Linux Foundationとハーバード大学のイノベーションサイエンス研究所(LISH)は、FOSS(無料およびオープンソースソフトウェア)への貢献者の調査を実施しました。
調査の主な目的は、無料のオープンソースソフトウェア(特に現代経済に大きく依存しているプロジェクト)の安全性と持続可能性を最もよく改善する方法を決定することです。具体的には、この調査は、「適切な保守と保護のために、最も使用されている無料のオープンソースソフトウェアプロジェクトをより適切に動機付けるにはどうすればよいか」という質問への回答を支援することを目的としています。
この調査は1196人の開発者に基づいており、そのうち30歳のプログラマーが大多数を占めています。回答者のほとんど(74.87%)はフルタイムの仕事に従事しており、平均年収は123,000米ドルで、回答者の半数以上(51.65%)がFOSSを開発するための特別な報酬を持っています。回答者は、オープンソースソフトウェアに貢献する動機は、必要な機能や修理の追加、学習の楽しみ、創造的または楽しい仕事のニーズを満たすことに焦点を当てていると述べました。それに比べて、報酬は主な動機ではありません。
-しかし、報告書はまた、公開はまだセキュリティへのオープンソースの貢献のために情熱を持っていますが、ソフトウェア開発の重要な分野があることを指摘し、セキュリティが、それは無視されました。調査結果によると、回答者がセキュリティに費やす平均時間は、貢献時間全体の2.27%に過ぎず、今回は増加する考えはないとも述べています。
これに関して、LinuxFoundationのオープンソースサプライチェーンセキュリティのディレクターであるDavidA。Wheelerは、「2020年の調査結果は、貢献者に過度の負担をかけずにセキュリティを改善するための対策を講じる必要があることを示しています」と述べています。
研究者たちは、資金とリソースを特定のセキュリティ目的に使用できることを提案しました。これには、セキュリティ関連ツールを継続的統合(CI)パイプライン、セキュリティ監査、およびコンピューティングリソースに追加することが含まれます。言い換えれば、開発者がプロジェクトにセキュリティを追加しやすくすることです。具体的なパフォーマンスは次のとおりです。
- 重要なオープンソースプロジェクトのセキュリティ監査に資金を提供し、特定のマージ可能な変更を生成するための監査を要求します。
- 脆弱性に対して脆弱なFOSSプロジェクトのコンポーネントの一部またはすべてを書き換えて、結果を大幅に安全にします(たとえば、メモリセーフ言語で書き換えます)。
- 安全なソフトウェア開発のためのベストプラクティスに優先順位を付けます。
- 企業は、安全なソフトウェア開発トレーニングを、有料のFOSS開発者募集または継続的な専門家開発の要件にする必要があります。
- バッジプログラム、メンタリングプログラム、および尊敬されているFOSS寄稿者の影響力を使用して、プロジェクトとその寄稿者が安全なソフトウェア開発慣行を開発および維持することを奨励します。
- 継続的統合(CI)プロセスの一部として、できればデフォルトのコード管理プラットフォームの一部として、セキュリティツールと自動テストを組み込むようプロジェクトに奨励します。
さらに、この調査では、企業も従業員のオープンソースへの貢献をサポートする上でますます良くなっていることがわかりました。回答者の45.45%以上が、許可を求めずにオープンソースプロジェクトに自由に貢献できるようになったと述べています。10年前のこの割合は35.84%でした。ただし、回答者の17.48%は、従業員が自由に参加して貢献できるかどうかについて明確なルールがない、5.59%は会社が関連するポリシーを持っているかどうかわからないと述べています。
完全なレポートアドレス:https://www.linuxfoundation.org/wp-content/uploads/2020/12/2020FOSSContributorSurveyReport_V7.pdf