Linux 基金会对自由和开源软件(free and open-source software)(FOSS)社区进行的一项新调查表明,贡献者花在安全问题上的时间不到 3%,而且几乎没有增加这一比例的意愿。

Linux 基金会和哈佛大学创新科学实验室(Laboratory for Innovation Science at Harvard)(LISH)根据近 1200 名 FOSS 贡献者的回答所做的一份报告显示,随着企业和经济越来越依赖开源软件,开发人员“明显需要”将更多的时间用于 FOSS 项目的安全。

该调查包括了旨在帮助研究人员了解贡献者如何分配他们在 FOSS 上的时间的问题,该调查显示,受访者平均只花了其总贡献时间的 2.27% 来应对安全问题。

此外,这些问题的回答还表明,许多受访者对增加安全方面的时间和精力兴趣不大。一位受访者评论说,他们“觉得安全是一件令人心力交瘁的苦差事,是一个最好留给律师和流程狂人的课题”,而另一位受访者则说:“我发现安全是一个令人难以忍受的、无聊的流程障碍。”

研究人员得出结论,需要对 FOSS 的安全和审计采取一种新的方法,以改善安全实践,同时控制对贡献者的负担。

贡献者需求最多的一些工具是错误和安全修复、免费的安全审计,以及将安全相关工具添加到其持续集成(CI)管道的简化方法。

“显然需要为 FOSS 的安全投入更多的精力,但这个负担不应该只落在贡献者身上。”报告中写道。“开发人员一般不想成为安全审计人员,他们希望得到审计结果。”

研究人员提出的其他解决方案包括:鼓励组织将精力重新投入到识别和解决项目本身的安全问题上。另外,开发人员“可以重写 FOSS 项目中容易出现漏洞的部分或整个组件”,而不是试图修补现有代码。

研究人员继续说道,“提高重写安全性的一种方法是将内存不安全的语言(如 C 或 C++)转换为内存安全的语言(几乎所有的其它语言)。……这将消除一整类漏洞,如缓冲区溢出和双重释放。”

性别多样性 —— 或者说,缺乏多样性 —— 是该报告的另一个关键发现。

在 1196 名调查对象中,91% 的人报告说是男性,年龄在 25 至 44 岁之间。研究人员指出,这一发现“强调了人们对 FOSS 社区缺乏女性代表的持续关注。”并指出,报告中缺乏女性代表表明,结果“偏向于男性贡献者的 FOSS 活动,并不能完全代表女性对 FOSS 的贡献。”

调查的大多数受访者来自北美或欧洲,大多数人从事全职工作。将近一半(48.7%)的人说,他们在开放源码贡献上花费的时间得到了雇主的报酬,而 44.02% 的人说,这是他们唯一得到报酬的途径。

有趣的是,结果表明,COVID-19 大流行病对贡献者的工作状态影响不大,只有极少数受访者报告说已脱离工作。研究人员再次指出,由于调查中缺乏女性代表,“这些调查结果可能并不能反映为 FOSS 做出贡献的女性的经历,特别是那些在大流行期间受到家庭责任增加影响的女性。”

虽然绝大多数受访者(74.8%)都是全职雇员,超过一半(51.6%)的受访者是专门为开发 FOSS 而接受报酬的,但在开发者为开源项目做出贡献的动机中,金钱的得分很低,“渴望得到同行的认可”也是如此。

相反,开发者说他们纯粹是对为他们正在开发的开源项目寻找功能、修复和解决方案感兴趣。其他最主要的动机包括享受和希望回馈他们所使用的 FOSS 项目。

“现代经济 —— 无论是数字经济还是实体经济 —— 越来越依赖于自由和开源软件,”哈佛商学院(Harvard Business School)助理教授 Frank Nagle 说。

“了解 FOSS 贡献者的动机和行为是确保这一关键基础设施未来安全和可持续性的关键一环。”