Yazılım tedarik zincirinin güvenliğini güçlendirmeye yönelik büyük bir baskıya rağmen, bir Tidelift’ten Salı günü yayınlanan rapor açık kaynak bakım sağlayıcılarının %60’ından fazlasının kendilerini ücretsiz hobi olarak tanımladığını gösteriyor.
Rapor, devlet ve özel sektör tarafından açık kaynaklı yazılım kullanımı ile bu projelerin arkasındaki iş gücüne tazminat verilmemesi arasında süregelen bir uçurumun altını çiziyor.
Ankete katılan 300 bakımcının yalnızca %13’ü kendilerini, gelirlerinin çoğunu açık kaynak proje çalışmasından elde eden profesyonel bakımcılar olarak görüyor. Yaklaşık %23’ü kendilerini yarı profesyonel olarak tanımlıyor ve kazançlarının bir kısmını proje sürdürmekten alıyor.
Açık kaynak, federal kurumlar tarafından yaygın olarak kullanılmaktadır. ve kurumsal kullanıcılar, ancak bakım görevlilerini uygun şekilde telafi etme yeteneği olmadan, uygulamaları güvenlik açıklarına karşı taramak son derece zordur.
Rapor, milyonlarca tüketiciyi ve kritik sektörü kötü niyetli bilgisayar korsanlarından ve veri güvenliğine yönelik diğer tehditlerden korumak için ABD genelinde daha dayanıklı bir teknoloji altyapısı oluşturmaya yönelik kapsamlı bir yol haritası olan ulusal siber güvenlik stratejisinin yayınlanmasından sadece iki ay sonra yayınlandı.
Modern ticari yazılımların %70 ila %90’ı açık kaynak bileşenleri içerir; bu, çoğu modern uygulamanın güvenliğini sağlamanın tek yolunun, daha yüksek güvenlik standartlarını karşılamak için açık kaynak yazılımı gerektirdiği anlamına gelir.
Bununla birlikte, ücretsiz bakıcıların, mevcut ödeme modelleri kapsamında bu güvenliği desteklemek için ne zamanı ne de kaynakları vardır.
Tidelift CEO’su Donald Fischer, ilerlemenin oldukça basit bir yolu olduğunu söyledi. Fischer, endüstrinin onlara hem “gelir ve süreç desteği hem de bu güvenli geliştirme standartlarını projelerine uygulamaları için yardım” sağlaması gerektiğini söyledi.
Log4j güvenlik açığı özkaynak krizini vurguladı Silikon Vadisi’nden zengin paydaşların açık kaynak geliştiricilerin sırtından milyarlarca dolar kar elde ettiği, ancak daha önce bu işçilerin zamanlarını ve çabalarını uygun şekilde telafi etmek için gerekli yatırımları yapmakta başarısız oldukları yer.