Spotify’da açık kaynak teknolojisi lideri olan Per Ploug, uzun yıllar açık kaynakta çalıştı ve gelişimini izledikten sonra şirketlerin artık “açık kaynak”ın gerçekte ne anlama geldiğinin çok daha fazla farkında olduğuna inanıyor. “Maliyet açısından ve ayrıca açık kaynağı daha stratejik yollarla benimsemenin ne anlama geldiği konusunda daha net olduklarını düşünüyorum” diyor.
Açık kaynak, son kullanıcı kuruluşlarının karmaşık ticari yazılım sözleşmelerine bağlı olduğu sözde “tedarikçi kilitlenmesinden” kaçınır. BT mimarisi karar değişikliğinin oranı genellikle bu yazılımın tedarikçisi tarafından belirlenir. Ancak, açık kaynak aynı düzeyde kilitlenmeye sahip olmasa da, sunduğu esneklik birçok şirket için iki ucu keskin bir kılıç olabilir. “Bence açık kaynak, kendinizi geliştiremeyeceğiniz teknolojilere erişmenizi sağlıyor” diyor.
Bu, kuruluşların yeterli bilgi birikimine sahip olamayacakları bir teknoloji alanına adım atabilecekleri anlamına gelir. Bunu yaparken, açık kaynaklı yazılımın kullanıcısı, uyguladıkları teknolojik yeniliklere bağlıdır.
“Bu daha büyük yatırım seçimlerini yaptığınızda, herkesin benimsedikleri şeyin belirli bir alanda ortak bir standart olmaya yakın bir şey mi yoksa temelde pazar payını kaybeden bir şeye bağımlılık mı yarattığını anlaması gerektiğini düşünüyorum. muhtemelen aynı zamanda zihin paylaşımı.
İkincisini seçmek, kuruluşun bir noktada bu açık kaynak araçtan uzaklaşmak zorunda kalmasına neden olacaktır ki bu çok maliyetli olabilir.
Açık kaynak olmasaydı, büyük teknoloji firmalarının belirli müşteri gruplarına hizmet etmek için teknolojiyi tekelleştireceğini söylüyor. Bu tür teknolojiler muhtemelen çok pahalı olacak ve bu da onları yalnızca daha büyük işletmeler için uygun kılacaktır. Ploug, “Daha küçük şirketler bu tür şeyleri karşılayamaz” diyor.
Örneğin, Spotify en başından beri açık kaynak kullanmaya başladı ve bu onun büyümesini sağladı. “Küçükken, pazarlara hızlı bir sıçrama yapmak için açık kaynağı kullandık ve bence açık kaynağa her şeyin üzerinde stratejik bir yaklaşım geliştirdik” diyor.
Stratejik açık kaynak seçimleri yapma
Spotify’da geliştiriciler, kendi tercihlerine göre çok çeşitli kitaplıklar arasından seçim yapabilir. Ancak daha büyük stratejik yatırımlar için Ploug, Spotify’ın açık kaynak teknolojisini işletmenin daha uzun bir süre boyunca güvenebileceği bir standart haline gelip gelmeyeceğini, erkenden daha yeni bir teknolojiye geçmek zorunda kalmamasını sağlamak için titizlikle değerlendireceğini söylüyor.
Geriye dönüp baktığında oldukça eğlenceli olduğunu söylediği bir örnek şu: “Kubernetes piyasaya sürülmeden önceki gün, kendi konteyner düzenleme katmanımızı açık kaynaklı hale getirdik.”
Spotify için daha olumlu bir proje, Ploug’un ortak bir standart oluşturmanın bir yolu olarak açık kaynak yaptığını söylediği Backstage. Backstage, Spotify’da oluşturulan ve CNCF’ye bağışlanan, geliştirici portalları oluşturmaya yönelik açık kaynaklı bir çerçevedir. Şu anda yüzlerce şirket tarafından benimsenmiştir.
“Sadece bekleyip görmek ve bunu içselleştirmek istemedik” diyor. “Geliştirici portalları alanında inovasyonu yönlendirmek istedik.”
Bunu yaparak, Spotify Backstage pazar lideri haline geldi. Şirket dahili olarak yatırım yapmaya devam ediyor, ancak Ploug, Spotify’ın CNCF’ye bağışlayarak aynı zamanda “ortalıkta kalmasını” sağladığını ve bunun da dahili kullanıcılara kullanmaya devam etmeleri için güven verdiğini söylüyor.
Ekonomik sürdürülebilirlik
Ploug, bir açık kaynak ürününün uzun ömürlü olduğuna güvenme fikrinin, şu anda açık kaynak topluluğunun karşı karşıya olduğu sorunun merkezinde yer aldığına inanıyor. “Açık kaynakta çok büyük bir finansal sürdürülebilirlik sorunumuz var” diyor. “Bence çok sayıda açık kaynak sağlayıcısı düşük ücret alıyor veya yeterince takdir edilmiyor. Ayrıca, gördüğümüz açık kaynak bakımına yönelik artan talepler konusunda da stresliler.”
Açık kaynak kodunu kullanan kuruluşların sonuçları anlamaları gerekir. Ploug, “Bu sağlayıcıyla bir hizmet düzeyi sözleşmeniz yok” diyor. “Bu bir satıcı değil. Kodu elinde tutan kişiye ödeme yapmıyorsunuz. Tedarikçi ilişkisi yok [contract]”
Bir hizmet seviyesi anlaşmasının olmaması, açık kaynak güvenliğini geliştirmeye yönelik sektör çapındaki girişimlerin etkinliği üzerinde önemli bir etkiye sahiptir.
“Sorunun çoğunun bakım eksikliğinden kaynaklandığını düşünüyorum” diyor. “Bunun nedeni, bakım görevlilerinin zamanlarının olmaması veya yaptıkları iş için ödeme almamaları ve bu projeleri akşamları ve hafta sonları yürütmeleridir.”
Sonuç olarak Ploug, yazılım güvenliği tedarik zinciri kavramının açık kaynakta çalışabileceğine inanmıyor. Bakımcılara ödeme yapılmadığı için tedarikçi değillerdir. “Bir tedarik zinciriniz yok” diyor.
Şirketlerin projeleri mali olarak desteklemesi hâlâ yaygın bir uygulama değildir ve Ploug, açık kaynak projelerine mali destek sunan açık kaynak kullanan daha fazla kuruluş görmek istiyor.
Yetenek havuzunu genişletmek
Yalnızca belirli kişilerin açık kaynak projelerini sürdürmek için zamanlarından vazgeçebildiği göz önüne alındığında, bunun topluluğu çok özel bir demografiyle sınırladığından endişe ediyor.
Ploug, “Akşamları ve hafta sonlarını açık kaynak üzerinde çalışarak geçirme tutkusu olan çok özel bir insan” diyor. “O, ev işi olmayan, bakması gereken çocuğu olmayan, aile hayatı olmayan, hasta akrabası olmayan biri.”
Açık kaynağın, çeşitli katkıda bulunanlar ve geliştiriciler topluluğunu çekebilecek daha düz bir oyun alanı haline gelmesi gerektiğini söylüyor. Bu aynı zamanda mali sorunla ve endüstri ile politika yapıcıların yazılım güvenliği tedarik zincirlerini devreye sokma istekleriyle de bağlantılı.
Bakımcılara ve açık kaynak katkıda bulunanlara ödeme yapılırsa ve projelere sponsor olunursa, insanların açık kaynak topluluğundaki rollerini bir meslek olarak görmeleri daha olasıdır. Geliştirdikleri ve sürdürdükleri kodun kullanıcılarıyla yaptıkları sözleşme mali açıdan bağlayıcıdır, bu da bu kullanıcılara bir hizmet düzeyi sözleşmesi ve hesap verebilirlik sağlar.