Chainguard спонсировал этот пост.
Программное обеспечение с открытым исходным кодом (OSS) находится под атакой — и не только от обычных подозреваемых, вставляющих вредоносные программы или сканеры уязвимостей.
Сегодня определение того, что значит быть «открытым исходным кодом», тихо разрушается. Коды переименовывают «Код», доступный для источника, в качестве открытого исходного кода, создавая последующие эффекты на сообщество и более широкую экосистему. Когда эти строки размываются, доверие ломается — и открытый исходный код не работает без доверия.
Если мы хотим, чтобы открытый исходный код оставался устойчивым и эффективным, нам нужно защищать не только код, но и принципы, которые лежат в основе его.
Определение вопросов с открытым исходным кодом
Инициатива с открытым исходным кодом (OSI), некоммерческая организация, которая устанавливает основу для экосистемы программного обеспечения с открытым исходным кодом, выполнила тяжелую работу по определению открытого исходного кода десятилетия назад. Он определил 10 критериев, которые включают бесплатное перераспределение, целостность исходного кода автора и отсутствие дискриминации в отношении лиц и групп, среди прочего. Эти критерии являются гарантиями, которые позволяют компаниям использовать OSS, не вызывая своего юридического отделения каждый раз, когда разработчик устанавливает пакет.
Доверие к этим принципам вызвало инновации. Вот почему открытый исходный код составляет 90% кода в приложениях, которые мы используем сегодня. Каждый раз, когда мы допускаем лицензии, которые не соответствуют определению открытого исходного кода, чтобы рассматриваться как открытый исходный код, эти гарантии больше не являются действительными, замедляя самые инновационные открытые исходные основания.
Волновой эффект лицензионных изменений
К сожалению, правда в том, что эти критерии не применяются в каждом случае использования. Мы видели, как продавцы строили тягу с действительно открытым проектом. Затем, беспокоясь о монетизации или конкуренции, они перебрасывают ее в рамках «доступной источника» с ограничениями, такими как «без коммерческого использования» или «только если вы не конкурент».
Но это не то, как работает открытый исходный код. Программное обеспечение сегодня глубоко взаимосвязано. Каждый проект — независимо от того, насколько маленький или изолированный — зависит от зависимостей, которые полагаются на другие зависимости, вплоть вниз по цепочке. Лицензия, которая ограничивает одну ссылку в этой цепочке, может сломать все это.
Когда разработчики запускают второе место, могут ли они использовать библиотеку, инновации замедляются. Вклады высохнут. Целые проекты перестают работать. Ошибки безопасности не исправляются. Техническое обслуживание становится намного сложнее. Сетевые эффекты, которые заставляют OSS Magical начинают расслабиться.
Самые здоровые проекты с открытым исходным кодом процветают, потому что конкуренты могут сотрудничать над ними. Посмотрите на Kubernetes и ядро Linux. Эти проекты поддерживаются людьми и организациями, которые часто являются конкурентами. Если положения о лицензии исключали любого из них в зависимости от того, на кого они работали, или как их компания зарабатывала деньги, эти проекты никогда бы не преуспели.
Форки сохраняют экосистему честной и здоровой
Форки — это то, как сообщество OSS защищает себя. Когда Hashicorp Relicensed Terraform по лицензии на бизнес-источник (BSL)-блокируя конкурентов от наращивания инструментов-сообщество запустило Opentofu, вилку по одобренной OSE, поддержанным основными участниками и поставщиками.
Переход Redis от Berkeley Software Distribution (BSD) к собственной лицензии был бизнесом. Но это оставило дыру — и сообщество разделило ее. Эта вилка стала Вальки, продолжением проекта, под руководством людей и платформ, которые полагались на него больше всего. Сегодня Valkey поддерживается нейтральным фондом, гарантируя, что ни одна компания не сможет отнять его из открытого исходного кода. Его сообщество пользователей приходит со всех уголков земного шара и перекрывается во многих других технических сообществах.
Это то, что делают здоровые экосистемы. Форки позволяют сообществам взять под контроль и поддерживать ценности, когда проекты изменяют курс. Самое главное, это то, как инновации продолжаются.
Открытый исходный код стоит защитить
Бренду с открытым исходным кодом потребовался десятилетия, чтобы построить. Это одна из самых успешных, надежных идей в истории программного обеспечения. Но это только заслуживает доверия, потому что это что -то значит.
Организации могут лицензировать свой код, как они хотят. Но если они собираются использовать термин «открытый исходный код», они должны это означать. Если нет, они должны назвать это чем -то другим — и владеть им.
OSI не может применять свое определение в одиночку. Это зависит от сообщества, чтобы поддержать его. Если мы хотим, чтобы открытый исходный код процветал, мы должны защищать то, что делает его мощным: лицензии, управление, сообщество и общее понимание того, что это значит.
Chainguard является безопасной основой для разработки и развертывания программного обеспечения. Предоставляя охраняемое программное обеспечение с открытым исходным кодом, созданное из источника и непрерывно обновляемое, Chainguard помогает организациям устранить угрозы в цепочках поставок программного обеспечения. Узнайте больше последних из Chainguard Trending Stories youtube.com/thenewstack Tech движется быстро, не пропустите эпизод. Подпишитесь на наш канал YouTube, чтобы транслировать все наши подкасты, интервью, демонстрации и многое другое. Группа подпишитесь с эскизом. Дэн Лоренк является соучредителем и генеральным директором компании по безопасности цепочки программного обеспечения Chainguard. Дэн работает над контейнерами и беспокоится о контейнерах в качестве инженера и менеджера. Он начал такие проекты, как Minikube, Skaffold и Kaniko, чтобы сделать контейнеры … Подробнее от Dan Lorenc
