Sponsor proyek Log4js meroket setelah eksploitasi bug kritis – Keamanan – Perangkat Lunak
Technology

Sponsor proyek Log4js meroket setelah eksploitasi bug kritis – Keamanan – Perangkat Lunak

Pengelola proyek Java Log4js hanya memiliki tiga sponsor, meskipun perangkat lunak menjadi bagian penting dari produk komersial perusahaan besar dan aplikasi perusahaan.

Roger Goers, pembuat kode Log4js awal dan anggota Apache Software Foundation sekarang memiliki 58 sponsor individu pada saat penerbitan.

Log4js adalah pustaka logging populer untuk Java yang, karena penanganan pencarian direktori yang tidak aman, memungkinkan eksekusi kode arbitrer jarak jauh dalam konfigurasi defaultnya.

Pendanaan yang buruk adalah masalah berkelanjutan dengan perangkat lunak sumber terbuka gratis (FOSS), dengan pengembang diharapkan untuk berkomitmen pada pekerjaan bertahun-tahun yang tidak dibayar dengan kompleksitas yang terus meningkat, situasi yang mereka katakan tidak berkelanjutan.

Christine Dodrill, seorang pengembang WebAssembly yang mengerjakan program kode biner portabel yang dapat berjalan di halaman web, mengatakan situasinya sangat buruk sehingga dia sangat berhati-hati bagaimana dia mengkodekan perangkat lunak dan merilisnya ke dunia.

“Jangan tersinggung, tapi saya benar-benar tidak ingin usaha saya tidak dibayar,” tulis Dodrill.

“Budaya lintah open source yang ada menjadi kumpulan tenaga kerja gratis membuat sulit bagi saya untuk ingin agar proyek sampingan saya benar-benar berguna seperti itu kecuali Anda membayar saya.”

Lainnya seperti Java luminary Mark Derricott setuju, dan mengatakan organisasi harus mengubah pola pikir mereka, dan mempertimbangkan perangkat lunak open source yang didanai dan bukan gratis.

“Saya akan mengatakan … pendanaan untuk banyak sumber terbuka [projects] sangat rendah,” kata Derricut.

Pengembang dan kriptografer Google Go Filippo Valsorda menunjukkan bahwa pekerjaan pengelola proyek sumber terbuka itu rumit dan menuntut, dan tidak adil untuk menuntutnya dilakukan tanpa pembayaran.

Valsorda memperkirakan bahwa banyak pengembang proyek open source yang populer akan dibayar dengan kisaran US$350.000 dengan bekerja sebagai pengembang perangkat lunak senior.

Saat ini, banyak pengembang open source menerima dana melalui donasi, tetapi ini bukan solusi jangka panjang yang baik, kata Valsorda, meskipun keduanya tidak dipekerjakan sebagai pengelola penuh waktu di perusahaan besar, di mana pengembang mungkin menghabiskan lebih banyak uang dan lebih banyak waktu untuk membuktikan pekerjaan yang mereka lakukan adalah penting daripada hanya melakukannya.

Sebaliknya, Valsorda menyarankan pengelola harus menjadi profesional, mengirimkan perusahaan besar tagihan besar yang sesuai untuk pekerjaan mereka karena ini adalah model yang dipahami perusahaan, tidak seperti pendanaan berbasis donasi.

Banyak pengembang tidak dapat melanjutkan pekerjaan mereka memelihara dan memperbarui perangkat lunak yang telah mereka tulis, yang dapat menyebabkan masalah keamanan yang mungkin tidak dapat diperbaiki secara tepat waktu.

Pada tahun 2018, pengembang modul Javascript menyerah pada paket npm karena tidak menyenangkan untuk dikerjakan secara gratis, dan menyerahkannya kepada orang yang tidak dikenal.

Orang tak dikenal yang mengambil alih sebagai pengelola proyek menambahkan kode berbahaya ke paket npm yang mencuri dompet Bitcoin pengguna.

Pada saat itu, Dominic Tarr, yang awalnya mengembangkan paket npm, mengatakan iTnews model open source rusak dan pengelola harus dibayar untuk pekerjaan mereka.

“Ketika jutaan orang bergantung pada sesuatu yang penulis aslinya memiliki motivasi yang sangat kecil untuk dipertahankan, itu gila,” kata Tarr.

Posted By : pengeluaran hk hari ini 2021