En färsk enkätundersökning gjord bland utvecklare inom Open Source-rörelsen visar på två saker – ett allvarligt attitydproblem och att den här gruppen av utvecklare i princip struntar i säkerheten i och runt de saker de utvecklar. Resultatet av undersökningen lär knappast övertyga affärsvärlden och företag att använda Open Source-lösningar, snarare tvärtom.
Ända sedan jag började att springa runt i den här världen, databranschen, så har striden mellan mjukvara som utvecklas inne i företagen, som ägs av någon, och företrädare för Open Source-rörelsen pågått. De som slagits för Open Source, öppen källkod, har envist hållit fast vid att den utvecklingsmodellen leder till säkrare och bättre mjukvara därför att vem som helst kan granska och gå igenom koden. Det var varit ett av de bärande argumenten för Open Source.
Det argumentet har nu slagits omkull av en enkätundersökning i de egna leden med ett förödande resultat som visar att mindre än 3 procent av den sammanlagda utvecklingstiden läggs på att gå igenom och kvalitetssäkra den egna koden ur säkerhetssynpunkt. Undersökningen är gjord av Linux Stiftelsen och Laboratory for Innovation Science vid Harvard universitet (LISH) där nästan 1200 medlemmar av FOSS, free and open-source software, har svarat. Enkäten är gjord av företrädare för Open Source bland företrädare, utvecklare inom Open Source. Open Source-världen har undersökt sig själva och det är en undersökning som sannerligen inte är smickrande.
2.27 procent av utvecklingstiden läggs på säkerhet – igen, alltså inte ens 3 procent.
Slöseri med tid
Ännu mer nedslående blir resultatet av undersökningen om du läser igenom en del av de svar som lämnats som förklaring till varför utvecklarna lägger ned så lite tid på att granska och gå igenom sin egen kod.
”find the enterprise of security a soul-withering chore and a subject best left for the lawyers and process freaks”
Den här utvecklaren anser inte att han har något som helst ansvar för den kod han skriver utan han överlåter det till advokater och ”process freaks”. Jag törs också påstå att det med stor sannolikhet är en man för undersökningen visar tydligt att i den här världen dominerar män, 25 till 44 år gamla, anställda från Nordamerika och Europa. De utgjorde 91 procent av de svarande nämligen. Vi kan konstatera att förutom ett betydande attitydproblem inom Open Source-rörelsen så finns en annan högst påtaglig brist – kvinnor.
En utvecklare valde att prioritera bort säkerhet därför att det var tråkigt:
”I find security an insufferably boring procedural hindrance.”
Jag har plöjt igenom undersökningen och hittat en del andra svar som pekar i samma riktning – säkerhet är tråkigt och det är primärt inte utvecklarens ansvar.
Före detta anställd
Jag är övertygad om att den utvecklare som ventilerar de uppfattningarna, som anställd och som medlem av ett utvecklar-team i ett företag ganska snart skulle befinna sig i positionen som före detta anställd. Det är inte heller en attityd som jag mött under alla mina år i branschen och under alla mina kontakter med utvecklare i olika sammanhang. Det finns en attityd bland utvecklare där resten av mänskligheten, som inte kan skriva kod, betraktas som idioter men den finns bland designers, tekniker och andra i branschen också. Det är ofta (oftast) unga, tvärsäkra män som blandar samman sina talanger med en tro att de är bättre än andra. En attityd som dessbättre inte är särskilt vanlig och som går över med åren när valpigheten rinner av individen.
Den här enkäten och de här enkätsvaren visar på något annat – närmast ett förakt för säkerhet och det är förödande för hela rörelsen, för alla som tror på och som värnar Open Source. Hur ska du kunna övertyga någon om värdet och betydelsen av Open Source när mindre än tre procent av utvecklingstiden läggs på säkerhet?
