AWS Heroes Panel met en lumière la communauté open source, la sécurité et le financement

Il y a eu une explosion évolutive de la taille, de la forme et du nombre de projets open source au cours de la dernière décennie. En 2010, le site d’hébergement de code source GitHub comptait 1 million de référentiels. En 2018, il était passé à 100 millions. Aujourd’hui, la recherche de code du site affiche 278 millions de référentiels, et au moment où vous lirez cet article, ce nombre pourrait dépasser les 300 millions.

Le nombre de développeurs contribuant au code de projets open source et y accédant a également augmenté. GitHub compte à lui seul plus de 80 millions d’utilisateurs, et la communauté au sens large est probablement beaucoup plus grande que cela. Des projets majeurs, tels qu’OpenStack, reçoivent des milliards de dollars de soutien d’entreprises telles que Red Hat Inc., IBM et Hewlett Packard Enterprise Inc. Mais des milliers de petits projets ne sont pas financés et entretenus de manière irrégulière, et des vulnérabilités critiques restent non détectées.

« Les projets qui sont utilisés partout, par tout, avec un impact démesuré significatif sur l’industrie ne sont pas financés, [because they] ne sont pas assez flashy, ne sont pas assez excitants », a déclaré Erica Windisch (photo en bas, à gauche), architecte pour l’expérience des développeurs chez Twilio Inc. « Mais une vulnérabilité en elle fait tomber tout et tout le monde et a peut-être des milliards de dollars d’impact à notre industrie.

Windisch s’est entretenu avec John Furrier, hôte de theCUBE, le studio de diffusion en direct de SiliconANGLE Media, pour un panel AWS Heroes lors de l’événement AWS Startup Showcase: Open Cloud Innovations. Windisch a été rejoint par Liz Rice (photo en haut, à gauche), directrice de l’open source d’Isovalent Inc. ; Brian LeRoux (photo en haut, à droite), co-fondateur et directeur de la technologie de Beginner Corp. ; et Casey Lee (photo, en bas, à droite), directeur de la technologie chez Gaggle.Net Inc. Ils ont discuté de la réalisation de véritables résultats commerciaux avec l’open source. (* Divulgation ci-dessous)

AWS Heroes partage ses connaissances et ses réussites

Rice, LeRoux, Windisch et Lee sont tous des héros AWS, un titre donné aux leaders qui partagent les connaissances AWS et facilitent l’apprentissage entre pairs au sein de leurs communautés.

« Je suis dans ce jeu depuis un moment et j’ai tendance à mettre mes doigts dans beaucoup de petites tartes », a déclaré Windish.

Ces « petites tartes » incluent OpenStack, Docker et OpenTelemetry. Son objectif chez Twilio est le développeur en tant qu’utilisateur, et elle est un défenseur des kits de développement logiciel d’AWS.

Chez Gaggle, les SDK sont utilisés par les développeurs, offrant « une belle rampe d’accès aux développeurs pour utiliser les outils et les langages auxquels ils sont habitués, puis aller plus loin selon leurs besoins », a déclaré Lee.

Lee est le créateur de l’outil GitHub Act, et comme les autres membres du panel, il est très actif dans la communauté open source.

Rice préside le comité de surveillance technique de la Cloud Native Computing Foundation et, en tant qu’ambassadrice d’OpenUK, elle milite pour l’utilisation de la technologie ouverte.

« Cela signifie que je peux voir beaucoup de ce qui se passe dans un très large éventail de projets natifs du cloud », a-t-elle déclaré. Elle est actuellement « très excitée » par le potentiel de la technologie eBPF.

Quant à LeRoux, l’architecte du projet open source, qui repose sur le modèle d’application sans serveur d’AWS, occupe la majeure partie de son temps ces jours-ci. Mais il prend tout de même le temps de « garder un œil poilu » sur ce qui se passe à la Fondation Apache, dont il est membre.

LeRoux se sent honoré de faire partie de la communauté open-source. « C’est de la vraie science », dit-il. « Nous pouvons vérifier le travail de chacun et développer et développer les connaissances humaines. »

En tant que membres à la fois de l’écosystème de startups AWS et de la communauté open source, les membres du panel comprennent les besoins des entreprises et de l’open source. Ils sont tous des contributeurs actifs, des fondateurs de projets et des défenseurs de l’open source.

Sécuriser la chaîne d’approvisionnement des logiciels

Les insécurités du code open source ont été rendues publiques dans une étude de 2020 qui a montré que 91% de l’open source utilisé dans les applications commerciales provenait de code qui n’avait pas été récemment maintenu. Et le « Décret exécutif sur l’amélioration de la cybersécurité de la nation » du gouvernement des États-Unis a incité à mettre l’accent sur la sécurité et la conformité, car les entreprises étaient tenues de fournir une nomenclature logicielle, ou SBOM, qui détaillait l’origine du code.

Malgré cela, il a fallu la vulnérabilité Log4J pour que les entreprises prêtent vraiment attention au risque potentiel de baser leur infrastructure et leurs applications sur du code open source. Une partie du problème est qu’il est presque impossible pour les entreprises de suivre la provenance du code intégré dans leur infrastructure et leurs applications.

« Énumérer vos dépendances n’est pas anodin aujourd’hui », a déclaré Rice. Créer un moyen de suivre les composants open source est un effort continu, et les communautés open source et commerciales devront travailler en tandem pour créer une solution, a-t-elle ajouté.

Les entreprises compromettent parfois leur sécurité en utilisant le code de projets sans code de conduite, selon Windisch. Cela crée une énigme où ils utilisent le code, mais comme le projet n’a pas de code de conduite, il est interdit à leurs employés de le maintenir.

« Vous vous êtes donc enfermé dans un endroit où vous dépendez d’un logiciel auquel vos employés ne sont pas autorisés à contribuer », a déclaré Windisch.

Lee pense qu’il doit y avoir un moyen de clarifier « l’importance de ce logiciel, le nombre de personnes qui en dépendent et le nombre de personnes qui y contribuent ». Des projets tels que l’Open Source Security Foundation ont été créés pour faire exactement cela, mais ils « ne font que démarrer », a ajouté Lee.

Vendre des services, pas du code : un nouveau modèle de financement open source

Trouver un moyen de financer des projets sans compromis est un problème avec lequel la communauté open source se débat depuis sa création.

« Nous savons qu’il y a un aspect de commercialisation qui nous aide à financer ces projets, mais comment nous composons les sources ouvertes par rapport aux sources commerciales est encore une question délicate et difficile pour beaucoup de gens », a déclaré LeRoux.

Le projet open source Backstage est un bon exemple de la façon dont l’open source et les entreprises peuvent travailler ensemble pour un bénéfice mutuel, selon Rice. Sponsorisé par la plateforme de streaming musical Spotify Inc., Backstage est actuellement en incubation à la CNCF, et alors que le projet est 100% open source, des startups émergent qui proposent une version hébergée de Backstage, proposant des services autour de Backstage, ou proposant plugins commerciaux dans Backstage, selon Rice.

« Je pense que c’est vraiment fascinant de voir ces écosystèmes se développer autour d’un projet », a-t-elle déclaré. « Je suis convaincu que vous ne pouvez pas vendre le code open source, mais vous pouvez vendre d’autres choses qui créent de la valeur autour des projets open source. »

Être impliqué dans les affaires d’avantages open source

Les entreprises doivent se mettre au jeu et s’impliquer dans l’open source, selon LeRoux. Faire un don financier à un projet open source durable est une excellente façon de commencer, et même tweeter à propos d’un projet open source y contribue. Mais pour être considérées comme un membre actif de la communauté, les entreprises doivent consacrer le temps de leurs employés à contribuer et à maintenir le code.

« Beaucoup de ces entreprises pourraient bénéficier d’une plus grande activité avec les fondations open source qui existent », a déclaré LeRoux.

Le dicton « Une marée montante soulève tous les bateaux » est approprié pour l’open source, selon Rice. « Nous pouvons augmenter la sécurité ; nous pouvons réduire collectivement le degré de dépendance vis-à-vis des projets non maintenus », a-t-elle déclaré.

Les entreprises peuvent également se tourner vers l’open source comme un moyen de combler leur déficit de compétences en utilisant la communauté comme canal d’embauche, a souligné LeRoux.

« Il y a beaucoup d’avantages pour les grandes organisations qui peuvent faire cela. Ils auront un énorme pipeline d’ingénieurs vraiment qualifiés dès le départ sans avoir à recourir à des entretiens ringards sur tableau blanc », a-t-il déclaré.

Regardez l’intégralité de l’interview vidéo ci-dessous et assurez-vous d’en savoir plus sur la couverture par SiliconANGLE et theCUBE de l’événement AWS Startup Showcase: Open Cloud Innovations. (* Divulgation : Amazon Web Services Inc. a parrainé ce segment de theCUBE. Ni AWS ni d’autres sponsors n’ont de contrôle éditorial sur le contenu de theCUBE ou de SiliconANGLE.)

Photo: SiliconANGLE Montrez votre soutien à notre mission en rejoignant notre Cube Club et notre communauté d’experts Cube Event. Rejoignez la communauté qui comprend Amazon Web Services et le PDG d’Amazon.com Andy Jassy, ​​le fondateur et PDG de Dell Technologies Michael Dell, le PDG d’Intel Pat Gelsinger et bien d’autres sommités et experts. .