Tidelift’e göre, ücretli bakımcıların kritik güvenlik ve bakım uygulamalarını uygulama olasılığı, ücretsiz bakımcılara göre %55 daha fazla ve OpenSSF Puan Kartı ve NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi endüstri standartlarında yer alan güvenlik uygulamalarını uygulamaya daha fazla zaman ayırıyorlar.
Açık kaynak, modern uygulama geliştirme platformudur ve uygulamaların %98’i açık kaynak bileşenleri içerir ve açık kaynak kodu ortalama uygulamanın %70’ini veya daha fazlasını oluşturur. Yine de açık kaynağın başarısı için kritik öneme sahip olan bakımcılardan projelerinin iyi bir şekilde sürdürülmesini ve güvenli olmasını sağlamak için daha da fazlasını yapmaları istenirken, bunların %60’ı ücretsiz hobi olarak kalmaya devam ediyor.
Açık kaynaklı bakımcıların finanse edilmesi kurumsal güvenliği artırır
Yazılım tedarik zincirine yönelik saldırıların arttığı göz önüne alındığında, aşırı çalıştırılan, yeterince takdir edilmeyen ve düşük ücret alan bakımcıların ihtiyaçlarının göz ardı edilmesiyle oluşan tehdidi ele almak, açık kaynaklı yazılıma güvenen kuruluşlar için en önemli öncelik olmalıdır.
Tidelift CEO’su Donald Fischer, “Küresel yazılım altyapımızın sağlığı ve güvenliği açık kaynaklı bakımcılara bağlıdır,” dedi. “Bakımcılara ödeme yapmak, projelerinin kurumsal kullanıcıların gerektirdiği sıkı güvenlik gereksinimlerini karşılamasını sağlama becerilerini artırır. Bu anket sonuçları, kuruluşların güvendikleri projelerinin sahip olduğu açık kaynaklı bakımcıların önemli çalışmalarını finanse ederek kendi güvenliklerini olumlu yönde etkileyebileceklerini gösteriyor.”
Ücretli bakımcılar tarafından uygulanan en önemli güvenlik uygulamaları arasında iki faktörlü kimlik doğrulama (%76, ücretsiz bakımcılarda %68), statik kod analizi (%75, %59), güvenlik açıkları için düzeltmeler ve öneriler sağlama (%70, %54), güvenlik ifşa planı (%66, %43), sır yönetimi (%58, %39) ve imzalı sürüm ve yayınlanmış eser kaynağı (%50, %28) yer almaktadır.
Ücretli bakımcılar tarafından uygulanan en önemli bakım uygulamaları arasında geriye dönük uyumlulukla ilgili resmi bir politika (%59’a kıyasla ücretsiz bakımcılarda %39), yeniden üretilebilir ve doğrulanabilir derleme süreci (%58’e kıyasla %50), birden fazla inceleyicinin yer aldığı kod eş inceleme süreci (%53’e kıyasla %27) ve tanımlanmış bir bağımlılık yönetim süreci (%50’ye kıyasla %33) yer almaktadır.
Birçok bakım görevlisi maaş almadan çalışmayı tercih ediyor
2023’e kıyasla anketi tamamlayan daha büyük bir bakımcı örneği olmasına rağmen, kendilerini para almayan hobiciler olarak tanımlayan bakımcıların oranı aynı kaldı: %60.
%16’sı para almayan hobici olduklarını ve ücret almak istemediklerini (2023’te bu oran %14’tü) ve %44’ü para almayan hobici olduklarını ancak ücret almaktan memnuniyet duyacaklarını (2023’te bu oran %46’ydı) söyledi.
Özellikle bu yılki XZ Utils saldırısı ve hem hükümetin hem de endüstrinin yazılım tedarik zincirinin güvenliğini sağlamanın önemine daha fazla odaklanması göz önüne alındığında, bakımcıların çalışmalarının karşılığında ücret alma oranının değişmemesi endişe verici.
%25’i bağış programlarından gelir elde ettiğini bildirirken, bakımcıların %24’ü için açık kaynaklı bakım çalışmaları maaşlarının bir parçası olarak ödeniyor çünkü bu, iş sorumluluklarının açık bir parçası.
Bakımcıların yalnızca çok küçük bir yüzdesi diğer kaynaklardan gelir elde ettiğini bildiriyor; bunların %5’i şirketlerden (işveren dışı) doğrudan ödeme veya bağış aldığını bildirirken, diğer %5’i ise bireylerden doğrudan ödeme veya bağış aldığını bildiriyor.
Açık kaynaklı yazılım geliştiricilerinin yalnızca %3’ü açık kaynaklı vakıflardan gelir elde ettiğini bildiriyor.
Bakımcılar kendilerine yeterince tazminat ödenmediğini düşünüyor
Bakımcıların yalnızca %1’i hükümetlerden veya diğer kamu kuruluşlarından doğrudan ödeme veya bağış aldığını bildirdi.
Açık kaynaklı bir bakımcı olmanın en sevmedikleri şey sorulduğunda, bakımcıların bildirdiği en büyük yanıt (%50), yaptıkları işin karşılığında yeterli veya hiç maddi tazminat almamak oldu. %49’u takdir edilmediğini veya işin nankör olduğunu düşünüyor ve %43’ü bunun kişisel streslerine katkıda bulunduğunu söylüyor.
Bu bağlamda, bakımcıların %60’ının bakım işini bırakmış veya bırakmayı düşünmüş olması muhtemelen şaşırtıcı değildir.
Genel olarak, endüstri standartlarını ve girişimlerini bilen bakımcıların yüzdesi 2023’ten bu yana artmıştır. Bakımcılar arasında en yüksek farkındalığa sahip girişim, önceki anketteki %28’den %40’ının farkında olduğu OpenSSF Scorecard projesidir. Bunu, önceki anketteki %26’dan %39’luk farkındalıkla NIST SSDF yakından takip etmektedir.
Bu yıl daha fazla bakımcı SLSA çerçevesinin farkında (23%), 2023’te bu konuda soru sorulduğunda ise bu oran yalnızca %13’tü. Ve bunu içeren ilk yılda, %17’si CISA Secure by Design taahhüdünün farkındaydı.
Bu girişimlerin benimsenmesi ve ilgi görmeye devam etmesiyle, bakımcıların bu girişimlerden hiçbirinin farkında olmadığı oran 2023’teki %52’den bu yıl %40’a düştü.
Bakımcılar güvenliğe 3 kat daha fazla zaman harcıyor
Bakımcılar artık 2021’de bildirdikleri zamandan (4%) neredeyse 3 kat daha fazla zaman (11%) güvenlik çalışmalarına harcadıklarını bildiriyor. Bakımcıların projelerinin kurumsal kullanıcılarından zaman taleplerinin arttığını, güvenlik şirketlerinin onlara araştırmaları için daha fazla potansiyel güvenlik açığı verdiğini ve OpenSSF Puan Kartı projesi ve NIST Güvenli Yazılım Geliştirme Çerçevesi gibi yeni güvenlik gereksinimlerine ve girişimlerine uyma baskısı gördükleri göz önüne alındığında bu şaşırtıcı değil.
%66’sı, XZ Utils hack’inin ardından bakımcı olmayanlardan gelen çekme isteklerine daha az güvendiklerini bildirdi. XZ Utils hack’inin bakımcıların yardımcı bakımcılarıyla ilişkileri üzerinde daha az etkisi oldu, çünkü yalnızca %37’si XZ Utils hack’inin ardından yardımcı bakımcılarının katkılarına daha az güvendiğini bildirdi.
Yapay zeka tabanlı kodlama araçları gelişiyor
Bakımcıların AI tabanlı kodlama araçlarının işleri üzerindeki etkisine ilişkin genel algısı olumsuz yöndeydi; %45’i bu araçların işleri üzerinde biraz olumsuz (%22) veya son derece olumsuz (%23) bir etkiye sahip olacağını öngörüyordu.
%64’ü, yapay zeka tabanlı kodlama araçları kullanılarak oluşturulduğunu bildikleri katkıları inceleme ve kabul etme olasılığının daha düşük olduğunu düşünüyor.
Daha genç bakımcıların AI tabanlı kodlama araçlarını kullanma olasılığı önemli ölçüde daha yüksektir. Tüm bakımcıların %49’u bugün AI tabanlı kodlama araçlarını kullanırken, 26 yaşın altındakilerin %71’i ve 26-35 yaş arasındakilerin %58’i halihazırda AI tabanlı kodlama araçlarını kullanıyor.
Bakımcılar, yapay zeka kullanılarak çözülebilecek açık kaynaklı sorun türleri için son derece ilgi çekici fikirler paylaştılar ve en önemli fikirler dokümantasyon, sorun ayıklama, kod kalitesi ve incelemesi, bağımlılık yönetimi ve güvenlikle ilgiliydi.
Mutlaka okuyun: