Open Source og Penge

Hvis det lyder for godt til at være sandt, er det ikke sandt og selvfølgelig er Fri software ikke gratis: Nogen skal betale for pizzaen og de hvide tennissokker i sidste ende.

Diverse open source software projekter har "foundations" der prøver at skrabe penge sammen til udvikling og vedligehold, men det overordnede billede er at de alle kører med røven i vandskorpen hele tiden.

Tag OpenSSL som aktuelt eksempel: Deres "foundation" er godt nok et kommercielt foretagende, men omsætningen er under en million dollars om året og det meste af den omsætning er konsulentydelser og hjælp med certificering og kun meget lidt, omkring to tusinde dollars, er donationer der skal gøre koden bedre.

Slag på tasken: Indtil for en uge siden beskyttede OpenSSL ikke under en milliard dollars i eCommerce om måneden.

Problemerne i OpenSSL er dybe og alvorlige, der er brug for at definere et helt nyt gennemtænkt API og der er brug for at skrive koden om fra grunden, med falkeblik for sikkerhed i alle ender og kanter. Hvis resultatet skal blive godt, skal der sættes to spidskompetente venner på opgaven og det vil tage dem et par år eller tre og koster noget der ligner 1.5 millioner dollars, før der kommer noget brugbart ud af indsatsen.

Jeg tror hurtigt at vi kan blive enige om at det ville være en rigtig god investerig, globalt set, så hvorfor sker det ikke bare ?

Fordi, som omkvædet lyder i den gamle revysang: "Hvem skal nu betale, hvem har råd til det ?"

Vi kan hurtigt blive enige om, at et firma som Akamai, der har OpenSSL som en meget central komponent i deres produktportefølje burde spytte i kassen.

Men hvad med svømmeklubbens der bruger HTTPS på deres login-side ?

Skal de betale 25 kroner i bankgebyr for at donere 13 øre, alt iberegnet, til OpenSSL ?

Lige siden de opdagede Open Source, har økonomer prøvet at hitte rede i hvordan økonomien virkede og de har mildest talt ikke haft ret meget held med sig, for den fungerer overhovedet ikke.

Der er ingen overordnet struktur eller mønster i de beløb der tilflyder udviklerne, det er i langt højere grad tilfældige konsekvenser af personlige forbindelser, tidligere og nuværende ansættelsesforhold og andre "usaglige" faktorer, end hvem Open Source softwaren kommer hvor meget til gavn, der styrer.

Både politik, etik og moral er involveret og det er dybt komplext, på alle niveauer.

Tag f.eks Apple, som ikke donerer til nogen Open Source projekters "foundations", hvilket forarget blev fremført forleden.

Apple sponsorerer til gengæld LLVM compileren og det har gjort den til et konkurrencedygtigt alternativ til GCC.

BSD tilhængerne føler formodentlig at Apple har gjort mere end deres del, mens en del GPL tilhænger føler at Apple pissede i punchen.

Systemløsninger som vi har set det i andre brancher[1] er ikke farbare på grund af det internationale aspekt og ud over at gå foran med et godt eksempel, kan samfund og lovgivere næppe bidrage til problemets løsning[2]

Men det kan lade sig gøre, det har f.eks har bevist med min "Varnish Moral License", men det er ikke noget der sker af sig selv: Man skal ud og ruske folk, for at minde dem om at Open Source udviklere også har børn, huslån og utætte tage der skal fyldes penge i.

I tilfældet OpenSSL kan vi diskutere op og ned hvem der har gjort hvilke fejl: Udviklerne der ikke har råbt op om behovet for resourcer til at renovere klytkoden, eller firmaerne der har brugt den uden at kigge kritisk på den til at begynde med.

Derfor bliver det spændende at se hvad der nu sker: Kaster firmaerne penge efter OpenSSL, (og gør de det med dårlig samvittighed, eller fordi de ser en plan for forbedring de tror på ?) eller vil de hellere droppe ballast og kaste penge efter en (nystartet ?) konkurrent til OpenSSL ?

Eller falder det hele bare tilbage i den vandte gænge når støvet har lagt sig ?

Opdatering: Der er kommet en melding direkte fra OpenSSL Fourndation.

phk

[1] F.eks: Bioliotekspenge til forfattere, blankmedieafgift og CODA til musikken, 10% af offentlige byggeprojekter til billedkunstnere osv.

[2] Retfærdigvis må jeg dog påpege at RMS's McArthur Award i 1990 havde vidtrækkende betydning, men det er tvivlsomt om en regering kunne have fundet på udvælge en så rabiat figur og det er derfor næppe en relevant model i samfundsmæssig kontext.

Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andreas Bach Aaen

I midt 80'erne og start 90'erne hærgede shareware bølgen. I dag hærger microbetalingsbølgen med ufattelige mængder at små ubrugelig apps i ringe stand.

Som generelt tommelfingerregel, så synes jeg at Open Source, trods sine ofte usle økonomiske kår, at levere bedre software end den microbetalingerne frembringer. Disse microbetalinger, som man så håbende så frem til da sharewarebølgen var på dens højeste.

Jeg vil mene, at regeringer, Universiteter og store virksomheder bør lave en top 10 over de Open Source projekter de er afhængige af, men som de ikke bidrager til.
Hernæst må de i gang med at bidrage - enten med kroner eller kompetancer.

Listen over Open Source sikkerhedssoftware er bestemt ikke uendelig lang. Det handler reelt set om en god håndfuld projekter, som Snowden samt de seneste fundne sikkerhedsfejl påviser vigtigheden af.

Det handler om at regeringer og store virksomheder skal lave en bedre risikoanlyse af den software de benytter.

Hvad er worstcase for svømmeklubben hvis hjemmeside bliver lagt ned og alle medlemmernes passwords stjålet? melder de sig alle ud af klubben?

Hvad er worstcase for Facebook og andre mastodonter, hvis alle deres brugeres passwords bliver stjålet og misbrugt i større omfang?
Av, av. Det er tab af tillid de ikke kan leve med ret længe.

Jeg tror, at Open Source licenserne er den rette grobund for den bedste software. Det kan blot være, at vi skal have nogle bedre analysemetoder for risikoanalyse af brugen af software.

Palle Simonsen

Man må gøre op med sig selv, om og hvordan man evt. vil bidrage rent økonomisk til OpenSource. Personligt bidrager jeg økonomisk, når jeg finder, at der er et fornuftigt bytteforhold.

I en række år købte jeg f.eks. SuSE i linuxshoppen på Frederiksberg, fordi jeg syntes det var en velegnet distribution til mine formål og jeg derfor gerne ville give et bidrag. Da distributionen ændrede karakter, holdt jeg op med mit lille bidrag.

Senere har jeg doneret til forskellige (F)OSS projekter, når jeg har anvendt deres kode i egne projekter og har kunne konstaterer en produktivitetsgevinst eller andet fornuftigt bytteforhold. Typisk et lille bidrag på f.eks. € 100-200.

Jeg synes man som minimum bør bidrage ved at købe betalt support, donerer eller andet, når man opnår en gevinst ved anvenvendelse af et givet (F)OSS produkt - det er jo stadig 'try-before-you-buy'.

Palle Simonsen

I fht. open source-'aanden' slipper alle andre saa, fx svoemmehallen.

Open Source drejer sig alene om kildekodens frie tilgængelighed og de rettigheder man har ved anvendelse af denne, herunder eventuelle modifikationer / fejlrettelser, man måtte lave.

Hvis svømmehallen har nytte af at envende f.eks. et (F)OSS CMS på et (F)OSS OS bør de overveje, om ikke man burde donerer til de/det pågældende projekter. Evt. tegne en supportaftale.

Daniel Bielefeldt

Man burde stifte en non-profit forening, som har til hensigt at indsamle bidrag fra forskellige virksomheder, for så derefter at støtte nogen af de mange projekter findes. På lige fod med at Kræftens bekæmpelse har deres årlige indsamlinger, som støtter forskellige forskningsprojekter.

Lasse Hillerøe Petersen

Når man kigger på, hvad diverse certifikatsælgere (Symantec?) tager for deres certifikater, forekommer det mig at være en forretningsmodel, hvor man tager mange penge for noget, hvis reelle værdi er lettere suspekt, og i høj grad afhænger af - og dermed snylter på - fx OpenSSL. En "rigtigt god" forretningsmodel, med andre ord. Hvad om rodcertifikat"autoriteterne" blev pålagt at opkræve en afgift for hvert certifikat de udsteder, som så gik til en fond for udvikling, som SSL-udviklere (ikke kun OpenSSL) kunne søge penge fra? Hvem er det egentlig der "bestemmer", hvem der er rodcertifikatudstedere? (De ville vel også kunne bestemme, hvad det skulle koste i afgift?)

Lars Lundin

Jeg kan godt se at der skal rigtige penge på bordet, for at gøre noget ved væsentlige projekter.

Men jeg mener godt at uddannelsesinstitutioner kunne bruge og bidrage til Open-Source projekter.

F.eks. med et 3-ugers projekt på DTU eller hvor det nu er at man burde rode med faktisk EDB i vore dage:
Tag en RFC og dens open-source implementation og find (og rapporter til projektet) så mange fejl som muligt - ved at skrive unit tests baseret på specifikationen, og hvad man nu ellers kan finde på. Topkarakter hvis bug-patches (eller unit test kode) accepteres af projektet.

Det kunne da være meget sjovt, og vil ikke se dårligt ud når man står med sit diplom i hånden og leder efter et arbejde.

Kim Henriksen

Glem nu ikke også erhvervs skolerne og deres "Datatekniker med speciale i programmering"

Jeg tror det ville være en glimrende case til etsvendeprøve projekt.

F.eks. på Mercantec en stor del af studerende ansat hos B&O og Grundfos
- Jeg tror også, at de ville være helt med på, at deres lærlinge blev lært op i RFCs, kode reviews, unit tests.

Der må være et fag eller to hvor det fint kan proppes ind under: http://mars.tekkom.dk/mediawiki/index.php/Datatekniker_med_speciale_i_pr...

Log ind eller Opret konto for at kommentere