翻譯|孔德晴、編輯|開放文化基金會

編按:此篇文章翻譯自一份完整研究報告的摘要,來自 「Report on the 2020 FOSS Contributor Survey - 自由、開源軟體 2020 年度貢獻調查 」。
圖片來源:Felipe Sanches on Flickr

執行摘要

2020 年,Linux 基金會哈佛創新科學實驗室針對自由及開放原始碼軟體 (free and open source software; FOSS) 開發者進行調查,並公布調查結果。由於今日全世界仰賴 FOSS 作為現代經濟的重要基礎建設,因此調查的目的是為了找出提升 FOSS 安全性和永續性的關鍵因素。這項調查由 Linux 基金會的「核心基礎架構倡議小組」 (Core Infrastructure Initiative; CII) 及哈佛創新科學實驗室 (the Laboratory for Innovation Science at Harvard; LISH) 聯手執行,調查結果最近也被開源安全基金會 (Open Source Security Foundation; Open SSF) 工作小組採納,用來加強重要專案的安全。

為了使調查範圍囊括各 FOSS 社群,研究團隊除了針對最廣為使用開源軟體的專案,直接發送調查問卷給其專案的貢獻者(專案清單參考先前發布的「CII Census II 初步報告:核心基礎架構的安全漏洞」),同時也公開且廣泛的邀請 FOSS 貢獻者社群參與研究調查。兩組受訪者的回應分佈大致相似,但也有相異之處(例如:兩組受訪者使用的程式語言有所差異)。最後,有 1196 名受訪者填答背景資料並且回答至少一題關於目前 FOSS 專案貢獻相關問題。這 1196 人中,有 603 人填完整份問券。

受訪者當中,有 27% 來自美國、12% 來自德國、將近 7% 來自法國,其餘遍佈世界各地(參見調查報告內文圖 2a)。絕大多數受訪者(將近 75%)有全職工作。大部分受訪者從事科技相關產業(佔 61%),但也有其他產業類別,包括金融業、交通運輸業、營造業、房地產業、教育服務業、及醫療照護產業。調查結果發現,一半以上受訪者對於 FOSS 的貢獻有獲得酬勞,但不同國家之間差異很大。

以下將列舉這份報告的主要洞見,以及針對個點相應的行動建議。

貢獻者參與 FOSS 的三大主要動機皆為非金錢動機

非金錢動機最常被受訪者列為貢獻 FOSS 專案的前三大動機,尤其是加入所需功能或修改、喜歡學習、滿足對於從事創意/有趣工作的需求這三個選項。反之,為了報酬而開發 FOSS 這個選項,最可能排在個人動機的倒數三名,就算是回答有從貢獻中獲得報酬的受訪者,也是如此。

人們需要金錢來填飽肚子、安身立命。然而,絕大多數 (74.87%) 的受訪者已經有全職工作,有超過一半 (51.65%) 則是特別受僱於開發 FOSS 。不過必須謹記的是,這份調查關注的對象是人,而非專案。有些專案雖然相當重要,或是開發者有從其他專案賺取酬勞,但並沒有支付費用給貢獻者。即使許多貢獻者有從一些專案中獲得酬勞,但有些重要專案如果有給予貢獻者財務支持,或許更有利於專案的發展。

至於「哪種來自外部的貢獻最有益?」這個問題,第二常見的回答是財務貢獻最有益。乍看之下,這和貢獻者普遍不重視報酬支付的看法不相一致。但事實上,財務貢獻除了作為給貢獻者的報酬之用外,可以作為其他用途。例如,可以用來支付雲端伺服器、差旅費、活動舉辦、安全性審查、或作為專案社群相關資源。

建議採取的行動:

  1. 認可員工貢獻 FOSS 所獲得的知識、技能的價值。
  2. 有支援新進貢獻者的學習程序。例如:可以提供專案展示,或是提供各類開源專案最佳案例的教材和免費課程。
  3. 讓所有貢獻者在創意和例行工作間取得平衡,藉由獎勵和充實的經驗,推動持續的參與。
  4. 當提供財務支援予 FOSS 專案時,除了給予貢獻者金錢報酬外,應考慮其他支持方案 (例如,安全性審查、電腦資源、差旅補助)。

顯然,需要投入更多在 FOSS 的安全性上,但這份重責大任不該全部落在貢獻者頭上

所有類別的貢獻者都表示,他們花非常少的時間回應安全問題(平均佔總貢獻時間的 2.27%),同時也表示,他們並不打算大幅提升這個比例。然而當問到什麼對他們的 FOSS 專案最有幫助,受訪者認為是程式錯誤或安全性修正、免費的安全性審查、以及簡化在持續整合 (CI) 管道 (continous integration (CI) pipelines)加裝安全相關工具的方式(參見調查報告內文圖 20)。集中心力大幅提升貢獻者花在安全性的時間,應該不會是受歡迎的做法,反之,應考慮能激勵安全相關作為的另類方案。

 建議採取的行動:

1.    為重要的 FOSS 專案提供安全性審查資金,並且要求審查工作產出具體、可合併 (mergeable) 的修改建議。

2.    重新撰寫 FOSS 專案中,部分或整段容易產生安全漏洞的元件,藉此產生實質上更安全的結果(例如,貢獻者可用「內存安全(memory-safe)」的程式語言重新撰寫元件)。

3.    將安全的軟體開發的最佳實務視為優先工作。

4.    企業應該將軟體開發安全訓練作為徵才條件,或成為他們有薪 FOSS 開發者職業訓練的一環。

5.    透過認證及指導計畫,以及透過受敬重之 FOSS 貢獻者的影響力,來激勵各專案及其貢獻者開發並維持軟體開發安全最佳實務。

6.    鼓勵專案納入安全工具及自動化測試,將之作為 CI 管道的一部份。理想上,這應該是程式管理平台預設的一部份。

當越來越多貢獻者受薪去付出貢獻,利害關係人就必須平衡企業和專案的利益

過去幾年來,陸續有許多關於金錢在 FOSS 生態圈影響力與日俱增的辯論。這份調查顯示,將近一半 (48.7%) 的受訪者表明,雇主支付酬勞來請他們貢獻於 FOSS。雖然私部門在付費貢獻扮演越來越重要的角色,或許能夠提升 FOSS 的穩定性和永續性,但也有人擔心,一旦這種金錢支持突然不再,專案會受到什麼影響。

建議採取的行動:

1.    透過提升透明度和作出明確承諾,長年支持一般和特定 FOSS 專案,藉此消除企業參與 FOSS 可能引起的擔憂。

2.    鼓勵付費貢獻者分配時間指導新進貢獻志工。3.    將 FOSS 專案移轉至治理中立的基金會,確保組織和權責的多元。

增進企業支持員工貢獻 FOSS 這股正面趨勢

公司對員工參與 FOSS 抱持越來越開放的態度令人鼓舞,但還是有進步的空間。超過 45.45% 的受訪者表示他們不用經過雇主同意就能自由參與 FOSS 專案,十年前,這個比例是 35.84%。然而,有許多受訪者也表示公司的政策不明確 (17.48%),或是對政策不了解 (5.59%)。

建議採取的行動:

  1. 釐清關於員工可以如何貢獻 FOSS 專案的政策,確保員工了解政策,並鼓勵員工參與 FOSS 專案。
  2. 透過個人直接參與,或是與 OpenSSF 等組織合作的方式,促進對 FOSS 專案安全性改進的貢獻。

本文章授權條款採 創用 CC BY (姓名標示) 4.0

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.