog koda,“ rekao je Donald Fischer, izvršni direktor Tidelifta. „Plaćanje održavalaca poboljšava njihovu sposobnost da osiguraju da njihovi projekti ispunjavaju stroge sigurnosne zahtjeve koje zahtijevaju korporativni korisnici. Ovi rezultati ankete pokazuju da organizacije mogu pozitivno uticati na sopstvenu sigurnost finansiranjem važnog rada održavalaca otvorenog koda na čije se projekte oslanjaju.”
Najveće sigurnosne prakse koje provode plaćeni održavaoci uključuju dvofaktorsku autentifikaciju (76% u poređenju sa 68% za neplaćene održavaoce), statičku analizu koda (75% naspram 59%), pružanje popravki i preporuka za ranjivosti (70% naspram 54%) ), plan otkrivanja sigurnosti (66% prema 43%), upravljanje tajnama (58% naspram 39%) i potpisano izdanje i objavljeno porijeklo artefakata (50% naspram 28%).
Najbolje prakse održavanja koje provode plaćeni održavaoci uključuju formalnu politiku oko kompatibilnosti unatrag (59% u poređenju sa 39% za neplaćene održavače), reproducibilan i provjerljiv proces izgradnje (58% naspram 50%), proces recenziranja koda s više recenzenata (53 % naspram 27%), i definisani proces upravljanja zavisnošću (50% naspram 33%).
Mnogi održavaoci preferiraju da ostanu neplaćeni
Čak i sa većim uzorkom održavalaca koji su ispunili anketu u poređenju sa 2023., procenat održavalaca koji sebe opisuju kao neplaćene hobiste ostao je identičan: 60%.
16% je reklo da su neplaćeni hobisti i da ne bi željeli biti plaćeni (u poređenju sa 14% u 2023.), a 44% je reklo da su neplaćeni hobisti, ali bi cijenili da budu plaćeni (u poređenju sa 46% u 2023. godini).
Zabrinjava činjenica da se postotak održavatelja koji su plaćeni za svoj rad nije promijenio, posebno u svjetlu ovogodišnjeg hakovanja XZ Utils-a i s povećanim fokusom kako vlade tako i industrije na važnost osiguranja lanca nabavke softvera.
25% navodi da prima prihode od donatorskih programa, dok se za 24% održavalaca njihov rad na održavanju otvorenog koda plaća kao dio plate jer je to eksplicitan dio njihovih obaveza.
Samo vrlo mali procenat održavalaca navodi da prima prihod iz drugih izvora, uključujući 5% koji prijavljuje direktna plaćanja ili donacije od kompanija (koji nisu poslodavci) i još 5% izveštava o direktnim uplatama ili donacijama od pojedinaca.
Samo 3% održavalaca otvorenog koda izvještava da su primili prihod od fondacija otvorenog koda.
Osobe koje održavaju imaju osjećaj da nisu dovoljno nadoknađene
Samo 1% održavatelja prijavilo je direktna plaćanja ili donacije od strane vlada ili drugih javnih subjekata.
Kada su upitani o tome šta im se najviše ne sviđa u vezi sa održavanjem otvorenog koda, najveći odgovor (50%) održavalaca je rekao da nisu bili dovoljno finansijski nadoknađeni za svoj rad ili uopšte nisu bili naplaćeni za svoj rad. 49% se osjeća nedovoljno cijenjenim ili kao da je posao nezahvalan, a 43% kaže da to povećava njihov osobni stres.
U tom kontekstu, vjerovatno nije iznenađujuće da je 60% održavatelja dalo otkaz ili je razmišljalo o tome da prekine svoje radove na održavanju.
Opčenito, postotak održavatelja koji su svjesni industrijskih standarda i inicijativa porastao je od 2023. Inicijativa s najvećom svijesti među održavateljima je OpenSSF Scorecard projekat, s 40% održavatelja svjesno toga, u odnosu na 28% u prethodnu anketu. Sledi NIST SSDF, sa 39% svesti, u odnosu na 26% u prethodnom istraživanju.
Više održavatelja je takođe svjesno SLSA okvira (23%) ove godine, u poređenju sa samo 13% kada su ih pitali o tome u 2023. A u prvoj godini uključujući i njega, 17% je bilo svjesno CISA Secure by Design obećanja.
Procenat održavalaca koji nisu bili svjesni bilo koje od ovih inicijativa smanjio se sa 52% u 2023. na 40% ove godine, budući da su ove inicijative nastavile dobivati usvajanje i privlačenje.
Održavatelji troše 3 puta više vremena na sigurnost
Održavači sada navode da troše skoro 3x više vremena (11%) na poslove obezbeđenja nego što su prijavili 2021. (4%). Ovo nije iznenađujuće s obzirom na to da održavaoci uočavaju sve veće zahtjeve za svojim vremenom od poslovnih korisnika svojih projekata, sigurnosnih kompanija koje im daju više potencijalnih ranjivosti za istragu i pritisak da se pridržavaju novih sigurnosnih zahtjeva i inicijativa kao što su OpenSSF Scorecard projekat i NIST Secure Softverski razvojni okvir, između ostalih.
66% je izjavilo da sada imaju manje povjerenja u zahtjeve za povlačenjem od onih koji ne održavaju usluge nakon hakovanja XZ Utils-a. XZ Utils hak je imao manji utjecaj na odnose održavatelja sa njihovim suodržavačima, jer je samo 37% izjavilo da manje vjeruje u doprinose svojih saradnika nakon hakovanja XZ Utils.
Alati za kodiranje zasnovani na vještačkoj inteligenciji napreduju
Opšta percepcija održavatelja o utjecaju alata za kodiranje baziranih na vještačkoj inteligenciji na njihov rad bila je negativna, sa 45% predviđanja da će ovi alati imati donekle negativan (22%) ili izuzetno negativan (23%) utjecaj na njihov rad.
Manje je vjerovatno da će 64% pregledati i prihvatiti doprinose za koje su znali da su kreirani korištenjem alata za kodiranje baziranih na vještačkoj inteligenciji.
Mlađi održavaoci znatno češće koriste alate za kodiranje bazirane na vještačkoj inteligenciji. Dok 49% svih održavalaca danas koristi alate za kodiranje bazirane na vještačkoj inteligenciji, 71% mlađih od 26 godina i 58% između 26-35 godina već koristi alate za kodiranje zasnovane na vještačkoj inteligenciji .
Održavatelji su podijelili niz izuzetno uvjerljivih ideja za tipove problema otvorenog koda koji se mogu riješiti korištenjem vještačkom inetigencijom, a glavne ideje su se odnosile na dokumentaciju, trijažu problema, kvalitet i pregled koda, te upravljanje ovisnošću i sigurnost.
Izvor:Help Net Security
