Özgür ve Açık Kaynak (FOSS) ticari yazılımın gelişiminin ayrılmaz bir parçası haline geldi, ancak bağımlılığın kapsamı şaşırıyor: DB Systel'in Max Mehl, geçen hafta gerçekleşen yedinci FOSS-BACKSTAGE konferansındaki derste dahili proje başına ortalama 125 bağımlılık sayısını teyit ediyor.
Bildirgesi, bunların çoğunun 117.000'den fazla açık kaynak paketinin olduğunu tahmin eden 32.000'den fazla iç depo analizine dayanmaktadır. Bu, açık kaynak ayarlarının yüzde 70 ila 90'ından bir paydan başlayan 2022'den bu yana Linux Vakfı rakamlarına denk geliyor.
Bu bağımlılıklar, örneğin bağımlılıklar artık iyi olmadığı için lisansa tabi veya güvenlik boşluklarına sahip olduğu için riskler anlamına gelir. Burada sadece şans eseri keşfedilen XZ boşluğunu ifade eder.
Güvenlik riskinin bağımlılıkları
Yönetişim – Yaklaşık 75 etkinlikle Foss'un sahne arkasının temel konularından biri – Bu bağlamda, açık kaynak kullanırken riskleri en aza indirecek şekilde organizasyonel çerçeveyi bir şirkette tasarlamak anlamına gelir. Uygunluk ve güvenlik standartlarının oluşturulmasının yanı sıra açık kaynak topluluğuna katkıların kontrolü ek olarak, bir şirket için stratejik katma değer de maksimize edilmelidir.
Çünkü çok sayıda fosik bağımlılık aynı zamanda bir şirketin ilgili işlevselliği geliştirmek zorunda olmadığı ve bu nedenle açık kaynak kullanımından finansal avantaj elde ettiği anlamına gelir. Burada birçok makale ve tartışmada, şirketlerin saf kullanıcının rolünü sınırlama yetkisine sahip olmadıkları, ancak kalkınma ile finansal ve aktif olarak yardımcı olması gerektiği gibi geliyordu.
Bireysel teknolojik vektörlerin aşırı yüklenmesinden elde edilen riskleri en aza indirmenin tek yolu budur. Birbirlerinin kullanımının fırsatlarını ve risklerini tartın ve kontrol edin, bugün açık kaynak programının (OSPO) görevi-konferansın iki dersinin konusudur.
Bir risk değerlendirmesi, şirket kodunun ayrıntılı bir analizi ile başlar, bu da Materyaller Yasası Yazılımı'na (SBOM) veya ilişkili sürümler ve lisanslar da dahil olmak üzere yazılım projelerine doğrudan ve dolaylı bağımlılıkların bir koleksiyonuna dayanmaktadır.
OpenSSF Puan Kartı) Open Güvenlik Vakfı (OpenSSF) veya Linux Foundation Chaoss projesi gibi araçlar, güvenlik veya toplulukla ilgili riskleri belirlemeye yardımcı olur.
Sorumluluk ve dijital egemenlik arasında sakin
FOSS kullanan şirketler için daha fazla zorluk, özellikle her ikinci dersi sunan yeni Avrupa düzenlemelerinden (özellikle Siber Dayanıklılık Yasası'ndan (MKK) ve ürünün sorumluluğunu (2024/2853, PLD) sorumluluğundan kaynaklanmaktadır.
Hem kullanıcıları korur hem de daha güvenli ve daha sürdürülebilir yazılımlar sağlamak için şirketleri kabul edin. Şirketler, tüm açık kaynaklı bileşenler de dahil olmak üzere yazılımlarının, tasarım ve büyük risk yönetimi süreçleri için bir güvenlik ilkesi ile elde edilmesi gereken CRA'da tanımlanan standartlara yanıt vermesini sağlamalıdır. Entegre açık kaynaklı bileşenlerin sorumluluğu, tamamen ilgili test ve kontrol mekanizmalarını uygulaması gereken ürün tedarikçisidir. PLD, ürün terimini genişletir ve ticari olarak satılması şartıyla hem bağımsız hem de diğer ürünleri içerir.
MKK ve PLD'nin açık kaynak geliştirme üzerindeki etkileri hakkında farklı görüşler vardır. PLD'de, Foss piyasada sunulmadıkça genellikle sorumluluktan çıkarılır. Ancak, ticari veya ticari olarak dağıtılmış bir ürüne entegre edilmişse, ürünün sorumluluğu uygulanır.
Tamamen özel geliştiriciler için bu, şirketlerin yüksek kaliteli yazılım elde etmek için onları finansal olarak desteklemeye daha istekli oldukları anlamına gelebilir. Tam olarak bu, Foss'un yazarının ticari satışlarla sınırını geçtiği zaman sorusu ortaya çıkıyor. Açık kaynaklı bir geliştirici, çalışmasının kalitesi yoluyla kârlı gelir sağlıyorsa, ticari bir faaliyet mi?
Bu noktadaki belirsizliğe ellerle sahne arkasına çukura neredeyse ulaşılması gerekiyordu. Bu konudaki netlik sadece içtihattan veya PLD ve MKK'nın iyileştirilmesinden kaynaklanmalıdır.
Konferansın son konusu, gerçekten her şey, bir açıklamanın acilen gerekli olduğunu açıklıyor: Foss, AB'nin dijital egemenliği için merkezi bir öneme sahiptir, Jutta Horstmann'ın (dijital egemenlik CEO'su, Zendis), “dijital ekim” konusundaki açılış konuşması, “vurgulanmış gepolit” içinde modellenir.
Zendis'ten Jutta Horstmann, AB dijital egemenliği konusunda açılış konuşmasını yaptı.
(Resim: Jan Michalko/Foss sahne arkası/cc-by-sa 4.0)
Açık kaynağı tanıtmak istiyorsanız ve engellememek istiyorsanız, AB'nin Foss'un kahramanı için çok fazla engel oluşturması neredeyse hiç olmamalıdır. Çünkü uzun vadeli bakım ve güvenlik güncellemelerinin tedarikine duyulan ihtiyaç finanse edilmek istemektedir.
Konferansın ikinci günü, iki marjinal etkinlik düzenlendi: birincisi, yeni bir Avrupa'da Foss'u kabul etmek tamamen önemli olmayan kullanıcı deneyimi tasarımının sorularıyla karşılaşan “Foss'un sahne arkası tasarımı”. Öte yandan, Stefan Rudnitzki ile birlikte Foss'un sahne arkasını başlatan Isabel Drost-Fromm yönetiminde iç kaynağın toplanması.
Genel olarak, sahne arkası Foss, mevcut ancak sadece teknik olmayan büyük ilgi duyan çok fazla bilgiye sahip sürekli başarılı bir olaydı. Mevcut ve önceki sahne arkası foss'ları YouTube'da görüntülenebilir.
(DSÖ)
Bildirgesi, bunların çoğunun 117.000'den fazla açık kaynak paketinin olduğunu tahmin eden 32.000'den fazla iç depo analizine dayanmaktadır. Bu, açık kaynak ayarlarının yüzde 70 ila 90'ından bir paydan başlayan 2022'den bu yana Linux Vakfı rakamlarına denk geliyor.
Bu bağımlılıklar, örneğin bağımlılıklar artık iyi olmadığı için lisansa tabi veya güvenlik boşluklarına sahip olduğu için riskler anlamına gelir. Burada sadece şans eseri keşfedilen XZ boşluğunu ifade eder.
Güvenlik riskinin bağımlılıkları
Yönetişim – Yaklaşık 75 etkinlikle Foss'un sahne arkasının temel konularından biri – Bu bağlamda, açık kaynak kullanırken riskleri en aza indirecek şekilde organizasyonel çerçeveyi bir şirkette tasarlamak anlamına gelir. Uygunluk ve güvenlik standartlarının oluşturulmasının yanı sıra açık kaynak topluluğuna katkıların kontrolü ek olarak, bir şirket için stratejik katma değer de maksimize edilmelidir.
Çünkü çok sayıda fosik bağımlılık aynı zamanda bir şirketin ilgili işlevselliği geliştirmek zorunda olmadığı ve bu nedenle açık kaynak kullanımından finansal avantaj elde ettiği anlamına gelir. Burada birçok makale ve tartışmada, şirketlerin saf kullanıcının rolünü sınırlama yetkisine sahip olmadıkları, ancak kalkınma ile finansal ve aktif olarak yardımcı olması gerektiği gibi geliyordu.
Bireysel teknolojik vektörlerin aşırı yüklenmesinden elde edilen riskleri en aza indirmenin tek yolu budur. Birbirlerinin kullanımının fırsatlarını ve risklerini tartın ve kontrol edin, bugün açık kaynak programının (OSPO) görevi-konferansın iki dersinin konusudur.
Bir risk değerlendirmesi, şirket kodunun ayrıntılı bir analizi ile başlar, bu da Materyaller Yasası Yazılımı'na (SBOM) veya ilişkili sürümler ve lisanslar da dahil olmak üzere yazılım projelerine doğrudan ve dolaylı bağımlılıkların bir koleksiyonuna dayanmaktadır.
OpenSSF Puan Kartı) Open Güvenlik Vakfı (OpenSSF) veya Linux Foundation Chaoss projesi gibi araçlar, güvenlik veya toplulukla ilgili riskleri belirlemeye yardımcı olur.
Sorumluluk ve dijital egemenlik arasında sakin
FOSS kullanan şirketler için daha fazla zorluk, özellikle her ikinci dersi sunan yeni Avrupa düzenlemelerinden (özellikle Siber Dayanıklılık Yasası'ndan (MKK) ve ürünün sorumluluğunu (2024/2853, PLD) sorumluluğundan kaynaklanmaktadır.
Hem kullanıcıları korur hem de daha güvenli ve daha sürdürülebilir yazılımlar sağlamak için şirketleri kabul edin. Şirketler, tüm açık kaynaklı bileşenler de dahil olmak üzere yazılımlarının, tasarım ve büyük risk yönetimi süreçleri için bir güvenlik ilkesi ile elde edilmesi gereken CRA'da tanımlanan standartlara yanıt vermesini sağlamalıdır. Entegre açık kaynaklı bileşenlerin sorumluluğu, tamamen ilgili test ve kontrol mekanizmalarını uygulaması gereken ürün tedarikçisidir. PLD, ürün terimini genişletir ve ticari olarak satılması şartıyla hem bağımsız hem de diğer ürünleri içerir.
MKK ve PLD'nin açık kaynak geliştirme üzerindeki etkileri hakkında farklı görüşler vardır. PLD'de, Foss piyasada sunulmadıkça genellikle sorumluluktan çıkarılır. Ancak, ticari veya ticari olarak dağıtılmış bir ürüne entegre edilmişse, ürünün sorumluluğu uygulanır.
Tamamen özel geliştiriciler için bu, şirketlerin yüksek kaliteli yazılım elde etmek için onları finansal olarak desteklemeye daha istekli oldukları anlamına gelebilir. Tam olarak bu, Foss'un yazarının ticari satışlarla sınırını geçtiği zaman sorusu ortaya çıkıyor. Açık kaynaklı bir geliştirici, çalışmasının kalitesi yoluyla kârlı gelir sağlıyorsa, ticari bir faaliyet mi?
Bu noktadaki belirsizliğe ellerle sahne arkasına çukura neredeyse ulaşılması gerekiyordu. Bu konudaki netlik sadece içtihattan veya PLD ve MKK'nın iyileştirilmesinden kaynaklanmalıdır.
Konferansın son konusu, gerçekten her şey, bir açıklamanın acilen gerekli olduğunu açıklıyor: Foss, AB'nin dijital egemenliği için merkezi bir öneme sahiptir, Jutta Horstmann'ın (dijital egemenlik CEO'su, Zendis), “dijital ekim” konusundaki açılış konuşması, “vurgulanmış gepolit” içinde modellenir.
Zendis'ten Jutta Horstmann, AB dijital egemenliği konusunda açılış konuşmasını yaptı.
(Resim: Jan Michalko/Foss sahne arkası/cc-by-sa 4.0)
Açık kaynağı tanıtmak istiyorsanız ve engellememek istiyorsanız, AB'nin Foss'un kahramanı için çok fazla engel oluşturması neredeyse hiç olmamalıdır. Çünkü uzun vadeli bakım ve güvenlik güncellemelerinin tedarikine duyulan ihtiyaç finanse edilmek istemektedir.
Konferansın ikinci günü, iki marjinal etkinlik düzenlendi: birincisi, yeni bir Avrupa'da Foss'u kabul etmek tamamen önemli olmayan kullanıcı deneyimi tasarımının sorularıyla karşılaşan “Foss'un sahne arkası tasarımı”. Öte yandan, Stefan Rudnitzki ile birlikte Foss'un sahne arkasını başlatan Isabel Drost-Fromm yönetiminde iç kaynağın toplanması.
Genel olarak, sahne arkası Foss, mevcut ancak sadece teknik olmayan büyük ilgi duyan çok fazla bilgiye sahip sürekli başarılı bir olaydı. Mevcut ve önceki sahne arkası foss'ları YouTube'da görüntülenebilir.
(DSÖ)