Новый опрос сообщества свободного программного обеспечения с открытым исходным кодом (FOSS), проведенный Linux Foundation, показывает, что участники тратят 2,27% своего времени на вопросы безопасности и не стремятся это изменить.
Отчет, представленный Linux Foundation и Лабораторией инновационных наук в Гарварде (LISH), основан на ответах почти 1200 участников FOSS. Его авторы подчеркивают «очевидную необходимость» для разработчиков уделять больше времени безопасности проектов FOSS, поскольку предприятия все больше полагаются на программное обеспечение с открытым исходным кодом.
Опрос был призван помочь исследователям понять, сколько времени участники FOSS выделяют на безопасность. Ответы показывают, что многие респонденты мало заинтересованы в том, чтобы увеличивать это время. Один респондент отметил, что разработчики «находят предприятие по обеспечению безопасности душераздирающей рутиной и темой, которую лучше всего оставить для юристов и политиков», а другой сказал, что «считает безопасность невыносимо скучным процессуальным препятствием».
Исследователи пришли к выводу, что потребуется новый подход к аудиту FOSS, чтобы улучшить методы обеспечения безопасности, ограничив при этом нагрузку на участников.
Среди наиболее востребованных инструментов со стороны участников были исправления ошибок и безопасности, бесплатный аудит безопасности и упрощенные способы добавления инструментов, связанных с безопасностью, в их конвейеры непрерывной интеграции (CI).
Другие предлагаемые исследователями решения включали поощрение организаций к перенаправлению усилий на выявление и решение проблем безопасности в самих проектах. В качестве альтернативы разработчики «могут переписать части или целые компоненты проектов FOSS, которые подвержены уязвимостям».
Исследователи отметили: «Один из способов повысить безопасность перезаписи — это переключиться с языков, небезопасных для памяти (таких как C или C ++), на безопасные языки». Это устранило бы целые классы уязвимостей, таких как переполнение буфера и двойное освобождение».
Исследователи привели также социологическую статистику своего опроса. Из 1196 респондентов 91% оказались мужчинами в возрасте от 25 до 44 лет, что «подчеркивают сохраняющуюся озабоченность по поводу недостаточного участия женщин в сообществах FOSS». Большинство респондентов находятся в Северной Америке или Европе и работают полный день.
Почти половина (48,7%) заявили, что работодатели платили им за время, потраченное на работу с открытым исходным кодом, в то время как 44,02% заявили, что им не платили.
При этом деньги, как и желание признания, оказались низкими приоритетами для разработчиков, участвующих в проектах с открытым исходным кодом. Они заявили, что были исключительно заинтересованы в поиске функций, исправлений и решений для своих проектов. Среди других главных мотивов были удовольствие от работы и желание внести свой вклад в проекты FOSS.
«Современная экономика — как цифровая, так и физическая — все больше полагается на бесплатное программное обеспечение с открытым исходным кодом, — сказал Фрэнк Нэгл, доцент Гарвардской школы бизнеса. — Понимание мотивации и поведения участников FOSS является ключевым элементом обеспечения безопасности и устойчивости этой критически важной инфраструктуры в будущем».
См. также:
boingo-00
Честно говоря, неудивительно. По наблюдениям в целом у технических специальностей больше мужчин, чем женщин
merhalak
Это достаточно временно. Просто непривычно для людей и всё. Пройдет немало времени (думаю, десяток-другой лет), прежде достаточно много кадров-женщин будет в сообществах FOSS. Просто потому, что сообществу FOSS уж не один десяток лет и раньше не запаривались так сильно по поводу женщин в IT, специально не популяризировали.
MonkAlex
А для мужчин специально популяризировали?
В смысле, зачем выравнивать, а не просто пользоваться энтузиастами, кто пришел, тот и пришел?
merhalak
1) Я не знаю, зачем выравнивать. Спросите у организаторов Gnome Outreachy, аналогичной вещи от JetBrains (тут даже локализованный ответ получить можно) и прочих активистов.
2) С моей точки зрения, большая часть таких организаций фактически приравнивают женщин к умственным инвалидам, которые неспособны самостоятельно заинтересоваться техникой и сообществом с открытым исходным кодом (выглядит со стороны это — отвратительно, может быть стоит поучаствовать в таком и понять изнутри, но снаружи себе антипиар они устроили). И да, акции в поддержку доступности инвалидам по здоровью я всячески поддерживаю. Ибо раз — здоровье у нас у всех не вечно и весьма заметно плавает, два — люди с ограниченными возможностями != людям с поврежденным мозгом, нельзя в условиях нехватки квалифицированных кадров разбрасываться ресурсами.
3) Для мужчин специально не популяризовали. Исторически сложилось. Как исторически был уклад общества с уклоном в патриархат. Скорее всего, из-за влияния военной сферы, в первую очередь, как двигателя компьютерной науки и скромным количеством женщин в военной сфере, конкретно принимающей решения.
4) Из предыдущего пункта — раз мужчин в компьютерных технологиях больше — значит и в FOSS больше. Нам примерно всем одинаково лень что-то писать, и одинаково интересно, если задача «идёт» и подзадачи ясны и понятны. У меня много знакомых девушек-коллег, с которыми я общаюсь и вижу, что они ни капли в своих проблемах не отличаются от парней-коллег, поскольку так же не хватает времени на OSS, так же хочется иногда что-то написать. Так же опускаются руки у кого-то. Всё абсолютно одинаково.
5) Энтузиасты будут. Просто сейчас надо мешать разделению мужские/женские технологии. Т.е. заставлять попридержать язык излишне умных преподавателей, которые бьют по студенткам, хотя у них такой же синдром самозванца. Я очень часто вижу, как студенты забрасывают предмет, чисто из-за сильной токсичности конкретного преподавателя. И да, взрослых переобучать — это трудиться на очень маленький выхлоп. Работать надо на возрасте школы и детского сада, когда не вбились ещё патриархальные догмы. В таком случае, лет через 20 процентное соотношение будет примерно равным, с небольшими отклонениями.
6) Вон, наш коллега постом ниже утверждает, что девушкам чаще всего неинтересно, уныло и скучно. Мне вот тоже, неинтересно, уныло и скучно, когда копаюсь в коде без документации, когда человек решил, что сокращения в именах переменных понятны и оставлять комментарии излишне, у него идеальный и чистый код. Наверно, тестостерона не хватает, надо было пойти и морду уроду (понятное дело, что не уроду, ибо предсказать заранее всё невозможно, но когда горишь с непонятного кода, про себя и не так ругаешься), написавшему код, набить, а заодно и выбить из него документацию.
MonkAlex
Вы такой дичи понаписали, что я долго сомневался, стоит ли ввязываться в диалог. Отвечу кратко — так и не понял, зачем что-то дополнительно делать. Работаю в IT около 8 лет, ни разу не видел какого-то особого отношения ни к мужчинам, ни к женщинам.
Отдельно отмечу момент, который цепляет сильно — токсичные преподаватели. Они есть везде. Проблема не только в IT, не только женщин касается, непонятно к чему вы про неё написали.
merhalak
Хорошо.
Спасибо за переход на личности. Прошу меня извинить за плохо выраженную второй раз подряд мысль. В будущем я постараюсь избегать писать большие комментарии без текстового редактора, чтобы позволить себе «выдержать» текст, проанализировать его повторно на свежую голову.
По всей видимости, я очень косноязычно выражаюсь. Я тоже этого не понимаю и не поддерживаю, а также считаю, что эти программы оказывают медвежью услугу женщинам (и прочим поддерживаемым) в IT.
Это же замечательно, если особого отношения к кому-либо в Вашем окружении нет.
Уточню: это я написал как пример устоявшегося фильтра, естественным образом замедляющего самостоятельную балансировку разнообразия. Что-то вроде уже сформировавшейся кастовой системы. Это не выражает какой-либо моей позиции по поводу решения этой проблемы, так как я недостаточное разнообразие проблемой не считаю.
Nalivai
Ну раз вы не видели, значит нету, да?
MonkAlex
Нет, значит только то, что я не видел, и не знаю, как это выглядит и почему это могло случиться тоже не могу представить.
Может поделитесь своим опытом?
C_21
Это полная неправда. Просто так сложилось в отрасли.
Он: спрашивай
Она: почему мужчины смеются над блондинками?
Он: да
Nalivai
Для женщин специально непопуляризируют. «Бабе место на кухне», вот это все.
ardraeiss
У вас есть научные подтверждения этого? (Цы)
Nalivai
news.microsoft.com/features/why-do-girls-lose-interest-in-stem-new-research-has-some-answers-and-what-we-can-do-about-it
www.builtbyme.com/lack-of-women-in-stem-reasons
www.ifs.org.uk/publications/13277
и так далее, там много еще если поискать. Учитывая специфику, исследований.
Если правда интересно, а не так, поболтать, рекомендую пролистать www.amazon.com/Inferior-Science-Wrong-Research-Rewriting/dp/0807071706, интересное чтиво про женщин в науке
ardraeiss
То есть, "такое бывает — следовательно, это делают специально". Ну да, традиционная аргументация, "злые мужики нарочно не пущают".
Nalivai
Так и будете goalpost двигать?
Большинство, наверное, не специально, я этого и не говорил, я не знаю, тут хрен померяешь. Большинство, я предполагаю, по глупости или по незнанию. Некоторые от страха что илитизм пропадет. Некоторые в ужасе что жена будет больше чем он зарабатывать. Но факт остается фактом, это один из основных факторов, из-за которого женщинам в STEM сложнее попасть, и сложнее там быть, при прочих равных. Даже факт того что мы об этом спорим этому косвенное подтверждение.
ardraeiss
Вот Ваше исходное утверждение, целиком:
Я выделил то самое, что "нарочно делают" и есть.
В качестве подтверждения — привели заметки о том, что "такое случается". То есть, именно что о другом.
А теперь Вы ещё "сдвинули планочку" до уровня "может и не все, может и не специально, может вообще по ошибке".
Не надо так.
struvv
девушкам чаще всего не интересно уныло и скучно, так же как большинству мужиков уныло работать сиделкой в детском саду
Нужны разные гормоны тестостерон для того, чтобы тянуло к технике, окситоцин для того, чтобы тянуло к детям
Nalivai
У вас есть научные подтверждения этого?
Zibx
Вы абсолютно правы! Уже очень много людей определяющих свой гендер как женский и предпочитающих когда к ним обращаются как she подалось в IT. Думаю им даже будут доплачивать за помощь в выравнивании статистики. Скорее бы уже наступило светлое будущее с единственно верным нормальным распределением.
diakin
She — это не толерантное слово.
funca
Я бы не стал драматизировать. По моим наблюдениям много девушек в айти работают в тестировании, бизнес анализе, продажах, пиаре, дизайне и различном менеджменте. Ортодоксальный опенсорс, выросший из институтской среды, это больше кодерское занятие. И оно в современных реалиях не является особо престижным, чтобы туда стоило кого-то привлекать специально.
ValCanada
Это идеально соответствует естественному распределению М/Ж по профессиям в условиях, где либо нет необходимости идти в тех, либо за нее не платят, как в данном случае.
Норвегия, страна много лет подряд занимающая первое место в списке самых гендерно-равных, имеет распределение 90М/10Ж среди технарей (инженеров, программистов), и 10М/90Ж среди социальных профессий (медсестра/брат, учитель/ница). В Индии, напротив, где без техпрофессии будешь жить впроголодь, распределение близится к 50/50.
Норвежцы, кстати, сами этому факту удивились еще лет 15 назад и стали искать корни, почему одни с рождения хотят общаться с людьми, а вторым интереснее гаечный ключ. TLDR: все зависит от количества тестостерона. Забавно, что сей простой и фундаментальный факт вызвал бурление у тех, кто любит затирать про неравенство как следствие неправильного образования, «вы фсё врёти!», сказали они на том же видео.
dominigato
Хочу посмотреть на исследования, доказывающие что для создания сайтов по темплейтам нужно много тестостерона. Для тестирования нужно много тестостерона. Для штампования рест апи нужно много тестостерона. Все это примерно 80% ИТ, и это не считая еще релизов, проджектов, продактов и все кто рядом.
Покажете такие исследования?
struvv
Вы неправильно задаёте вопрос
Исследования, которые доказывают неравенство не толерантны и их не будут проводить и тем более публиковать в престижных журналах
Вам нужно искать обратные исследования, где пытаются доказать что для профессий гормон не важен
dominigato
Скорее всего их будут проводить, только чтобы "уравнять" начнут кормить тестостероном девочек. Было же исследование, доказали. Надо уравнять шансы теперь.
ardraeiss
Покажите, пожалуйста, "создание сайтов по темлпейтам" в исходном сообщении. Потому что его там нет. Есть про разницу интереса к областям в целом, и про влияние гормонов.
dominigato
Да, именно на это я и хочу обратить внимание. Его там нет. Как и неких исследований, которые это могут доказать.
Где-то был еще аргумент что среди нобелевских премий где-то 90% мужчины, значит женщины не могут в науку и не могут в ИТ. Жду вот пока появится, чтобы спросить — сколько нужно нобелевок чтобы рест апи написать. Может у меня не хватает.
dominigato
С тем количеством программистов в Индии и Китае, большинство в опенсурсе тем не менее с Европы и США.
crea7or
потому как в Индии и Китае надо на еду зарабатывать может?
dominigato
А остальные получают еду бесплатно?
Nalivai
Да. Богатые родители, сдача квартир, гранты институтов, донаты, и.т.д.
Чтобы это все работало нужны лишние свободные деньги в обществе.
dominigato
Ах, вот кто пишет опенсурс — мажоры и доценты, теперь то все понятно :D
Вы видимо никогда не писали для собственного удовольствия, вот поэтому и не можете понять как это люди в свое свободное время пишут что-то опенсурсовое. Без богатых родителей, сданных квартир и грантов с института (лолшто).
apevzner
Не очень понятно, что такое время, уделенное вопросам безопасности.
Например, если я прилагаю изрядные усилия для обеспечения общей корректности кода, включая, но не ограничиваясь, усилиями по корректной работе с памятью, это время уделено вопросам безопасности или не им?
Или надо специально напрячь нужную морщину на лбу, и сказать всем, «сейчас я работаю с вопросами безопасности», и именно это время засчитывается?
slonopotamus
Если днями и ночами отлаживать проезды по памяти в программе на C, то времени безопасности будет уделяться много, но вот насколько безопасна при этом программа?
И вообще, 3% это много или мало? А сколько надо?
Странная в общем метрика.
achekalin
«Кровавый ынтерпрайз» и коммерческий софт, по опыту, еще меньшее уделяет какой-то там безопасности и времени, и (по сути) денег, и усилий по повышению уровня в первую очередь менеджеров.
А что один проект строится с оглядкой на безопасность (именно by design), а другой — нет, так это больше от автора/ов зависит. Как любой вопрос личного вкуса и приличий, кто-то считает делать в стиле «тяп-ляп-продакшен» допустимым, кто-то — нет. Утрирую, но опенсорсность тут не мерило.
Ну а тема технического долга в «платных» закрытых проектах — это вообще отдельная боль!
powerman
Всё верно. Но это не повод игнорировать проблему безопасности именно в опенсорсе. И на то есть кучка причин:
Goose-Iron
Ну им не до безопасности им продавать надо, принцип "фигак, фигак и в продакшен" работает в полную силу.
shiru8bit
Что-то мне кажется, что среди проектов с открытым исходным кодом не сильно больше тех же 3%, где вопрос безопасности вообще актуален. Среди них же далеко не только серверы и сетевые библиотеки, но и всякие конвертеры, текстовые и графические редакторы, музыкальный софт, игры, и т.п.