Вице-президент по безопасности в компании Anchore Джош Брессерс проанализировал данные проекта ecosyste.ms и пришёл к выводу, что большинство опенсорсных проектов поддерживается одиночными разработчиками.
ecosyste.ms каталогизирует проекты с открытым исходным кодом. Сейчас в базе данных сайта насчитывается 11,8 млн проектов. Около 7 млн из них разработчики поддерживают в одиночку. Существуют проекты и с сотнями сопровождающих, но их число гораздо ниже.
Брессерс воспользовался данными, чтобы проанализировать число сопровождающих проекты экосистемы NPM. Выяснилось, что множество проектов созданы одним человеком. Если говорить о пакетах с более чем 1 млн загрузок в этом месяце, то у половины из них всего один сопровождающий. Таким образом, примерно половину из 13 тысяч самых скачиваемых пакетов NPM курируют разработчики-одиночки.
Всего в экосистеме NPM с 4 млн проектов насчитали около 900 тысяч сопровождающих.
Брессерс напомнил инцидент, когда выяснилось, что в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе». Это эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.
Брессерс сослался на данные Гарварда, который оценил экономическую стоимость open source в $8,8 трлн. «Большая часть этой стоимости — это один человек. И я могу гарантировать, что ни один из этих проектов, поддерживаемых одним человеком, не будет иметь необходимого количества ресурсов. Если вы хотите поговорить о возможных рисках для вашей цепочки поставок, то один-единственный специалист по обслуживанию, которому сильно недоплачивают и который перегружен работой, — вот в чём риск»,— заключил автор анализа.
В 2024 году компания Tidelift, которая занимается поддержкой и сопровождением опенсорсного ПО, опубликовала отчёт, в котором говорится, что 60% мейнтейнеров не получают оплаты за свой труд и готовы покинуть проекты.
В том же году компании запустили инициативу Open Source Pledge. Она призвана обеспечить стабильное финансирование значимых опенсорсных проектов за счёт обязательного участия компаний, которые активно их используют.
ссылка на оригинал статьи https://habr.com/ru/articles/941928/
Добавить комментарий