El mundo del código abierto tuvo un par de años angustiosos hace unos años, cuando algunos de sus principales jugadores decidieron bloquear sus licencias en una jugada para mantener su negocio a largo plazo
Después de esta reorganización en el mundo del código abierto, fuimos testigos de una especie de patrón de espera con un silencio relativo sobre el cable, con los desarrolladores conteniendo la respiración para ver dónde podrían aterrizar las cosas. Probablemente hubo más preocupación durante estos tiempos con respecto a la seguridad del código abierto que cualquier otra cosa.
Durante la "era del gran cambio de licencias" y particularmente cuando se anunció Open Distro para Elasticsearch, escribí la publicación: " ¿Qué es el tenedor, Amazon? ”, que discutió la necesidad de encontrar más formas de mantener el código abierto a largo plazo. En particular, aquellos proyectos que no son apoyados a través de entidades comerciales o fundacionales, y siento renovadas esperanzas en este frente.
A raíz del movimiento de Amazon Web Services , Elastic luego cambió su licencia por completo, adoptando el SSPL de MongoDB (bueno, en realidad es un esquema de licencia dual más complejo, pero nos centraremos en eso por el bien de la simplicidad) , y bueno, el statu quo simplemente fue aceptado. La comunidad de OpenSearch (una bifurcación real) surgió de las consecuencias que parecen estar cobrando impulso, pero no hubo otros dramas importantes.
Hasta hace poco…
¿Un nuevo amanecer para el código abierto?
El primer movimiento notable del ecosistema que marca un nuevo amanecer para el código abierto, que ocurrió en el ínterin, ha sido la capacidad de las personas e incluso las organizaciones de comenzar a patrocinar proyectos de código abierto en Github (donde Microsoft, la empresa matriz de Github, ha demostrado su compromiso a código abierto muchas veces). Esto introdujo más vías para apoyar proyectos mantenidos por contribuyentes individuales que se habían estado desmoronando bajo la carga del mantenimiento de herramientas y proyectos populares. Github fue aún más lejos para duplicar esto, incluso al presentar repositorios solo patrocinados, brindando acceso exclusivo a los repositorios a través del patrocinio de los proyectos.
Esto es interesante, porque anteriormente había algunos modelos bien conocidos que permitían la sostenibilidad de código abierto, a saber, el modelo de código abierto comercial o el modelo de base, este fue un catalizador para algo que ha tardado mucho en llegar. En lugar de simplemente poder "comprar un café" para los mantenedores de su proyecto de código abierto favorito, las organizaciones reales que ven valor en el trabajo de código abierto que realizan los contribuyentes individuales finalmente podrían poner su dinero donde está su código.
El próximo movimiento notable en la industria son las empresas centradas en el desarrollo que han dado pasos públicos desde la reorganización del código abierto para respaldar mejor los proyectos de código abierto. Primero, Netlify anunció un fondo de innovación Jamstack de $ 10 millones , y ahora Spotify acaba de anunciar un fondo FOSS de $ 100KEU .
Creo que esta es una tendencia que solo seguirá creciendo y cobrando impulso, ya que el código abierto ocupa un lugar central en las pilas de desarrolladores. Esta es la culminación de muchas tendencias de la industria que convergen, ya sea la evolución de productos de desarrollador a contribuyentes individuales (IC) y estrategias de adopción de crecimiento liderado por productos (PLG) de desarrollo primero (de la estrategia empresarial B2B obsoleta), con un enfoque de poner Experiencia de desarrollador a la vanguardia. Del mismo modo, DevOps como práctica ahora tiene más de 12 años y está bien establecida, habiéndose convertido de facto en un estándar de la industria, y no solo en el ámbito de las empresas emergentes pequeñas, ágiles y de adopción temprana.
El apoyo a la seguridad de código abierto ocupa un lugar central
Una de esas empresas conocida por su apoyo de larga data al código abierto es Google, ya sea a través de proyectos que ha creado y contribuido en adelante, desde Android hasta Golang y Kubernetes. Google ha llevado su patrocinio directo un paso más allá al crear el Fondo Seguro de Código Abierto de $100 millones para apoyar a organizaciones e individuos independientes que harán el trabajo pesado y trabajarán para ayudar a solucionar las vulnerabilidades de seguridad en proyectos de código abierto (consulte: Recompensas SOS para obtener más información sobre las recompensas de errores). También se unieron públicamente a la Open Source Security Foundation .
“El mundo depende del software de código abierto, pero se necesita un apoyo generalizado y contribuciones financieras para mantener ese software seguro y protegido”, resumió el escritor del personal de SiliconAngle, Mike Wheatley.
Esto es importante, ya que este último año fue fundamental en la seguridad de código abierto. Los proyectos de código abierto ampliamente adoptados, como Codecov, Log4j e incluso PHP, tenían importantes vulnerabilidades de seguridad de día cero que ponían en riesgo a muchos sistemas, y los mantenedores de los colaboradores individuales no podían seguir el ritmo de los plazos de parches. Hemos visto que esto suceda antes con proyectos como OpenSSL , mantenido en última instancia por dos colaboradores individuales principales, Steve Marquess y Stephen Henson, del mismo modo, cURL creado y mantenido por Daniel Stenberg . (Nota al margen, Daniel Stenberg en realidad "desenrollará" su opinión sobre el mantenimiento del código abierto durante 30 años en una memoria que personalmente estoy esperando leer).
Sin embargo, el movimiento para hacer que el código abierto sea sostenible no solo lo están tomando los principales actores como Google, Spotify y Netlify. Un movimiento interesante que tiene el potencial de cambiar el juego para los mantenedores de código abierto es la "adopción" patrocinada de proyectos de código abierto por parte de empresas que creen en ellos.
El creador de Prowler, Toni de la Fuente, anunció recientemente en LinkedIn que se unirá a Verica como fundador de Prowler en residencia y Prowler Pro Lead (un proyecto de seguridad de código abierto ampliamente adoptado), para ayudar a respaldar el trabajo de mantenimiento de Toni. , y Prowler a largo plazo (en un movimiento similar a la adquisición de Red Hat CentOS, que recientemente quedó en desuso y entró en EOL).
Otra empresa que adopta un enfoque similar es Jit (como una plataforma que organiza herramientas de seguridad de código abierto) y quiere respaldar directamente los proyectos integrados en la plataforma, para garantizar de manera proactiva la sostenibilidad a largo plazo. El primer paso fue asociarse públicamente con Zachary Rice y su muy popular proyecto de código abierto Gitleaks (una herramienta para escanear repositorios en busca de secretos codificados o de cara al público), apoyando financieramente tanto al proyecto como a Zachary a través del trabajo remunerado por importantes y muy necesario mantenimiento del proyecto.
Mantenga la calma y el código abierto
Entonces, si en 2019 hubo un momento de pánico para los defensores del código abierto como yo, temiendo lo peor para el código abierto y esperando que comenzara a convertirse en una especie en extinción, ahora estamos viendo una nueva innovación en este mundo. En los últimos años, han surgido nuevas y emocionantes nuevas empresas que apuestan por el código abierto en su núcleo, como Docker Slim (que se duplica en otras comunidades fuertes de desarrollo además de AWS y Kubernetes, ¡Docker FTW!), así como Treeverse , DagsHub , Startree , solo por nombrar algunos.
Todos estos movimientos juntos me han inculcado una nueva esperanza para el código abierto. Ya sea la innovación continua a través del código abierto, el movimiento para hacer que el código abierto sea más consumible y seguro para que los principales actores de la industria puedan aprovechar estos proyectos como los mejores de su clase, y especialmente el mayor sentido de propiedad de los actores de la industria para apoyar y sostener código abierto a largo plazo. Está claro que se invirtió mucho pensamiento creativo en el proceso, y no se quedó atrás como "un problema de otra persona".
Espero con ansias cómo se desarrolla esto en última instancia en términos de las posibilidades que permitirá la evolución de la tecnología, además de hacer que el código abierto sea más apto para la producción, accesible y seguro para toda la industria.
Historias relacionadas :
Paquetes ctx y phpass ha sido secuestrado y revela brechas de seguridad de código abierto
Google Cloud : estaría ofreciendo código abierto con la finalidad de resguardar la seguridad
Google : anunció sobre su protocolo de seguridad de PSP de código abierto
VirtualBox : está vulnerable su seguridad al filtrar datos del host a los invitados
Debian : ahora los usuarios obtienen una actualizacion dirigida a la seguridad del kernel
ARMO : ya está ofreciendo seguridad de código abierto a todos los usuarios de Kubernetes
[Fuente]: thenewstack.io
Luke Southern.( 30 de Mayo de 2022).2100 images. Modificado por Carlos Zambrado Recuperado unsplash.com