Την περασμένη εβδομάδα, η Sonatype παρουσίασε την ετήσια έκθεσή της για την κατάσταση της εφοδιαστικής αλυσίδας λογισμικού, η οποία εξέτασε τα πρότυπα συντήρησης, υιοθέτησης και κατανάλωσης ανοικτού κώδικα (OS). Συγκεκριμένα, διερεύνησε την ανάπτυξη της εφοδιαστικής αλυσίδας λογισμικού, τη χρήση του λογαριασμού λογισμικού υλικών (SBOM), την άνοδο των κανονισμών OS, καθώς και τη χρήση της τεχνητής νοημοσύνης (AI) και της μηχανικής μάθησης (ML) από τους προγραμματιστές.
Η δυνατότητα διενέργειας αυτού του είδους ελέγχου από τρίτους σχετικά με τον πηγαίο κώδικα και την αλυσίδα εφοδιασμού είναι ένα από τα βασικά κοινωνικά οφέλη του ανοιχτού κώδικα. Τυχόν προβλήματα που ανακαλύφθηκαν θα μπορούσαν επίσης να υπάρχουν σε ιδιόκτητα πακέτα, αλλά οι χρήστες του ιδιόκτητου λογισμικού δεν έχουν κανέναν τρόπο να ελέγξουν. Η έκθεση αναδεικνύει μεμονωμένες και συστημικές λύσεις που μπορούν να επηρεάσουν την αλλαγή. Όπως το θέτουν οι συγγραφείς — η έκθεση δεν είναι απλώς μια προειδοποιητική ιστορία, αλλά μια έκκληση για δράση.
Η έκθεση μέτρησε ότι στα τέσσερα μεγάλα οικοσυστήματα (Javascript, Java, Python και.NET), τα έργα ανοιχτού κώδικα έχουν δημοσιευθεί με μέσο ρυθμό 15 % ετησίως τα τελευταία τρία χρόνια, γεγονός που δείχνει σταθερό ρυθμό και κλίμακα καινοτομίας στα οικοσυστήματα. Ο ρυθμός έχει μειωθεί σημαντικά από το ποσοστό άνω του 60 % που παρατηρήθηκε κατά την περίοδο πριν από το 2019. Ενώ οι συντάκτες αποδίδουν την πτώση της παραγωγικότητας στην πανδημία COVID-19 και τη μείωση του ελεύθερου χρόνου των προγραμματιστών, σημειώνουν επίσης τον ρυθμό ανάκαμψης της αύξησης της παραγωγής, με τον αριθμό των έργων ανοιχτού κώδικα να αυξάνεται κατά ένα τρίτο μεταξύ 2022 και 2023. Παρά την επιβράδυνση της ζήτησης στην αγορά λόγω του συνολικού κορεσμού της, τα δύο μεγαλύτερα οικοσυστήματα που περιλαμβάνονται στη μελέτη — Maven και npm — ζητούνται ένα εντυπωσιακό 1 τρισεκατομμύριο και 2,3 τρισεκατομμύρια φορές αντίστοιχα. Αυτό δείχνει ένα συνεχές ενδιαφέρον για την κατανάλωση ανοιχτού κώδικα.
Σύμφωνα με την έκθεση, οι αλυσίδες εφοδιασμού είναι «ένας από τους ταχύτερα αναπτυσσόμενους φορείς για τους αντιπάλους να εκτελούν κακόβουλο κώδικα», με τους εθνικούς κρατικούς φορείς να δραστηριοποιούνται όλο και περισσότερο στην αξιοποίηση των τρωτών σημείων της αλυσίδας εφοδιασμού για κακόβουλους σκοπούς. Ωστόσο, η έκθεση καταλήγει επίσης στο συμπέρασμα ότι οι προγραμματιστές κάνουν μεγάλα βήματα στην αντιμετώπιση αυτών των ανησυχιών υιοθετώντας νέες πολιτικές ασφάλειας, όπως ο υποχρεωτικός έλεγχος ταυτότητας πολλαπλών παραγόντων, οι κρυπτογραφικά υπογεγραμμένες εκδόσεις ή η ανάπτυξη εργαλείων για τον έλεγχο τρωτών σημείων. Οι συγγραφείς επισημαίνουν επίσης ότι οι οργανισμοί θα πρέπει να είναι πιο επιμελείς σχετικά με τις ενημερώσεις λογισμικού, έχοντας διαπιστώσει ότι περίπου το 96 % των στοιχείων που έχουν κατεβάσει με γνωστές ευπάθειες είχαν μια σταθερή έκδοση που ήταν ήδη διαθέσιμη κατά τη στιγμή της λήψης.
Για να πάρετε μια πληρέστερη εικόνα, είναι καλό να ρίξετε μια ματιά σε άλλους πόρους που επικεντρώνονται στην πλευρά του προγραμματιστή/συντηρητή της εξίσωσης. Σύμφωνα με την έκθεση του Tidelift «State of the Open Source Maintainer», το 60 % των συντηρητών θεωρούν τους εαυτούς τους μη αμειβόμενους χομπίστες, ενώ μόνο το 13 % αυτοπροσδιορίζονται ως επαγγελματίες συντηρητές που κερδίζουν το μεγαλύτερο μέρος του εισοδήματός τους από τη συντήρηση έργων. Ωστόσο, σε αντίθεση με μια δημοφιλή θεωρία ότι οι περισσότεροι συντηρητές προτιμούν να εργάζονται σε ανοιχτό κώδικα ως μη αμειβόμενο χόμπι, το 77 % των συντηρητών που δεν πληρώνονται δήλωσαν ότι θα προτιμούσαν να πληρωθούν. Αυτό καταδεικνύει ένα μεγαλύτερο ζήτημα στα πρότυπα κατανάλωσης ανοιχτού κώδικα. Το λειτουργικό σύστημα αποτελεί έως και το 90 % του κώδικα που χρησιμοποιείται στη σύγχρονη ψηφιακή υποδομή, με το μεγαλύτερο μέρος των εργασιών συντήρησης να εξαρτάται από την εργασία (συχνά) μη αμειβόμενων και τεταμένων προγραμματιστών.
Τούτου λεχθέντος, άλλες αναφορές — όπως οι «Διατηρητές Ανοικτού Κώδικα» του Ιδρύματος Linux — επισημαίνουν ότι οι συντηρητές γνωρίζουν καλά τα ζητήματα που μπορούν να προκύψουν με τον τρόπο εργασίας τους (π.χ. εξουθένωση), και αναπτύσσουν τεχνικές για να αποτρέψουν την εμφάνισή τους. Αυτό μπορεί να λάβει τη μορφή της αναγνώρισης ότι η εργασία ανοιχτού κώδικα δεν ολοκληρώνεται ποτέ, το σχεδιασμό ενός τρόπου ζωής που εξισορροπεί την εργασία και τις προσωπικές επιδιώξεις, την αποφυγή της ανάληψης μη αμειβόμενων έργων που απαιτούν υπερβολική διοικητική εργασία, την αυτοματοποίηση των ροών εργασίας για την αύξηση της αποτελεσματικότητας ή τον καθορισμό ορίων όσον αφορά την επικοινωνία και τις ώρες εργασίας.
Η έκθεση Sonatype δείχνει ότι τα εξαρτήματα και τα μοντέλα AI και ML μπορεί να καταστήσουν δυνατή την εκφόρτωση μέρους του φόρτου εργασίας συντήρησης στα μηχανήματα. Πράγματι, η έκθεση διαπιστώνει ότι το 97 % των ερωτηθέντων προγραμματιστών ενσωματώνουν επί του παρόντος την παραγόμενη ΤΝ στις ροές εργασίας τους σε κάποιο βαθμό, με περίπου τους μισούς από αυτούς να χρησιμοποιούν τεχνητή νοημοσύνη για να παράγουν και να δοκιμάζουν τον κώδικα τους, εξοικονομώντας έως και έξι ώρες την εβδομάδα. Λόγω της δυνατότητας και της ευρείας υιοθέτησης αυτών των εργαλείων, η έκθεση αναφέρει ότι ο Andrej Karpathy του OpenAI ισχυρίζεται ότι «η πιο καυτή νέα γλώσσα προγραμματισμού είναι η αγγλική». Ωστόσο, αυτή η εφαρμογή έρχεται με τις δικές της προκλήσεις — κατά τη διάρκεια του καλοκαιριού, οι προγραμματιστές λογισμικού υπέβαλαν αγωγή κατά της Microsoft, του GitHub και της OpenAI, υποστηρίζοντας ότι η υπηρεσία προτάσεων προγράμματος Copilot του GitHub ήρε σχεδόν πανομοιότυπες γραμμές κώδικα με αυτές που είχαν δημιουργήσει κατά παράβαση των ομοσπονδιακών νόμων περί πνευματικών δικαιωμάτων των ΗΠΑ.
Η έκθεση παρέχει μια ολοκληρωμένη ματιά στην κατάσταση της ανάπτυξης λογισμικού ανοιχτού κώδικα, επισημαίνοντας ορισμένες επίμονες προκλήσεις και το ενδιαφέρον για την υιοθέτηση του ανοιχτού κώδικα. Είναι σαφές ότι η αντιμετώπιση των ζητημάτων ασφάλειας και συντήρησης παραμένει κορυφαία προτεραιότητα για ολόκληρο το οικοσύστημα, αλλά αυτό δεν θα είναι δυνατό χωρίς μεγαλύτερη οικονομική και διαρθρωτική στήριξη για τους προγραμματιστές και τους συντηρητές.
Πηγή άρθρου: https://joinup.ec.europa.eu/