Linux基金会对自由和开源软件(FOSS)社区的一项新调查显示,贡献者花在安全问题上的时间不到3%,而且几乎没有人愿意增加这个百分比。随着企业和经济体越来越依赖开源软件,Linux基金会和哈佛大学创新科学实验室(LISH)根据近1,200名FOSS贡献者的回复发布的一份报告显示,开发人员“明显需要”投入更多FOSS项目的安全时间。该调查包括旨在帮助研究人员了解贡献者如何将时间花在FOSS上的问题,调查显示受访者平均仅将其总贡献时间的2.27%花在安全问题上。此外,对这些问题的回答表明,许多受访者对增加他们在安全方面的时间和精力不感兴趣。一位受访者评论说,他们“觉得安全是一件令人筋疲力尽的苦差事,这个话题最好留给律师和处理疯子”,而另一位受访者则说,“我发现安全是一个令人痛苦、无聊的过程障碍。”研究人员得出结论,需要一种新的FOSS安全和审计方法来改进安全实践,同时控制贡献者的负担。贡献者最需要的一些工具是错误和安全修复、免费安全审计,以及将安全相关工具添加到持续集成(CI)管道的简化方法。“很明显,更多的注意力需要投入到FOSS的安全性上,但这个负担不应该只落在贡献者身上,”报告中写道。“开发者一般不想做安全审计员,他们想得到审计结果。”研究人员提出的其他解决方案包括鼓励组织重新投入精力来识别和解决项目本身的安全问题。此外,开发人员“可以重写FOSS项目中容易出现漏洞的部分或整个组件”,而不是尝试修补现有代码。研究人员继续说道,“提高重写安全性的一种方法是将内存不安全的语言(例如C或C++)转换为内存安全的语言(几乎所有其他语言)。......这将消除一整类漏洞例如缓冲区溢出和双重释放。性别多样性——或者更确切地说,缺乏性别多样性——是该报告的另一个重要发现。在1,196名调查受访者中,91%的人报告为男性,年龄在25至44岁之间。研究人员指出,这一发现“强调了人们对FOSS社区中女性代表性不足的持续担忧。”并指出,缺乏代表性报告中的女性表示,结果“偏向于男性贡献者的FOSS活动,并不能完全代表女性对FOSS的贡献。”该调查的大多数受访者来自北美或欧洲,并且大多数是全职工作。将近一半(48.7%)的人表示他们在开源贡献上花费的时间是由雇主支付的,而44.02%的人表示这是他们唯一的方式有趣的是,结果表明COVID-19大流行对贡献者的工作状态几乎没有影响,只有极少数受访者报告脱离工作。再次,研究人员指出,由于缺乏代表性调查中的女性,“这些调查结果可能无法反映为FOSS做出贡献的女性的经历,尤其是那些在大流行期间受到家庭责任增加影响的女性的经历。“虽然绝大多数受访者(74.8%)是全职员工,并且超过一半(51.6%)的受访者获得专门用于开发FOSS的报酬,但在开发人员为开源项目做出贡献的动机中,金钱得分低,“对同行认可的渴望”也是如此。相反,开发人员表示他们纯粹有兴趣为他们正在从事的开源项目寻找功能、修复和解决方案。其他主要动机包括享受并希望回馈FOSS哈佛商学院助理教授FrankNagle说:“现代经济——无论是数字经济还是实体经济——越来越依赖免费和开源软件。”了解FOSS贡献者的动机和行为是确保这一关键基础设施未来安全性和可持续性的关键部分。“
