Embora exista pouco debate de que as forças digitais estão desempenhando um papel cada vez mais crucial na economia, há uma compreensão limitada da importância da infraestrutura digital subjacente a esse papel.Grande parte da discussão em torno da infraestrutura digital se concentrou na disponibilidade de banda larga (o que é certamente importante), mas o papel do software de código aberto e livre (FOSS ou OSS) foi subestimado.Foss - Software cujo código -fonte é público, é frequentemente criado por voluntários descentralizados e pode ser usado livremente e modificado por qualquer pessoa - vem a desempenhar um papel vital na economia moderna.É assado em tecnologia que usamos todos os dias (carros, telefones, sites, etc..), bem como em vários aspectos da infraestrutura crítica, incluindo nossos sistemas de finanças e energia.
Frank Nagle
Professor Assistente de Administração de Empresas - Harvard Business School
Twitterfrank_nagleComo a infraestrutura física, essa infraestrutura digital requer investimento regular para permitir ainda mais a inovação, o comércio e uma economia florescente.No entanto, também como a infraestrutura física, há uma falha de mercado no setor privado que leva a um subinvestimento em infraestrutura digital.Portanto, há uma clara necessidade de investimento e regulamentação do governo para garantir a saúde futura, a segurança e o crescimento do ecossistema de fósforos que se tornaram indispensáveis para a economia moderna.
Neste artigo, exponho propostas de políticas com base em minha pesquisa acadêmica e na de outras pessoas, bem como em políticas que existem em outros países que estão à frente dos Estados Unidos em investir nesse ativo crítico.Discuto primeiro o desafio geral Foss Faces e os limites da política existente no U.S.(que são focados principalmente no uso do governo do Foss, não em investir diretamente no ecossistema de fossos).Por fim, apresento 11 propostas de políticas separadas em quatro domínios de foco: criando um escritório de programa de código aberto;medir e entender o ecossistema de fossa;melhorar o impacto econômico positivo do FOSS;e proteger o ecossistema de fossa.Embora não haja bala de prata para garantir a futura saúde e crescimento do FOSS, essas propostas ajudarão bastante a garantir que o Foss possa continuar a desempenhar seu papel essencial para permitir que o U Modern U.S.economia para crescer e florescer.
O desafio
No nível mais alto, o desafio relacionado ao FOSS é que, apesar de seu valor para a economia moderna, sua natureza descentralizada e livre leva a uma subestimação desse valor e a um subinvestimento em seu crescimento e segurança.
Fonte: xkcd, https: // xkcd.com/2347/, licenciado sob o Creative Commons Attribution-NonCommercial 2.5 licença
No lado do valor, embora tenha sido estimado que até 98% das bases de código incluem foss, pode ser difícil medir seu valor.Medidas tradicionais do valor de um produto, como multiplicar o número de vezes que um produto é usado vezes o preço do produto e subtraindo os custos de entrada, não funciona.O preço é zero, o trabalho é voluntário e a medição do volume de uso é extremamente difícil devido à natureza distribuída do Foss e ao fato de poder ser copiado e reutilizado livremente.Apesar desses desafios, houve alguns esforços recentes para valorizar Foss por mim e por outros.Por exemplo, nossos esforços iniciais para medir o valor de apenas uma peça de fossa - o servidor web Apache amplamente utilizado - fundou isso em 2013, ele adicionou até US $ 12 bilhões ao U.S.economia, apesar de não aparecer diretamente em nenhuma estatística do PIB.Mais recentemente, um relatório patrocinado pela Comissão Europeia constatou que, em 2018, as empresas da UE investiram aproximadamente 1 bilhão de euros na criação de Foss, o que resultou em um benefício de até 95 bilhões de euros para usuários da FOSS na UE.Estimativas semelhantes para o U.S.O investimento em Foss foi de US $ 33 bilhões em 2019.No entanto, apesar dessas tentativas, apenas arranhamos a superfície de entender verdadeiramente o valor que Foss fornece à economia e à vida moderna.Isso é ainda mais o caso ao considerar o valor criado no contexto da autonomia digital, à medida que um aumento da dependência do FOSS pode limitar a ocorrência de pontos únicos de falha em que uma empresa ou país é visto para uma empresa específica que fornece software proprietário oupossui uma patente (especialmente no contexto dos padrões de comunicação, como 5G).
Conteúdo Relacionado
The nuanced relationship between cutting-edge technologies and jobs: Evidence from Germany
Sabrina GenzDismantling the ivory tower’s knowledge boundaries
Jacqueline N. Lane and Hila Lifshitz-AssafNet-zero innovation hubs: 3 priorities to drive America’s clean energy future
Johannes Urpelainen and Chetan HebbaleNo lado do investimento, o desafio é duplo.Primeiro, apesar das evidências crescentes de uma alta taxa de retorno ao investimento público e privado em FOSS que podem melhorar a competitividade e a inovação, o U.S.ainda não fez um esforço conjunto para investir diretamente nele - apenas apoiando seu uso em agências federais.O u.S.Os investimentos no sistema de posicionamento global (GPS) é um exemplo do sucesso que esses investimentos podem ter - U.S.Investimentos no GPS, que são disponibilizados gratuitamente aos usuários, permitiram US $ 1.4 trilhões de ganhos econômicos para você.S.Empresas (nas quais o governo recebe receita tributária).Da mesma forma, nosso trabalho no Apache mostrou que os investimentos do governo em fossa podem levar a uma taxa de retorno de pelo menos 17%, mais do que o dobro do U.S.A linha de base comumente usada do governo de 7% representando uma boa oportunidade de investimento.Análises mais amplas no Relatório da Comissão Europeia revelaram uma proporção de custo-benefício de aproximadamente 1: 4 para investimentos da Foss por empresas privadas, e meu próprio trabalho sobre apoio do governo à Foss na França mostrou uma variedade de resultados positivos, incluindo até 18%Aumento da fundação de startups francesas relacionadas à TI e até um aumento de 14% no número de trabalhadores franceses empregados em empregos relacionados à TI.Mesmo para as empresas, minha pesquisa mostrou que não apenas o uso do FOSS leva a ganhos de produtividade, mas o investimento em Foss pode pagar dividendos, pois as empresas que contribuem para o FOSS obtêm até 100% mais valor produtivo ao usar o Foss do que seus pares de ridomograma livre.
Segundo, um subinvestimento no FOSS pode resultar em preocupações de segurança que têm consequências em toda a economia.A evidência mais recente disso foi a descoberta de 2021 da vulnerabilidade Log4Shell no pacote de log4j do Foss Log4J.Implantado em uma vasta gama de aplicativos digitais, a vulnerabilidade foi originalmente introduzida no código em 2013 e exposta dezenas de milhões de dispositivos a uma vulnerabilidade de segurança devastadora e ilustrou a necessidade urgente de melhorar a segurança no software de código aberto.Jen Easterly, diretor da Agência de Segurança de Cibersegurança e Infraestrutura do Departamento de Segurança Interna (DHS) (DHS), chamou Log4shell "A vulnerabilidade mais séria que já vi em minha carreira de décadas" e bem antes da maioria das organizações poderiam corrigirA vulnerabilidade, houve mais de 800.000 ataques usando-o em um período de 72 horas, incluindo alguns por atores patrocinados pelo governo chinês e iraniano.A política do governo pode ajudar a identificar e abordar essas vulnerabilidades de maneira mais pontual.
Limites das políticas existentes
O maior limite para você existente.S.Políticas relacionadas ao Foss é que elas estão quase focadas no uso, criação e compra de tecnologia pelo governo federal para seus próprios sistemas.Nenhuma políticas é direcionada para medir, investir ou proteger o ecossistema de fossa como um todo ou de maneira direta.Embora minha pesquisa anterior tenha mostrado que as políticas governamentais que favorecem o uso da Foss na aquisição de tecnologia podem ter importantes repercussões positivas para um país (assim como a economia de custos), isso é mais um impacto de segunda ordem do que o impacto de primeira ordem diretoo investimento pode ter.Existem inúmeros exemplos de tais políticas de compras.Já em 2004, agências do U.S.O governo federal começou a esclarecer suas posições em relação a Foss.No entanto, não foi até o Escritório de Memorando de Gerenciamento e Orçamento M-16-21 em 2016 que uma postura pró-foss mais clara foi tomada.O M-16-21 exigiu que todas as agências federais fossem a) tornar todo o novo código personalizado para qualquer agência federal disponível para reutilização em todas as agências federais e b) liberar pelo menos 20 % do novo código personalizado como Foss para qualquer um usar.Esses esforços foram coordenados através do código.Site do Gov, originalmente desenvolvido sob o escritório do Diretor Federal de Informações e agora administrado pelo U.S.Administração de Serviços Gerais (embora recentemente dividida e essencialmente estática).Até hoje, o M-16-21 é a principal orientação sobre como as agências federais devem se aproximar de Foss e é a principal autoridade citada em inúmeras agências relacionadas à sua posição de fossa (e.g., Departamento de Comércio e Departamento de Defesa).Esses esforços foram expandidos com a Ordem Executiva da Casa Branca 14028 de maio de 2021, que incluiu uma seção que exigia que todas as compras de software do governo federal incluíssem uma lista de materiais (SBOM) de software (SBOM) que afirmava claramente o que outros softwares (incluindo FOSS) foram incorporados ao compradoProgramas.
Além do M-16-21, um punhado de outros esforços governamentais foi proposto, mas não aprovado.Por exemplo, a versão da Câmara da Lei de Autorização de Defesa Nacional de 2022 incluiu financiamento para um centro de segurança do Foss no DHS, mas o financiamento não chegou à conta final.No nível estadual, Nova York introduziu um projeto de lei para dar um crédito tributário por despesas relacionadas ao desenvolvimento da Foss em todas as sessões legislativas desde 2009, mas o projeto nunca saiu do comitê.Até o tão elogiado pacote de infraestrutura bipartidária aprovada no final de 2021 concentrou seus investimentos em infraestrutura digital quase exclusivamente na disponibilidade de banda larga e não abordou investimentos no FOSS.
Mais recentemente, em janeiro de 2022, em resposta à vulnerabilidade Log4Shell mencionada, o Conselho de Segurança Nacional da Casa Branca (NSC) realizou uma reunião com empresas como Google e Microsoft;Organizações de código aberto, incluindo o Linux Foundation, a Apache Software Foundation e a Open Source Security Foundation (OpenSSF);e numerosas agências e departamentos federais.A reunião se concentrou em prevenir, encontrar e diminuir o tempo de resposta às vulnerabilidades de fossas e discutiu várias parcerias potenciais-privadas do público.Embora não houvesse promessas concretas da reunião, a intenção era iniciar uma discussão, identificar possíveis caminhos e se comprometer com futuras reuniões que produziriam compromissos específicos pelas várias partes interessadas.Em maio de 2022, foi realizada a primeira reunião de acompanhamento e identificou 10 áreas de foco para melhorar a segurança da OSS e forneceram planos de ação específicos e um pedido de US $ 150 milhões em financiamento ao longo de dois anos.A intenção era que esse financiamento viesse de empresas privadas, não do governo, e algumas grandes empresas de tecnologia já comprometeram US $ 30 milhões para ajudar no esforço.
Recomendações de políticas para apoiar o FOSS como infraestrutura digital crítica
Dada a falta de políticas federais que apoiem diretamente o ecossistema de fossos, exponho 11 propostas de políticas que podem ajudar a apoiar o ecossistema de fósforos de maneiras críticas (visão geral na Tabela 1).Essas políticas são agrupadas em quatro domínios.O primeiro domínio é criar um novo escritório para supervisionar todas as atividades relacionadas a Foss dentro do governo federal.O segundo domínio concentra -se em medir e entender o ecossistema de fósforos, o que é necessário, dada a natureza distribuída do Foss, e a falta de uma compreensão clara de quão difundido é na economia moderna.O terceiro domínio considera as avenidas para investir em Foss para ajudar a melhorar a competitividade econômica do U.S.O quarto domínio concentra -se nos métodos para proteger o Foss existente e o futuro para reduzir a probabilidade de alguns dos problemas mencionados acima.Algumas das recomendações políticas se baseiam no relatório da Comissão Europeia mencionado acima, para o qual eu era um consultor externo, mas considere como (e onde) eles poderiam ser aplicados no U.S.Além disso, embora todas essas recomendações estejam focadas no Foss, elas podem ser consideradas também para incluir hardware de código aberto e de código aberto, o que é um espaço menor que o FOSS, mas está crescendo rapidamente e é cada vez mais importante para a economia.
Tabela 1: Recomendações para fortalecer a infraestrutura digital
1.Crie um escritório federal de programa de código aberto
Um escritório de programa de código aberto (OSPO) é uma entidade que busca centralizar os esforços de fossa de uma organização - uso de, contribuição para, políticas para, etc..Embora algumas agências e departamentos federais tenham configurado seus próprios ospos, não existe um órgão federal central projetado para gerenciar a abordagem geral do governo para Foss.Código.Gov é a entidade existente mais próxima disso;No entanto, seu mandato é muito mais estreito que o de um verdadeiro ospo. In addition to coordinating the use of FOSS by government entities (asCódigo.GOV Atualmente), o OSPO também coordenaria políticas federais relacionadas ao Foss, como as estabelecidas nas recomendações deste documento.A falta de tal escritório é provavelmente o motivo pelo qual os esforços do governo federal relacionados a Foss foram altamente desarticulados até este ponto.O OSPO poderia estar localizado dentro do Escritório de Política de Ciência e Tecnologia da Casa Branca (OSTP), dentro do Escritório do U.S.Diretor de Tecnologia (CTO).O OSTP tem a tarefa de liderar os esforços do governo para implementar políticas de tecnologia e, portanto, está em uma boa posição para se apropriar desse esforço.Este escritório pode coordenar com ospos existentes em agências federais e poderia ajudar a levantar ospos em agências que ainda não as têm.Nesta capacidade, poderia supervisionar a implementação do restante das recomendações aqui, em conjunto com os vários órgãos governamentais adicionais identificados abaixo. Further, it could take over theCódigo.Esforços do governo que foram recentemente divididos.Finalmente, o OSPO poderia gerenciar a colaboração internacional e a coordenação com outros países para amplificar os interesses mútuos e compartilhar os benefícios.
2.Medindo e compreensão do ecossistema de fossa
Para medir e entender adequadamente o ecossistema de fossa no U.S., mais dados são necessários em três áreas específicas: criação, uso e políticas.Existem paralelos nas complexidades de agregar esses dados ao desenho de você.S.Mapas de banda larga que foram vistos como essenciais para influenciar e informar o lançamento das conexões da Internet de banda larga no U.S., outro aspecto da infraestrutura digital.Os dados são confusos e residem com inúmeras entidades separadas, mas uma vez agregadas de maneira clara e completa, podem fornecer informações profundas sobre a melhor forma de enfrentar os desafios discutidos acima.
a) Meça a criação de fossa
Embora a medição da criação do FOSS seja muito mais fácil do que medir seu uso (abordado abaixo), ainda é uma tarefa complicada.Foss geralmente reside em repositórios e fundições como Github, Gitlab e Bitbucket.No entanto, às vezes é mantido em páginas de projeto individuais, o que pode dificultar a medição de toda a extensão do foss.Além disso, muitos perfis de contribuintes sobre esses repositórios não têm nenhuma informação além de um nome de usuário.Assim, obter insights sobre as pessoas que contribuem para Foss não é trivial, tornando difícil uma melhor compreensão dos baixos níveis de diversidade na contribuição da fossa.Além disso, nem sempre é possível saber se um colaborador de Foss está fazendo isso a pedido de seu empregador como parte de seu emprego remunerado, uma ocorrência cada vez mais comum.Assim, medir a criação de fossa (e criadores) exigirá uma abordagem multiplicada.Primeiro, Ostp e o U.S.OCTO deve tentar agregar dados das fontes díspares de Foss e atualizá -los regularmente para rastrear quais projetos existem, qual é a função deles, quem são seus colaboradores e quão ativos eles são em manter projetos e corrigir problemas conhecidos.Segundo, para medir melhor o envolvimento corporativo na criação de fossos, as perguntas devem ser adicionadas ao U.S.Pesquisa de práticas organizacionais e de práticas organizacionais do Census Bureau (MOPS).Esta pesquisa é realizada a cada cinco anos como um adendo à pesquisa anual de fabricantes e visa “entender melhor as práticas atuais e em evolução do gerenciamento e organização e ajudar a identificar determinantes do estabelecimento e crescimento da produtividade.”Perguntas anteriores sobre o uso da tecnologia foram adicionadas aos MOPs e revelaram informações importantes sobre como as empresas usam a tecnologia (e.g., análise preditiva e inteligência artificial) para melhorar sua produtividade.
b) Meça o uso do Foss
Por uma variedade de razões mencionadas acima, medir com precisão o uso de fossa é extremamente difícil.No entanto, vários esforços, incluindo os nossos, procuraram iluminar esse desafio multifacetado.Embora esses esforços tenham atingido o problema, é mais provável que um esforço patrocinado pelo governo federal leve a um entendimento mais amplo do uso de fossos no U.S.Novamente, uma abordagem multiplicada é ideal.Primeiro, usando dados agregados de principais partes interessadas, incluindo provedores de nuvem, empresas de análise de composição de software, gerentes de pacotes de fossos e repositórios e fundições de fossos que têm informações sobre o uso do Foss, OSTP e U.S.OCTO pode criar estatísticas sobre quais pacotes de fosss são mais amplamente utilizados.Seria fundamental realizar essa análise em todos os níveis da pilha de software, incluindo sistemas operacionais, bibliotecas de aplicativos, contêineres em nuvem e aplicativos de usuário final.Segundo, o Census Bureau pode adicionar perguntas adicionais aos MOPs para avaliar o uso de código aberto por empresas - ambos os que fabricam software e aqueles que apenas o usam.
c) Catalogar as políticas corporativas e do governo existentes em direção a Foss
Compreender as políticas governamentais e corporativas em relação ao FOSS permite uma melhor orientação sobre como os detalhes das propostas de políticas abaixo devem ser criados para obter uma eficácia ideal.Muitos outros países estão à frente do U.S.em políticas relacionadas a fós.S.As políticas de foss devem ser criadas.Existem algumas pesquisas de políticas governamentais, mas não foram atualizadas desde 2010.Tal esforço poderia ser realizado via Ostp e U.S.CTO.Além disso, nosso trabalho mostrou que as empresas têm uma ampla gama de políticas em relação a Foss, muitas das quais seus funcionários não entendem completamente.Perguntas adicionais podem ser adicionadas aos MOPs do censo para entender a gama de políticas que as empresas precisam permitir melhor a pesquisa para fornecer orientação para políticas de negócios ideais.Isso pode incluir políticas sobre o uso e a contribuição de Foss, bem como se a empresa tem ou não um OSPO para gerenciar esses esforços.
3.Aumentando o impacto econômico positivo da foss
O FOSS não apenas cria valor econômico diretamente (como discutido acima), mas também permite que empresas de todos os tipos cresçam mais rapidamente do que se não existisse.Este é particularmente o caso no contexto de pequenas e médias empresas (PMEs) que são restritas ao crédito e não seriam capazes de construir as ferramentas que o Foss fornece do zero. Thus, at a national level, investments in FOSS can enhance national competitiveness and enable greater levels of R&D and innovation in all sectors.Portanto, cabe ao u.S.Para apoiar o ecossistema de fossa diretamente para aumentar seu impacto econômico positivo. This can be achieved through a variety of policy measures including increasing R&D funding for FOSS, lowering the costs of FOSS participation for SMEs, increasing training opportunities, creating tax credits for individual and corporate FOSS contributors, and clarifying FOSS-adjacent regulations.
a) Increase R&D funding for FOSS
Currently, there is no federal funding for R&D related to FOSS despite growing evidence that this can lead to a great number of outcomes whose benefits outweigh the cost of investment. Therefore, the federal government should build upon existing programs from the private sector to enhance FOSS related R&D.Isso pode vir na forma de subsídios para pesquisadores que estudam as próprias comunidades de fossa e fossa. The most logical places to host these grants are through the National Science Foundation, or through the Department of Commerce’s National Institute of Standards and Technology (NIST), both of which manage grants related to technology R&D.Além disso, uma vez que uma quantidade enorme de fossa é criada pelas PMEs, subsídios específicos direcionados a elas também podem ser oferecidos através da Small Business Association (SBA), que já oferece subsídios e empréstimos para PMEs que trabalham em particular espaços.
b) Aumentar oportunidades de treinamento para foss
O governo federal deve apoiar o aumento de oportunidades de treinamento por meio de ambientes acadêmicos tradicionais e configurações de aprendizado contínuo.Isso incluiria programas de concessão através do Departamento de Educação (DOE) para adicionar habilidades de fossa aos currículos existentes de ciência da computação em todos os níveis educacionais, além de permitir que subsídios individuais patrocinam a busca de programas de educação continuada direcionados a empregadores em indústrias relevantes.Outras subvenções direcionadas já são gerenciadas por doe e subsídios relacionados a fossos podem ser adicionados ao sistema existente.Além.Esse treinamento pode ser oferecido através de esforços existentes direcionados às PMEs, como a plataforma de aprendizado da SBA.
c) Crie créditos tributários para colaboradores individuais e corporativos
A política tributária tem sido usada há muito tempo para incentivar empresas e indivíduos a aumentar um comportamento específico que tem benefícios sociais.Portanto, esta é uma ferramenta lógica a ser usada para aumentar a criação de fossa no U.S.Para os indivíduos, a proposta de Nova York mencionada acima para conceder um crédito tributário para despesas de desenvolvimento da FOSS pode ser facilmente aplicado a um ambiente nacional.No entanto, um crédito fiscal federal de fossa poderia ir além de apenas creditar as despesas diretas relacionadas ao Foss (e.g., compra de recursos de computação em nuvem) para incluir também não compensado (e.g., por um empregador), o tempo gasto em contribuir para Foss.Embora as doações de tempo voluntário geralmente não sejam permitidas como uma baixa, o fato de que o resultado desse tempo é software, que pode ser descartado como uma doação, deve permitir uma pequena adição ao código de impostos que não abririaa porta para todo o tempo de voluntariado sendo permitido como uma baixa.
For companies, a simple addition and clarification to the existing R&D tax credit would allow companies to reduce their tax burden by contributing to FOSS.Atualmente, as empresas podem aplicar investimentos no desenvolvimento interno de software em relação ao crédito. However, there is a lack of clarity around whether or not investments in creating FOSS are eligible for the R&D tax credit. Therefore, clarity on the topic that allows for such investments to be eligible for the R&D tax credit would encourage companies to invest more in FOSS.Os incentivos fiscais seriam particularmente úteis para diminuir os custos de participação para as PMEs.
d) esclarecer os regulamentos de Adjacent
Existem numerosos regulamentos existentes no U.S.Isso pode ser visto como foss-adjacent, pois eles podem se aplicar ao FOSS, mas exatamente como eles se aplicam ao FOSS não está claro.Por exemplo, há uma grande variedade de licenças de fossa, e cada uma delas trata aspectos do uso de fossos de maneira diferente (e.g., se o pacote FOSS pode ser usado em software que é vendido aos clientes).Em particular, as preocupações de responsabilidade associadas a diferentes licenças geralmente são mal compreendidas.Na ausência de direito do julgamento para esclarecer essas questões, as idéias dos órgãos regulatórios e do Departamento de Justiça (DOJ) podem ser úteis.Além disso, Foss está sendo cada vez mais construído para os padrões de tecnologia.Eles são frequentemente empacotados com outras tecnologias patenteadas, criando um padrão valioso que está sujeito a taxas de licenciamento a pagar aos detentores de patentes.No entanto, apesar de Foss criar valor para o padrão, esse valor está sendo capturado por detentores de patentes.Assim, os regulamentos relacionados à interação entre Foss e patentes em padrões requerem esclarecimentos por partes interessadas como o NIST.Finalmente, à medida que as empresas contribuem cada vez mais para as preocupações de Foss, antitruste e conluio podem surgir.Por exemplo, se dois concorrentes estão contribuindo para o mesmo projeto FOSS, existem preocupações anticoncorrenciais às quais as duas empresas estão expostas?A resposta em algumas situações pode ser sim, mas os regulamentos atuais exigem esclarecimentos de agências regulatórias como a Federal Trade Commission e a Divisão Antitruste do DOJ.Na minha ampla agenda de pesquisa, argumento que, em muitos contextos, pode ser ideal - para empresas e consumidores - para permitir que os concorrentes "colaborem no núcleo e competam nas bordas", mas há uma falta de consenso sobre onde a linhaentre essa colaboração e o comportamento anticompetitivo está.
4.Protegendo o ecossistema Foss
O quarto, mas igualmente importante, domínio das recomendações de políticas de fossa, está focado em garantir o Foss existente e o futuro, para garantir que ele possa continuar desempenhando um papel cada vez mais crítico na economia.Como mencionado acima, como Foss é mais profundamente integrado à vida cotidiana, questões de segurança como a vulnerabilidade Log4Shell podem representar um risco maior para o bom funcionamento contínuo da economia construída em cima de Foss.No entanto, diferentemente das empresas bem estruturadas (e bem financiadas) que desenvolvem software proprietário, a segurança no FOSS é uma reflexão tardia ou não pensada.De fato, nossa pesquisa mostrou que a maioria dos colaboradores do FOSS deseja se concentrar em adicionar novos recursos, em vez de realizar auditorias de segurança ou abordar vulnerabilidades.Portanto, além de e com base nas recomendações políticas acima, são três recomendações diretamente relacionadas à segurança.É importante ressaltar que os esforços de segurança seriam uma área particularmente madura para a colaboração internacional, uma vez que a segurança aprimorada é benéfica para todos.
a) Sboms para o setor privado
Atualmente, os SBOMs (listas de materiais de software, mencionadas acima) são necessárias apenas para o software adquirido pelo governo federal.No entanto, pode haver muito benefício por também exigir essas listas de ingredientes digitais para compras do setor privado de software também.Um dos problemas com vulnerabilidades como o Log4shell é que muitas empresas (e indivíduos) não tinham certeza se eram vulneráveis ao problema porque não sabiam se o componente vulnerável LOG4J foi incluído em software e Internet das coisas que eles compraram.Por exemplo, embora tenha sido amplamente entendido que o software de produção usado em empresas como Apple, Google, Amazon, Twitter e Tesla incluía versões vulneráveis do LOG4J, seus clientes estavam no escuro devido à falta de um SBOM preciso.Com uma visão mais clara do software assado no software que eles compraram, clientes e consumidores poderiam saber imediatamente se estavam vulneráveis a esses problemas de segurança.É importante ressaltar que esse insight seria particularmente valioso no contexto do "direito ao reparo", que foi promovido como parte da ordem executiva do ano passado, de concorrência, de modo que as empresas seriam capazes de atualizar para uma versão corrigida de um componente de software vulnerável.
Embora esse seja um mandato de longo alcance para empresas privadas, a precedência para essa regulamentação pode ser encontrada nos esforços da Food and Drug Administration, exigindo uma lista de ingredientes na maioria dos rótulos de alimentos.Embora o software possa não ser tão fundamental para a vida cotidiana quanto a comida, seu papel cada vez mais importante garante o aumento da transparência que os SBOMs forneceriam.Esse regulamento pode ser gerenciado por meio de escritórios existentes na Administração Nacional de Telecomunicações e Informações do Departamento de Comércio ou da Comissão Federal de Comunicações.
b) Financia o suporte à segurança para projetos críticos de fossa
Dada a natureza do Foss como um bem público (como estradas e pontes), isso só faz sentido para o u.S.O governo de investir em sua segurança para garantir que a infraestrutura digital da economia moderna seja estável, permitindo que empresas e indivíduos continuem construindo sobre ela como fizeram há décadas.Em particular, os investimentos em auditorias de segurança (e fornecendo recursos para corrigir questões identificadas em tais auditorias), recursos educacionais e de orientação para projetos de fossas menores e medição e publicação padronizadas de práticas de segurança provavelmente produziriam altos retornos do investimento.Os resultados das políticas acima relacionadas à medição e à compreensão do ecossistema de fossas podem ser usadas para priorizar e direcionar esses investimentos para aumentar seu impacto imediato. Further, efforts related toCódigo.O Gov pode levar a uma melhor compreensão da fossa crítica em que o governo federal depende e também pode ser usado para priorizar os investimentos.É importante ressaltar que esses esforços não estariam começando do zero, pois o OpenSSF e outros lançaram o terreno para essas ações por meio de seus programas de auditoria, educação e emblema.
c) Parcerias públicas-privadas para segurança de fosss
Como mencionado acima, em resposta à vulnerabilidade do Log4Shell, o NSC da Casa Branca patrocinou uma reunião de várias partes, incluindo representantes do governo, do setor privado e organizações sem fins lucrativos de fins lucrativos.Embora seja muito cedo para dizer o que virá desse esforço, foi um primeiro passo crítico para adicionar uma camada de coordenação a um problema notoriamente descentralizado.Embora tenha havido parcerias público-privadas relacionadas à segurança cibernética antes (principalmente o Federal Bureau of Investigation InfraGard e o DHS CISA Critical Infraestruture Partnerships), eles tendem a se concentrar no compartilhamento de informações.Os esforços que se baseiam na reunião do NSC precisam incluir um foco na ação coletiva e no investimento na obtenção de Foss pelas principais partes interessadas nos setores.
Conclusão
Embora essas propostas não sejam uma panacéia para os desafios enfrentados pelo ecossistema Foss, são etapas críticas para garantir a saúde e o crescimento de um bloco de construção indispensável da economia moderna.Por mais que as estradas e pontes só sejam úteis se houver algum lugar que valha a pena viajar, as discussões futuras sobre a infraestrutura digital devem ir além de apenas considerar a disponibilidade de banda larga e devem incluir um foco no Foss subjacente à economia digital em que confiamos todos os dias.Ao medir e entender o ecossistema de fossa, melhorando seu impacto econômico positivo e protegendo -o com as recomendações políticas acima, podemos ajudar a pavimentar o caminho para um u.S.economia mais inovadora, mais competitiva e mais resiliente do que nunca.
A pesquisa do autor é parcialmente financiada pela Linux Foundation.O autor não recebeu apoio financeiro de nenhuma empresa ou pessoa para este artigo ou, além do mencionado acima, de qualquer empresa ou pessoa com interesse financeiro ou político neste artigo.Atualmente, eles não são um oficial, diretor ou membro do conselho de qualquer organização com interesse neste artigo.
