翻譯｜孔德晴、編輯｜開放文化基金會

編按：此篇文章翻譯自一份完整研究報告的摘要，來自 「Report on the 2020 FOSS Contributor Survey - 自由、開源軟體 2020 年度貢獻調查 」。

執行摘要

2020 年，Linux 基金會 ＆ 哈佛創新科學實驗室針對自由及開放原始碼軟體 (free and open source software; FOSS) 開發者進行調查，並公布調查結果。由於今日全世界仰賴 FOSS 作為現代經濟的重要基礎建設，因此調查的目的是為了找出提升 FOSS 安全性和永續性的關鍵因素。這項調查由 Linux 基金會的「核心基礎架構倡議小組」 (Core Infrastructure Initiative; CII) 及哈佛創新科學實驗室 (the Laboratory for Innovation Science at Harvard; LISH) 聯手執行，調查結果最近也被開源安全基金會 (Open Source Security Foundation; Open SSF) 工作小組採納，用來加強重要專案的安全。

為了使調查範圍囊括各 FOSS 社群，研究團隊除了針對最廣為使用開源軟體的專案，直接發送調查問卷給其專案的貢獻者（專案清單參考先前發布的「CII Census II 初步報告：核心基礎架構的安全漏洞」），同時也公開且廣泛的邀請 FOSS 貢獻者社群參與研究調查。兩組受訪者的回應分佈大致相似，但也有相異之處（例如：兩組受訪者使用的程式語言有所差異）。最後，有 1196 名受訪者填答背景資料並且回答至少一題關於目前 FOSS 專案貢獻相關問題。這 1196 人中，有 603 人填完整份問券。

受訪者當中，有 27% 來自美國、12% 來自德國、將近 7% 來自法國，其餘遍佈世界各地（參見調查報告內文圖 2a）。絕大多數受訪者（將近 75%）有全職工作。大部分受訪者從事科技相關產業（佔 61%），但也有其他產業類別，包括金融業、交通運輸業、營造業、房地產業、教育服務業、及醫療照護產業。調查結果發現，一半以上受訪者對於 FOSS 的貢獻有獲得酬勞，但不同國家之間差異很大。

以下將列舉這份報告的主要洞見，以及針對個點相應的行動建議。

貢獻者參與 FOSS 的三大主要動機皆為非金錢動機

非金錢動機最常被受訪者列為貢獻 FOSS 專案的前三大動機，尤其是加入所需功能或修改、喜歡學習、滿足對於從事創意/有趣工作的需求這三個選項。反之，為了報酬而開發 FOSS 這個選項，最可能排在個人動機的倒數三名，就算是回答有從貢獻中獲得報酬的受訪者，也是如此。

人們需要金錢來填飽肚子、安身立命。然而，絕大多數 (74.87%) 的受訪者已經有全職工作，有超過一半 (51.65%) 則是特別受僱於開發 FOSS 。不過必須謹記的是，這份調查關注的對象是人，而非專案。有些專案雖然相當重要，或是開發者有從其他專案賺取酬勞，但並沒有支付費用給貢獻者。即使許多貢獻者有從一些專案中獲得酬勞，但有些重要專案如果有給予貢獻者財務支持，或許更有利於專案的發展。

至於「哪種來自外部的貢獻最有益？」這個問題，第二常見的回答是財務貢獻最有益。乍看之下，這和貢獻者普遍不重視報酬支付的看法不相一致。但事實上，財務貢獻除了作為給貢獻者的報酬之用外，可以作為其他用途。例如，可以用來支付雲端伺服器、差旅費、活動舉辦、安全性審查、或作為專案社群相關資源。

建議採取的行動：

1. 認可員工貢獻 FOSS 所獲得的知識、技能的價值。
2. 有支援新進貢獻者的學習程序。例如：可以提供專案展示，或是提供各類開源專案最佳案例的教材和免費課程。
3. 讓所有貢獻者在創意和例行工作間取得平衡，藉由獎勵和充實的經驗，推動持續的參與。
4. 當提供財務支援予 FOSS 專案時，除了給予貢獻者金錢報酬外，應考慮其他支持方案 （例如，安全性審查、電腦資源、差旅補助）。

顯然，需要投入更多在 FOSS 的安全性上，但這份重責大任不該全部落在貢獻者頭上

所有類別的貢獻者都表示，他們花非常少的時間回應安全問題（平均佔總貢獻時間的 2.27%），同時也表示，他們並不打算大幅提升這個比例。然而當問到什麼對他們的 FOSS 專案最有幫助，受訪者認為是程式錯誤或安全性修正、免費的安全性審查、以及簡化在持續整合 (CI) 管道 (continous integration (CI) pipelines)加裝安全相關工具的方式（參見調查報告內文圖 20）。集中心力大幅提升貢獻者花在安全性的時間，應該不會是受歡迎的做法，反之，應考慮能激勵安全相關作為的另類方案。

 建議採取的行動：

1.    為重要的 FOSS 專案提供安全性審查資金，並且要求審查工作產出具體、可合併 (mergeable) 的修改建議。

2.    重新撰寫 FOSS 專案中，部分或整段容易產生安全漏洞的元件，藉此產生實質上更安全的結果（例如，貢獻者可用「記憶體安全（memory-safe）」的程式語言重新撰寫元件）。

3.    將安全的軟體開發的最佳實務視為優先工作。

4.    企業應該將軟體開發安全訓練作為徵才條件，或成為他們有薪 FOSS 開發者職業訓練的一環。

5.    透過認證及指導計畫，以及透過受敬重之 FOSS 貢獻者的影響力，來激勵各專案及其貢獻者開發並維持軟體開發安全最佳實務。

6.    鼓勵專案納入安全工具及自動化測試，將之作為 CI 管道的一部份。理想上，這應該是程式管理平台預設的一部份。

當越來越多貢獻者受薪去付出貢獻，利害關係人就必須平衡企業和專案的利益

過去幾年來，陸續有許多關於金錢在 FOSS 生態圈影響力與日俱增的辯論。這份調查顯示，將近一半 (48.7%) 的受訪者表明，雇主支付酬勞來請他們貢獻於 FOSS。雖然私部門在付費貢獻扮演越來越重要的角色，或許能夠提升 FOSS 的穩定性和永續性，但也有人擔心，一旦這種金錢支持突然不再，專案會受到什麼影響。

建議採取的行動：

1.    透過提升透明度和作出明確承諾，長年支持一般和特定 FOSS 專案，藉此消除企業參與 FOSS 可能引起的擔憂。

2.    鼓勵付費貢獻者分配時間指導新進貢獻志工。3.    將 FOSS 專案移轉至治理中立的基金會，確保組織和權責的多元。

增進企業支持員工貢獻 FOSS 這股正面趨勢

公司對員工參與 FOSS 抱持越來越開放的態度令人鼓舞，但還是有進步的空間。超過 45.45% 的受訪者表示他們不用經過雇主同意就能自由參與 FOSS 專案，十年前，這個比例是 35.84%。然而，有許多受訪者也表示公司的政策不明確 (17.48%)，或是對政策不了解 (5.59%)。

建議採取的行動：

1. 釐清關於員工可以如何貢獻 FOSS 專案的政策，確保員工了解政策，並鼓勵員工參與 FOSS 專案。
2. 透過個人直接參與，或是與 OpenSSF 等組織合作的方式，促進對 FOSS 專案安全性改進的貢獻。

---

本文章授權條款採 創用 CC BY (姓名標示) 4.0。