اقتصاد پنهان نرمافزار متنباز
کشف اخیر یک در پشتی در XZ Utils، یک ابزار فشردهسازی داده که توسط طیف وسیعی از برنامههای کامپیوتری متنباز مبتنی بر لینوکس استفاده میشود، اهمیت امنیت نرمافزارهای متنباز را برجسته میکند.
اگرچه نرمافزارهای متنباز اغلب در دسترس مصرفکننده نیستند، اما جزء حیاتی محاسبات و عملکردهای اینترنتی مانند ارتباطات امن بین ماشینها هستند.
نرمافزار متنباز (به اختصار OSS) به سنگ بنای صنعت فناوری تبدیل شده است و بر همه چیز، از استارتاپهای کوچک گرفته تا شرکتهای جهانی، تاثیر میگذارد. با وجود حضور فراگیر و نقش اساسی آن در پیشبرد نوآوری، ارزش اقتصادی واقعی OSS تاکنون تا حد زیادی ناشناخته باقی مانده است. یک مطالعه پیشگامانه با عنوان «ارزش نرمافزار متنباز» توسط محققان مانوئل هافمن، فرانک ناگل و یانئو ژو در دانشکده بازرگانی هاروارد، به بررسی این حوزه ناشناخته میپردازد و تاثیر اقتصادی شگفتانگیز OSS را در سراسر صنعت آشکار میکند.
بنیادی بینظیر با تاثیر تریلیون دلاری
این مطالعه با پرداختن به یک پارادوکس اساسی آغاز میشود: چگونه میتوان ارزش چیزی را که به صورت رایگان در دسترس است، اندازهگیری کرد؟ به طور سنتی، ارزش اقتصادی با ضرب قیمت یک محصول در مقدار فروخته شده محاسبه میشود. با این حال، این فرمول در مورد OSS با یک مانع مواجه میشود – هیچ برچسب قیمتی برای چیزی که رایگان است وجود ندارد و ردیابی میزان استفاده از آن به دلیل ماهیت غیرمتمرکز توزیع OSS، کاری بسیار دشوار است.
این تحقیق با بهرهگیری از منابع داده جهانی منحصر به فرد و یک رویکرد جدید، ارزش «سمت عرضه» (هزینه بازسازی پرکاربردترین نرمافزار متنباز) را ۴.۱۵ میلیارد دلار تخمین میزند. اما نکته جالب توجه واقعی، ارزش «سمت تقاضا» است که به رقم سرسامآور ۸.۸ تریلیون دلار میرسد. این رقم نشاندهنده هزینه فرضی است که شرکتها در صورت نیاز به توسعه نرمافزار معادل در داخل، با آن مواجه خواهند شد و صرفهجویی و افزایش بهرهوری عظیمی را که نرمافزار متنباز برای اقتصاد جهانی فراهم میکند، برجسته میکند.
برای مثال، فالکو، یک ابزار امنیتی متنباز و بومی ابری، به مشارکت ۱۹۰ نفر که خود را وقف ارتقای نرمافزار و تضمین مقابله با تهدیدات در حال تحول در محاسبات ابری کردهاند، افتخار میکند. اگر سازمانی بخواهد یک موتور تشخیص تهدید سفارشی در زبان برنامهنویسی گو (Go) را از ابتدا توسعه دهد، استخدام ۱۹۰ نفر از کارکنان برای توسعه و نگهداری مداوم این ابزار از نظر مالی غیرعملی خواهد بود. اگرچه بیشتر ۱۹۰ مشارکتکننده احتمالا به عنوان یک پروژه جانبی و نه شغل اصلی خود با فالکو همکاری میکنند، اما اذعان به تعداد افرادی که به طور فعال به این پروژه متعهد هستند، بینش ارزشمندی در مورد سرمایهگذاری جمعی انسانی آن ارائه میدهد.
قهرمانان گمنام OSS
یکی از جالبترین یافتههای این مطالعه، تمرکز خلق ارزش در جامعهی نرمافزارهای متنباز است. تنها ۵٪ از توسعهدهندگان نرمافزارهای متنباز، ۹۶٪ از ارزش سمت تقاضا را ایجاد میکنند. این گروه نخبه از مشارکتکنندگان، تاثیر نامتناسبی بر چشمانداز نرمافزار دارند و بر نیاز به حمایت و شناخت از سوی صنعت فناوری و سیاستگذاران تاکید میکنند.
با توجه به موضوع اخیر در مورد حفره امنیتی XZ Utils، برای جلوگیری از تکرار چنین حوادثی، سیاستگذاران و فروشندگان نرمافزار باید اقدامات پیشگیرانهای را برای افزایش امنیت و یکپارچگی پروژههای OSS موجود انجام دهند. بسیاری از توسعهدهندگان OSS به صورت داوطلبانه، بدون دریافت دستمزد و اغلب علاوه بر شغل عادی خود، روی این پروژهها کار میکنند. این امر میتواند منجر به کار بیش از حد و فرسودگی شغلی شود و آسیبپذیریهایی را ایجاد کند که دشمنان میتوانند از آنها برای به خطر انداختن نرمافزار سوءاستفاده کنند.
بدون وجود سیستمهای حفاظتی و پشتیبانی کافی، این نگهدارندگان در محیطی فعالیت میکنند که سهم حیاتی آنها را دست کم میگیرد و آنها را در معرض خطرات قابل توجهی قرار میدهد. برای مقابله با این چالشها، نیاز مبرمی به مداخلات سیاستی وجود دارد که توسعه نرمافزارهای متنباز را به رسمیت شناخته و از نظر مالی از آن حمایت کند، همراه با اتخاذ شیوههای امنیتی سختگیرانه در سطح صنعت. با اجرای اقداماتی مانند تامین مالی پروژههای نرمافزارهای متنباز، ارائه آموزشهای امنیتی برای نگهدارندگان و توسعه فرآیندهای بررسی جامع، سیاستگذاران و فروشندگان میتوانند نگهدارندگان را از فشارهای بیمورد محافظت کرده و امنیت نرمافزارهای متنباز را افزایش دهند.
زبانهای برنامهنویسی که اقتصاد را تقویت میکنند
با بررسی عمیقتر، این مطالعه نشان میدهد که سهم عمده ارزش OSS در واقع توسط چند زبان برنامهنویسی کلیدی ایجاد میشود که Go، JavaScript و Java در صدر آنها قرار دارند. این زبانها نه تنها در بین توسعهدهندگان محبوب هستند، بلکه در ایجاد میلیاردها دلار ارزش نیز نقش مهمی دارند و این امر بر اهمیت استراتژیک سرمایهگذاری و پرورش اکوسیستم OSS تأکید بیشتری میکند.
با توجه به منابع و تخصص گستردهای که برای چنین تلاشی مورد نیاز است، این تصور که سازمانها به جای استفاده از گزینههای متنباز موجود مانند کتابخانههای جاوا اسکریپت یا پایتون، به سمت ایجاد زبانهای برنامهنویسی اختصاصی روی آورند، از نظر عملی توجیهپذیر نیست.
ساخت یک زبان برنامهنویسی جدید از ابتدا نه تنها شامل تلاش اولیه عظیم برای توسعه است، بلکه شامل نگهداری مداوم، توسعه کتابخانهها، ابزارها و پشتیبانی جامعه نیز میشود تا آن را برای استفاده در تولید مناسب سازد. علاوه بر این، اکوسیستمهای موجود پیرامون زبانهای محبوبی مانند جاوا اسکریپت و پایتون نتیجه سالها تلاش جمعی و مشارکتهای یک جامعه جهانی است که شامل کتابخانهها و چارچوبهای گستردهای است که توسعه و استقرار سریع برنامهها را تسهیل میکند.
با این حال، این زبانهای پرکاربرد، بدون آسیبپذیری نیستند، از جمله آسیبپذیریها و آسیبپذیریهای رایج (CVE) شناختهشده که در صورت عدم اصلاح، خطرات امنیتی قابل توجهی را ایجاد میکنند. رسیدگی به این آسیبپذیریها اغلب فراتر از ظرفیت سازمانهای منفرد است، به خصوص با توجه به وسعت وابستگیهای متنباز که برنامههای مدرن به آنها متکی هستند. این سناریو، نقش حیاتی فروشندگان بزرگ نرمافزار را در افزایش زیرساخت امنیتی اکوسیستم متنباز برجسته میکند.
این فروشندگان با مشارکت در امنیت این زبانها و کتابخانهها، چه از طریق مشارکت مستقیم در کد، تامین مالی یا ارائه ابزارها و خدمات امنیتی پیشرفته، میتوانند سطح حمله بالقوه برای سازمانها در سراسر جهان را به میزان قابل توجهی کاهش دهند. چنین تلاشهای مشترکی بین نگهدارندگان انفرادی، سازمانها و فروشندگان بزرگ برای تقویت وضعیت امنیتی کلی نرمافزار متنباز که زیربنای بخش زیادی از زیرساختهای دیجیتال امروزی است، ضروری است.
پروژه فالکو چگونه ایمن میماند؟
پروژه فالکو بر تعهد خود به حفظ استقلال فروشنده و تلاش جمعی برای تقویت وضعیت امنیتی خود تاکید دارد. یکی از ارکان اساسی فلسفه فالکو، موضع بیطرفی آن نسبت به فروشنده است که تضمین میکند این پروژه از طیف گستردهای از مشارکتها بهرهمند شود، بدون اینکه به منافع هیچ شرکت خاصی وابسته باشد. این رویکرد، جامعهای متنوع و قوی را با منابع مهندسی قابل توجهی که توسط چندین شرکت پیشرو اختصاص داده شده است، پرورش داده است.
برای اثبات بلوغ و قابلیت اطمینان پروژه، فالکو با موفقیت از وضعیت جوجهکشی بنیاد محاسبات ابری بومی (CNCF) فارغالتحصیل شد. این دستاورد با یک فرآیند نسبتا دقیق ارزیابی بایسته (Due Diligence) که توسط کمیته نظارت فنی (TOC) CNCF انجام شد، از جمله یک ممیزی امنیتی جامع شخص ثالث، مشخص شد. این فارغالتحصیلی نه تنها رشد و پایداری فالکو را اثبات کرد، بلکه جایگاه فالکو را به عنوان پیشرو در اکوسیستم امنیت زمان اجرای متنباز تثبیت کرد.
با توجه به تعهد فالکو به یک محیط توسعه فراگیر، فالکو به مشارکتهای ۱۷ سازمان که به طور فعال به این پروژه متعهد هستند، افتخار میکند. نکته قابل توجه این است که تقریبا ۳۸٪ از مشارکتها از سوی اعمالکنندگان متنوع وابسته به سازمانهای مشهوری مانند آمازون، سیسکو، چینگارد، کلاستیکس، آیبیام، مایکروسافت، رد هت، سکیور ورکس و غیره، در کنار بسیاری از مشارکتکنندگان انفرادی، صورت گرفته است. این تلاش جمعی همچنین نشان میدهد که چگونه ماموریت فالکو برای پرورش یک ابزار امنیتی گسترده و انعطافپذیر، در حال اجرا است.
شیوههای مدیریتی، تعهد فالکو به بیطرفی فروشنده را بیش از پیش تثبیت میکند و اقدامات خاصی را برای جلوگیری از تسلط هر نهاد واحد بر جهتگیری پروژه در نظر گرفته است. یک قانون کلیدی مدیریتی، آرای واجد شرایط هر سازمان را به ۴۰٪ محدود میکند و نمایندگی و تصمیمگیری متعادل را در جامعه پروژه تضمین میکند.
به سوی آیندهای پایدار برای نرمافزارهای متنباز
افشاگریهای مطالعه هاروارد، فراخوان روشنی برای سازمانها است تا در مورد ارزش نرمافزارهای متنباز در کسبوکار خود تأمل کنند، ضمن اینکه نشان میدهد چه تعداد از این پروژهها اقدامات مناسبی را برای حسابرسی پروژههای خود انجام میدهند. این مقاله همچنین نقش حیاتی نرمافزارهای متنباز را در پیشبرد نوآوریهای فناورانه و بهرهوری اقتصادی برجسته میکند.
با این حال، این منابع دیجیتال مشترک، دقیقا مانند همتایان فیزیکی خود، در برابر استفاده بیش از حد و سرمایهگذاری ناکافی آسیبپذیر است – همانطور که در مورد در پشتی XZ Utils مشاهده شد. یافتهها از تلاشی هماهنگ برای حمایت از توسعه OSS، تضمین پایداری و سهم مداوم آن در اقتصاد جهانی، حمایت میکنند.
مطالعه «ارزش نرمافزار متنباز» توجه را به نیروگاه اقتصادی پنهان، یعنی نرمافزارهای متنباز، معطوف میکند. این تحقیق با کمّیسازی ارزش آن، نه تنها از مشارکتهای جامعه نرمافزارهای متنباز تجلیل میکند، بلکه نیاز حیاتی به سرمایهگذاری استراتژیک و پشتیبانی برای تضمین آینده آن را نیز برجسته میکند. با پیشرفت در عصر دیجیتال، نمیتوان ارزش واقعی نرمافزارهای متنباز را نادیده گرفت – این یک منبع ضروری است که نوآوری را تقویت میکند، کارایی را افزایش میدهد و چشمانداز فناوری را شکل میدهد.
دیدگاهتان را بنویسید