Nous discutons des défis auxquels sont confrontés les développeurs open source et comment les défis auxquels ils sont confrontés affectent l'écosystème informatique dans son ensemble.
Photos - James Sutton - UnsplashOpen source - le fondement d'Internet
Selon
la Linux Foundation, 72% des entreprises Fortune 2000 utilisent des outils open source pour résoudre leurs problèmes. Dans le même temps, 55% utilisent l'open source dans les produits commerciaux. Les logiciels open source sont distribués dans les centres de données - par exemple, Facebook, Rackspace, la NASA et
AT&T fonctionnent avec. Un certain nombre de fournisseurs de cloud et de sociétés informatiques ont même fondé l'
Open Compute Project . Elle développe une architecture de rack de serveur standard ouvert (Open Rack) et des exigences de serveur modulaire pour les centres de données cloud (OpenCloud Server).
Une partie importante des produits open source populaires sont des projets à grande échelle comme Kubernetes, TensorFlow ou Ansible. Ils sont développés et financés par de grandes sociétés informatiques. Mais il existe également de petits produits (par exemple
cURL ) que les passionnés soutiennent. Ils le font souvent sur une base volontaire et pendant leur temps libre. Et ici se trouvent des pièges.
Pourquoi ce modèle est-il critiqué
Le concept d'open source implique que tout le monde peut modifier la source et y corriger les erreurs. Les efforts collectifs augmentent la qualité de la base de code et réduisent le nombre de bogues. Mais malheureusement, ce modèle ne fonctionne pas toujours.
Une partie importante des changements dans un projet open source est effectuée par une petite équipe ou un mainteneur. Par exemple, sur 25 000
commits dans le référentiel cURL , 14 000 appartiennent à l'auteur - Daniel Stenberg. Pendant longtemps, le nombre de développeurs de la bibliothèque OpenSSL
n'a pas dépassé quatre personnes. La plupart des commits ont été
faits par l' un d'eux - Steve Henson. Par conséquent, dans ces conditions, il est facile d'ignorer et de «sauter» le bogue.
Il y a cinq ans, OpenSSL a donc découvert l'une des plus grandes vulnérabilités des logiciels -
Heartbleed . Il permet la lecture non autorisée de mémoire sur un serveur ou un client. Ensuite, le nombre de sites Web vulnérables a été
estimé à un demi-million. Le correctif a été publié immédiatement, mais dès 2017, 200 000 sites touchés par Heartbleed étaient en activité.
Photos - James Sutton - UnsplashDe nombreux projets open source connaissent des problèmes de financement. Le même OpenSSL
existe grâce aux dons de la communauté et aux revenus des contrats d'entreprise - le montant ne dépasse pas un million de dollars par an. L'ancien PDG du projet
dit que l'une des raisons de l'apparition de Heartbleed était précisément le manque de financement. Il peut être difficile pour les ingénieurs de lever des fonds même pour des consultations. Selon Daniel Stenberg, les entreprises internationales se tournent souvent vers lui pour leur demander d'aider à résoudre le problème dans cURL. Mais chaque fois qu'il demande à payer pour son travail, pour une raison quelconque, la conversation se termine.
«Parfois, les développeurs s'engagent dans des projets open source pendant leur temps libre comme passe-temps. Il n'est donc pas surprenant que certaines applications soient abandonnées. Si personne ne veut maintenir le projet à flot, la communauté formée autour de lui se désintègre.
Dans le pire des cas, les utilisateurs du système peuvent devenir la cible d'une attaque de pirate. Un exemple est l' attaque de l'an dernier contre le module de flux d'événements npm. "
L'auteur du projet, Dominic Tarr, est passé à d'autres tâches et a laissé son idée sans surveillance. Un utilisateur a suggéré de prendre en charge le support du module.
Tarr a accepté et lui a accordé l'accès au référentiel sur GitHub et npm. Au fil du temps, le nouveau responsable a
introduit un script dans l'utilitaire qui a volé les données du portefeuille Bitcoin et les a téléchargées sur son serveur. La vulnérabilité a touché un grand nombre d'utilisateurs, étant donné que le flux d'événements enregistre 1,9 million de téléchargements par semaine.
Comment régler la situation
Selon
le National Bureau of Economic Research
des États-Unis, le principal facteur de motivation pour le développement open source est les avantages économiques. Par conséquent, les développeurs open source recherchent des moyens de le monétiser. Par exemple, ils transfèrent une partie des modules vers des licences restrictives voire commerciales. MongoDB, Redis et d'autres sociétés ont choisi cette voie.
Nous avons parlé de la situation plus en détail. Les développeurs estiment que même la commercialisation partielle du code ouvrira une source supplémentaire de revenus et attirera de nouvelles personnes dans le projet. Mais un tel modèle est souvent hostile à la communauté informatique.
On pense que l'approche contredit le concept de logiciel open source. Cependant, il ne convient pas à tout le monde. En 2017, le serveur Web Caddy a
annoncé une licence commerciale pour HTTP / 2. Mais pour une raison quelconque, il y a un mois, le projet a de nouveau été
renvoyé à l'open source.
Photo - Artem Beliaikin - UnsplashL'infrastructure Internet mondiale dépend de projets open source. Par conséquent, il est important de prêter attention à leur soutien. Et des travaux dans ce sens sont en cours. La Fondation Linux accueille régulièrement de nouveaux résidents. Les grandes entreprises
investissent de plus en plus dans l'open source. Peut-être que de telles initiatives aideront à éviter de répéter une histoire similaire à Heartbleed.
Lecture supplémentaire sur le blog 1cloud.ru:
Le cloud sauvera-t-il les smartphones ultra-économiques Pourquoi Apple a modifié les exigences pour les développeurs d'applications 1cloud Cloud Architecture Evolution Nouveautés du noyau Linux 5.3 - Pilotes graphiques, virtualisation et autres mises à jour Pourquoi les développeurs de navigateurs traditionnels ont à nouveau refusé d'afficher le sous-domaine