A nyílt forráskódú szoftverek (röviden OSS) a technológiai ipar sarokkövévé váltak, és a kis startupoktól a globális vállalatokig mindenre hatással vannak. A mindenütt jelenléte és az innováció előmozdításában betöltött alapvető szerepe ellenére az OSS valódi gazdasági értéke nagyrészt feltérképezetlen terület maradt - egészen mostanáig. A Harvard Business School kutatói, Manuel Hoffmann, Frank Nagle és Yanuo Zhou "A nyílt forráskódú szoftverek értéke" című úttörő tanulmánya erre az eddig feltáratlan területre hatolt, és bemutatja az OSS elképesztő gazdasági hatását az egész iparágban (The Value of Open Source Software).
Egy felbecsülhetetlen értékű alapítvány trillió dolláros hatással
A tanulmány egy alapvető paradoxonnal kezdődik: hogyan mérhető valami olyan dolog értéke, ami szabadon hozzáférhető? Hagyományosan a gazdasági értéket úgy számítják ki, hogy a termék árát megszorozzák az eladott mennyiséggel. Ez a képlet azonban az OSS esetében nem működik - az ingyenesen elérhető dolgokon nincs árcédula, és a használat nyomon követése az OSS terjesztésének decentralizált jellege miatt herkulesi feladat.
A kutatás egyedi globális adatforrások és egy újszerű megközelítés segítségével 4,15 milliárd dollárra becsüli a "kínálati oldali" értéket (a legelterjedtebb OSS újbóli létrehozásának költségét). Az igazi szemet gyönyörködtető azonban a "keresleti oldal" értéke, amelyet elképesztő, 8,8 billió dollárra becsülnek. Ez a szám azt a feltételezett költséget jelenti, amellyel a vállalatoknak szembe kellene nézniük, ha ezzel egyenértékű szoftvert fejlesztetnének saját maguknak. Ezek az összegek rávilágítanak az OSS által a globális gazdaság számára biztosított hatalmas megtakarításokra és hatékonyságnövekedésre.
A Falco például, egy nyílt forráskódú, felhőalapú biztonsági eszköz, 190 olyan személy hozzájárulásával büszkélkedhet, akik elkötelezettek a szoftverfejlesztése és a felhőalapú számítástechnikában felmerülő fenyegetésekkel szembeni megfelelés biztosítása mellett. Ha egy szervezet a semmiből próbálna meg egy egyedi fenyegetésérzékelő motort fejleszteni Go nyelven, akkor pénzügyileg nem lenne célszerű 190 munkatársat foglalkoztatni az eszköz folyamatos fejlesztésére és karbantartására. Bár a 190 közreműködő többsége valószínűleg nem főállásban, hanem mellékállásban foglalkozik a Falcóval, a projektben aktívan részt vevő személyek számának felismerése értékes betekintést nyújt a kollektív emberi befektetések mennyiségébe.
Az OSS meg nem énekelt hősei
A tanulmány egyik legérdekesebb megállapítása, hogy az értékteremtés az OSS közösségen belül koncentrálódik. Az OSS-fejlesztők mindössze 5%-a felelős a keresleti oldal értékének 96%-áért. A hozzájárulók ezen elit csoportja aránytalanul nagy hatást gyakorol a szoftver ökoszisztémára, ami hangsúlyozza, hogy mind a technológiai ipar, mind a politikai döntéshozók részéről támogatásra és elismerésre van szükség.
Az XZ Utils közelmúltban felfedezett hibájának témájánál maradva, a politikai döntéshozóknak és a szoftvergyártóknak proaktív lépéseket kell tenniük a meglévő OSS-projektek biztonságának és integritásának javítása érdekében, hogy az ehhez hasonló incidensek ne ismétlődhessenek meg. Sok OSS-karbantartó önkéntesen, díjazás nélkül és gyakran rendes munkája mellett dolgozik ezeken a projekteken. Ez túlhajszoltsághoz és kiégéshez vezethet, ami olyan sebezhetőségeket hozhat létre, amelyeket a támadók kihasználhatnak a szoftverek kompromittálására.
Megfelelő biztosítékok és támogatási rendszerek nélkül ezek a karbantartók olyan környezetben dolgoznak, amely alábecsüli döntő fontosságú hozzájárulásukat, és jelentős kockázatoknak teszi ki őket. E kihívások kezelése érdekében sürgősen szükség van olyan politikai beavatkozásokra, amelyek elismerik és pénzügyileg támogatják az OSS fejlesztését, valamint az egész iparágra kiterjedő szigorú biztonsági gyakorlatok elfogadására. Az olyan intézkedések végrehajtásával, mint az OSS-projektek finanszírozása, a karbantartóknak nyújtott biztonsági képzés és az átfogó felülvizsgálati folyamatok kidolgozása, a politikai döntéshozók és a gyártók megvédhetik a karbantartókat az indokolatlan nyomástól, és fokozhatják az OSS biztonságát.
A gazdaságot működtető programozási nyelvek
A tanulmány mélyebbre ásva megállapítja, hogy az OSS értékének oroszlánrészét valójában néhány kulcsfontosságú programozási nyelv termeli, amelyek közül a Go, a JavaScript és a Java vezet. Ezek a nyelvek nemcsak a fejlesztők körében népszerűek, hanem több milliárd dollárnyi érték létrehozásában játszanak szerepet, ami még inkább hangsúlyozza az OSS-ökoszisztémába való befektetés és megfelelő kezelés stratégiai fontosságát.
Az a gondolat, hogy a szervezetek inkább saját programozási nyelvek létrehozását választják, mint a meglévő nyílt forráskódú lehetőségek, például a JavaScript vagy a Python könyvtárak kihasználását, nem állja meg a helyét a gyakorlatban, figyelembe véve az ehhez szükséges kiterjedt erőforrásokat és szakértelmet.
Egy új programozási nyelv nulláról való megalkotása nem csak a kezdeti hatalmas fejlesztési erőfeszítéseket jelenti, hanem a folyamatos karbantartást, a könyvtárak és eszközök fejlesztését, valamint a közösség támogatását is, hogy a nyelv használható legyen a mindennapi munkában. Ráadásul az olyan népszerű nyelvek, mint a JavaScript és a Python körül már létező ökoszisztémák, több éves közös erőfeszítés és a globális közösség hozzájárulásának eredményei is ott sorakoznak, amelyek hatalmas könyvtárakat és keretrendszereket foglalnak magukban, megkönnyítve az alkalmazások gyors fejlesztését és telepítését.
Ezek a széles körben használt nyelvek azonban nem mentesülnek a sebezhetőségektől, (Common Vulnerabilities and Exposures, CVE-k), amelyek jelentős biztonsági kockázatot jelentenek, ha nem javítják őket. E sebezhetőségek kezelése gyakran meghaladja az egyes szervezetek kapacitását, különösen, ha figyelembe vesszük a nyílt forráskódú alkalmazások függőségének széles skáláját. Ez a forgatókönyv kiemeli a nagy szoftvergyártók döntő szerepét a nyílt forráskódú ökoszisztéma biztonsági infrastruktúrájának javításában.
Azáltal, hogy előmozdítják e nyelvek és könyvtárak biztonságát, akár közvetlen kód-hozzájárulással, akár finanszírozással, akár fejlett biztonsági eszközök és szolgáltatások biztosításával, ezek a gyártók jelentősen csökkenthetik a szervezetek potenciális támadási felületét világszerte. Az egyes karbantartók, szervezetek és a nagy gyártók közötti ilyen jellegű együttműködési erőfeszítések alapvető fontosságúak a nyílt forráskódú szoftverek általános biztonsági helyzetének megerősítéséhez, amelyek napjaink digitális infrastruktúrájának nagy részét megalapozzák.
Hogyan marad biztonságban a Falco projekt?
A Falco projekt hangsúlyozza elkötelezettségét a szállítói függetlenség fenntartása és a biztonságosságának megerősítésére irányuló kollektív erőfeszítések mellett. A Falco filozófiájának egyik alappillére a szállítói semlegesség, amely biztosítja, hogy a projekt a hozzájárulások széles köréből profitáljon anélkül, hogy egyetlen vállalat érdekeihez kötődne. Ez a megközelítés egy sokszínű és erős közösséget hozott létre, amelyben számos vezető vállalat jelentős mérnöki erőforrásokat bocsátott rendelkezésre.
A projekt érettségének és megbízhatóságának bizonyítására a Falco sikeresen elnyerte a Cloud Native Computing Foundation (CNCF) inkubációs státuszát. Ezt az eredményt a CNCF Technical Oversight Committee (TOC) által lefolytatott, meglehetősen szigorú Due Diligence folyamat, többek között egy átfogó, harmadik fél által végzett biztonsági audit jellemezte. Ez a fokozatszerzés nemcsak a Falco növekedését és fenntarthatóságát bizonyította, hanem megszilárdította a Falco vezető pozícióját a nyílt forráskódú biztonsági rendszerek ökoszisztémájában.
A Falco a befogadó fejlesztési környezet iránti elkötelezettségét tükrözi, hogy 17 szervezet hozzájárulásaival büszkélkedhet, amelyek aktívan elkötelezték magukat a projekt mellett. A hozzájárulások mintegy 38%-a olyan neves szervezetektől származik, mint például az Amazon, a Cisco, a Chainguard, a Clastix, az IBM, a Microsoft, a RedHat, a SecureWorks, többek között számos egyéni közreműködő mellett. Ez a kollektív erőfeszítés azt is mutatja, hogy a Falco küldetése egy széles körű és rugalmas biztonsági eszköz támogatására, hogyan érvényesül.
Ez az irányítási gyakorlat tovább erősíti a Falco elkötelezettségét a gyártósemlegesség mellett, és különleges intézkedésekkel akadályozza meg, hogy egyetlen szervezet is domináljon a projekt irányításában. Egy kulcsfontosságú irányítási szabály 40%-ban korlátozza bármely szervezet szavazati jogát, biztosítva a kiegyensúlyozott képviseletet és döntéshozatalt a projektközösségen belül.
Az OSS fenntartható jövője felé
A Harvard tanulmánya egyértelműen felszólítja a szervezeteket, hogy gondolkodjanak el az OSS értékéről az üzletükben, ugyanakkor rávilágít arra is, hogy hányan tesznek megfelelő lépéseket projektjeik auditálása érdekében. A dokumentum továbbá kiemeli az OSS-nek a technológiai innováció és a gazdasági hatékonyság előmozdításában játszott létfontosságú szerepét.
Ez a digitális közkincs azonban - fizikai társaihoz hasonlóan - érzékeny a túlzott kihasználásra és az alulfinanszírozásra - ahogyan azt az XZ Utils hátsó ajtaja esetében láthattuk. A megállapítások az OSS fejlesztésének támogatására irányuló összehangolt erőfeszítések mellett érvelnek, biztosítva annak fenntarthatóságát és folyamatos hozzájárulását a globális gazdasághoz.
"A nyílt forráskódú szoftverek értéke" című tanulmány rávilágít az OSS hatalmas rejtett gazdasági erejére. Az értékének számszerűsítésével a kutatás nemcsak az OSS közösség hozzájárulását ismeri el, hanem rávilágít a jövőjét biztosítani hivatott stratégiai befektetések és támogatás kritikus szükségességére is. Ahogy haladunk előre a digitális korszakban, az OSS valódi értékét nem lehet eléggé hangsúlyozni - ez egy nélkülözhetetlen erőforrás, amely táplálja az innovációt, növeli a hatékonyságot és alakítja a technológiai ökoszisztémát.
