Kami membahas tantangan yang dihadapi pengembang open source dan bagaimana tantangan yang mereka hadapi memengaruhi ekosistem TI secara keseluruhan.
Foto - James Sutton - UnsplashSumber terbuka - fondasi Internet
Menurut Linux Foundation, 72% dari perusahaan Fortune 2000 menggunakan alat open source untuk menyelesaikan masalah mereka. Pada saat yang sama, 55% menggunakan open source dalam produk komersial. Perangkat lunak open source didistribusikan di pusat data - misalnya, Facebook, Rackspace, NASA dan
AT&T bekerja dengannya. Sejumlah penyedia cloud dan perusahaan IT bahkan mendirikan
Open Compute Project . Dia sedang mengembangkan arsitektur rak server standar terbuka (Open Rack) dan persyaratan server modular untuk pusat data cloud (OpenCloud Server).
Bagian penting dari produk open source yang populer adalah proyek skala besar seperti Kubernetes, TensorFlow atau Ansible. Mereka dikembangkan dan dibiayai oleh perusahaan IT besar. Tetapi ada juga produk kecil (mis.
CURL ) yang didukung oleh para penggemar. Seringkali mereka melakukan ini secara sukarela dan di waktu luang mereka. Dan di sinilah letak jebakan.
Mengapa model ini dikritik
Konsep open source menyiratkan bahwa setiap orang dapat memodifikasi sumber dan memperbaiki kesalahan di dalamnya. Upaya kolektif meningkatkan kualitas basis kode dan mengurangi jumlah bug. Namun sayangnya, model ini tidak selalu berhasil.
Bagian penting dari perubahan dalam proyek sumber terbuka dibuat oleh tim kecil atau satu pengelola. Sebagai contoh, dari 25 ribu
komitmen dalam repositori CURL , 14 ribu milik penulis - Daniel Stenberg. Untuk waktu yang lama, jumlah pengembang perpustakaan OpenSSL
tidak melebihi empat orang. Sebagian besar komitmen
dilakukan oleh salah satunya - Steve Henson. Karena itu, dalam kondisi seperti itu mudah untuk mengabaikan dan "melewatkan" bug.
Jadi, lima tahun lalu di OpenSSL menemukan salah satu kerentanan terbesar dalam perangkat lunak -
Heartbleed . Ini memungkinkan pembacaan memori yang tidak sah pada server atau klien. Kemudian jumlah situs web yang rentan
diperkirakan setengah juta. Patch dirilis segera, tetapi sejauh 2017, 200 ribu situs yang terkena dampak Heartbleed beroperasi.
Foto - James Sutton - UnsplashBanyak proyek open source mengalami masalah pendanaan. OpenSSL yang sama
ada karena sumbangan dari komunitas dan pendapatan dari kontrak perusahaan - jumlahnya tidak melebihi satu juta dolar per tahun. Mantan CEO proyek ini
mengatakan bahwa salah satu alasan kemunculan Heartbleed justru karena kurangnya dana. Sulit bagi insinyur untuk mengumpulkan dana bahkan untuk konsultasi. Menurut Daniel Stenberg, perusahaan internasional sering menoleh padanya dengan permintaan untuk membantu menyelesaikan masalah di CURL. Tetapi setiap kali dia meminta untuk membayar karyanya, untuk beberapa alasan percakapan berakhir.
βTerkadang pengembang terlibat dalam proyek sumber terbuka di waktu luang mereka sebagai hobi. Oleh karena itu, tidak mengherankan bahwa beberapa aplikasi ditinggalkan. Jika tidak ada yang ingin proyek tetap bertahan, komunitas yang terbentuk di sekitarnya akan hancur.
Dalam kasus terburuk, pengguna sistem dapat menjadi target serangan hacker. Contohnya adalah serangan tahun lalu pada modul aliran acara npm. "
Penulis proyek, Dominic Tarr, beralih ke tugas-tugas lain dan meninggalkan gagasannya tanpa pengawasan. Beberapa pengguna menyarankan untuk mengambil alih dukungan modul.
Tarr setuju dan memberinya akses ke repositori di GitHub dan npm. Seiring waktu, pengelola baru
memperkenalkan skrip ke utilitas yang mencuri data dari dompet bitcoin dan mengunggahnya ke servernya. Kerentanan tersebut mempengaruhi sejumlah besar pengguna, mengingat bahwa aliran-acara memiliki 1,9 juta unduhan per minggu.
Cara memperbaiki situasi
Menurut Biro Riset Ekonomi Nasional AS, faktor pendorong utama pengembangan sumber terbuka adalah manfaat ekonomi. Oleh karena itu, pengembang open source mencari cara untuk menguangkannya. Misalnya, mereka mentransfer bagian dari modul ke lisensi yang membatasi atau bahkan komersial. MongoDB, Redis dan perusahaan lain telah mengambil jalan ini.
Kami sudah membicarakan situasi ini dengan lebih rinci. Pengembang percaya bahwa bahkan komersialisasi sebagian kode akan membuka sumber pendapatan tambahan dan menarik orang baru ke proyek. Tetapi model seperti itu seringkali tidak bersahabat dengan komunitas TI.
Diyakini bahwa pendekatan tersebut bertentangan dengan konsep perangkat lunak open source. Namun, ini tidak cocok untuk semua orang. Pada 2017, server web Caddy
mengumumkan lisensi komersial untuk HTTP / 2. Tetapi karena suatu alasan, sebulan yang lalu, proyek itu
kembali ke open source.
Foto - Artem Beliaikin - UnsplashInfrastruktur Internet global bergantung pada proyek sumber terbuka. Karena itu, penting untuk memperhatikan dukungan mereka. Dan pekerjaan ke arah ini sedang berlangsung. Linux Foundation secara teratur memiliki penghuni baru. Perusahaan besar semakin banyak
berinvestasi dalam sumber terbuka. Mungkin inisiatif semacam itu akan membantu menghindari pengulangan cerita yang mirip dengan Heartbleed.
Bacaan tambahan di blog 1cloud.ru:
Apakah cloud akan menyimpan smartphone ultra-anggaran Mengapa Apple Mengubah Persyaratan untuk Pengembang Aplikasi Evolusi Arsitektur Awan Keras Apa yang Baru di Linux kernel 5.3 - Driver Grafik, Virtualisasi, dan Pembaruan Lainnya Mengapa pengembang peramban arus utama kembali menolak untuk menampilkan subdomain