Estes são os principais motivos para desenvolvedores trabalharem com open source

Pesquisa da Linux Foundation’s Open Source Security Foundation (OpenSSF) e do Laboratory for Innovation Science em Harvard (LISH) revelou que as três principais motivações dos desenvolvedores para trabalhar em projetos de código aberto não são monetárias. O estudo “Report on the 2020 FOSS Contributor Survey” baseou-se nas respostas de 1200 contribuintes de software livre e de código aberto (FOSS, sigla para free and open-source software) para avaliar por que os colaboradores trabalham em projetos de código aberto e quanto tempo eles gastam em segurança.

As três principais motivações dos contribuidores não envolvem ganho financeiro. Embora três quartos dos entrevistados (74,87%) já esteja empregada em tempo integral e mais da metade (51,65%) seja paga especificamente para desenvolver FOSS, as motivações para contribuir se concentram em:

• Adicionar um recurso ou correção necessária;
• Prazer de aprender e atender a uma necessidade para um trabalho criativo
• E, por fim, porque é agradável

“A economia moderna – tanto digital quanto física – depende cada vez mais de software livre e de código aberto”, disse Frank Nagle, Professor Assistente da Harvard Business School. “Compreender as motivações e o comportamento dos contribuidores de FOSS é uma peça fundamental para garantir a segurança futura e a sustentabilidade dessa infraestrutura crítica”.

Segundo o relatório, há uma necessidade clara de dedicar mais esforços à segurança do FOSS, mas a responsabilidade não deve recair apenas sobre os contribuidores. Os entrevistados relatam gastar, em média, apenas 2,27% do tempo total de contribuição em segurança e expressam pouco desejo de aumentar esse tempo. Os autores do relatório sugerem métodos alternativos para incentivar os esforços relacionados à segurança.

As respostas dos entrevistados mostram que muitos tinham pouco interesse em aumentar o tempo e os esforços de segurança. Um deles comentou que “considera a segurança uma tarefa árdua e um assunto que é melhor deixar para os advogados e malucos do processo”, enquanto outro disse: “considero a segurança um obstáculo processual insuportavelmente enfadonho”.

Os pesquisadores encorajam as organizações a redirecionar os esforços para identificar e resolver os problemas de segurança nos próprios projetos. Como alternativa, os desenvolvedores “podem reescrever partes ou componentes inteiros de projetos FOSS que são propensos a vulnerabilidades”, em vez de tentar consertar o código existente.

“Uma maneira de melhorar a segurança de uma reescrita é mudar de linguagens não seguras para memória (como C ou C++) para linguagens seguras para memória (como quase todas as outras linguagens)”, disseram os pesquisadores.

À medida que mais contribuidores são pagos por seus empregadores para contribuir, os interessados ​​precisam equilibrar os interesses da empresa e do projeto. A pesquisa revelou que quase metade (48,7%) dos entrevistados são pagos por seus empregadores para contribuir com FOSS, sugerindo forte apoio à estabilidade e sustentabilidade de projetos de código aberto, mas questionando o que acontece se o interesse corporativo em um projeto diminuir ou cessar.

As empresas devem continuar a tendência positiva de suporte corporativo para a contribuição dos funcionários à FOSS. Mais de 45,45% dos entrevistados declararam que são livres para contribuir com o FOSS sem pedir permissão, em comparação com 35,84% dez anos atrás. No entanto, 17,48% dos entrevistados disseram que suas empresas não têm políticas claras sobre se podem contribuir e 5,59% não sabem quais políticas – se houver alguma – seu empregador tem.

“Compreender os comportamentos dos contribuidores de código aberto, especialmente no que se refere à segurança, pode nos ajudar a aplicar melhor os recursos e a atenção ao software mais usado do mundo”, disse David A. Wheeler, Diretor de Segurança da Cadeia de Suprimentos de código aberto da Linux Foundation. “Está claro a partir das conclusões de 2020 que precisamos tomar medidas para melhorar a segurança sem sobrecarregar os colaboradores e as conclusões sugerem várias maneiras de fazer isso”.