Сет Майкл Ларсон: Работа по безопасности открытого исходного кода не является «особенной»

Ключевая речь была произнесена на OpenSSF Community Day NA 2025 в Денвере, Колорадо, и видеозапись будет доступна на YouTube позже. Речь была произнесена в качестве Резидента по безопасности-разработчику в Фонде программного обеспечения Python, роль, спонсированная Alpha-Omega. Открытый исходный код - это удивительная вещь, позволяющая пользователям вносить значимый вклад в проекты, но безопасность является особенной и часто обрабатывается избранными немногими. Мейнтейнеры открытых исходных проектов, особенно небольших, не обязательно являются экспертами в безопасности и чувствуют себя изолированными и вынужденными заниматься работой по безопасности, чтобы сохранить свой проект и пользователей в безопасности. Это изоляция порождает культуру страха, и мейнтейнеры часто не видят, как другие проекты обрабатывают вопросы безопасности. Небольшие проекты формируются своими инструментами, а инструменты безопасности часто создают асимметрию, создавая работу без решения проблем. Докладчик предлагает новую модель для вклада в безопасность открытого исходного кода, где работа по безопасности выполняется доверенными лицами, которые не обязательно являются мейнтейнерами. Эта модель стремится разрушить предположение, что мейнтейнеры - единственные, кто может выполнять работу по безопасности, особенно для небольших проектов. Чтобы сделать эту модель успешной, нам нужно построить доверие между вкладчиками и проектами, и работа по безопасности не может лежать только на мейнтейнерах. Мы все можем использовать свои голоса и опыт, чтобы создать более положительную и здоровую культуру безопасности и преодолеть изоляцию, присущую работе по безопасности.