Các nhà phát triển mã nguồn mở đang kiệt sức, làm gia tăng rủi ro chuỗi cung ứng cho 96% doanh nghiệp phụ thuộc vào thư viện mã bên ngoài.
Theo báo cáo của nhà tâm lý học Miranda Heath, 73% nhà phát triển báo cáo tình trạng kiệt sức và 60% người bảo trì mã nguồn mở đã từng cân nhắc từ bỏ hoàn toàn.
Khi những tình nguyện viên này rời đi, chuỗi cung ứng sẽ đứt gãy.
Ở hạ nguồn, điều đó đồng nghĩa với các lỗ hổng chưa được vá, các phụ thuộc bị bỏ rơi, và một cuộc chạy đua để thay thế các công cụ nền tảng.
Chúng ta không thể tiếp tục tách rời sự mệt mỏi của nhà phát triển khỏi an ninh doanh nghiệp.
Báo cáo liên kết trực tiếp tình trạng kiệt sức với các sự cố như vụ tấn công XZ Utils, cảnh báo rằng những người bảo trì kiệt sức trở thành mục tiêu dễ dàng cho các đối tượng độc hại muốn cài đặt cửa hậu.
“Khi những người bảo trì kiệt sức và không thể quản lý nó một cách hiệu quả, hoạt động và bảo mật của cơ sở hạ tầng quan trọng này sẽ gặp rủi ro,” Heath lưu ý.
Nội dung chính
Kinh tế học của sự kiệt sức
Những rủi ro chuỗi cung ứng này bắt nguồn từ một sự trao đổi giá trị bị phá vỡ.
Ngành công nghiệp phần mềm kiếm tiền khổng lồ, thế nhưng những kiến trúc sư của lớp nền tảng thường làm việc miễn phí.
Nghiên cứu của Heath, dựa trên năm tháng phỏng vấn và phân tích, xác định khó khăn trong việc được trả công là động lực chính dẫn đến tình trạng kiệt sức của nhà phát triển mã nguồn mở.
Đối với các nhà lãnh đạo doanh nghiệp, “sự thất bại của thị trường” này tạo ra tính mong manh trong hệ thống của họ.
Các nhà phát triển buộc phải làm việc “ca kép” bằng cách thường xuyên bảo trì các thư viện phổ biến vào ban đêm và cuối tuần bên cạnh công việc toàn thời gian.
“Công việc thầm lặng” này dẫn đến khối lượng công việc căng thẳng và thiếu ngủ, làm xói mòn sức khỏe thể chất và tinh thần của chính những người đang bảo đảm và vận hành cơ sở hạ tầng toàn cầu.
Marc Grabanski, người sáng lậpFrontend Masters, đã phác họa rõ nét rủi ro chuỗi cung ứng cho khu vực doanh nghiệp:
“Nếu bạn đặt thuần túy kinh tế lên hàng đầu và không ý thức được những thứ đã tạo nên thành công của mình, thì bạn sẽ chỉ lao thẳng vào bóng tối.”
Độc hại và doanh nghiệp có tư tưởng ban ơn đẩy nhanh tình trạng kiệt sức của nhà phát triển mã nguồn mở
Sự ngược đãi từ người dùng doanh nghiệp làm trầm trọng thêm căng thẳng tài chính.
Nghiên cứu xác định hành vi cộng đồng độc hại là một chất xúc tác chính cho sự kiệt sức, thường được thúc đẩy bởi những người dùng có tư tưởng ban ơn, đòi hỏi sửa chữa ngay lập tức cho phần mềm miễn phí.
Các nhóm doanh nghiệp thường xuyên đối xử với người bảo trì như nhà cung cấp được trả tiền hơn là những tình nguyện viên trong một nền kinh tế quà tặng.
Heath lưu ý rằng người dùng hành xử như thể phần mềm mã nguồn mở là một mặt hàng thị trường tiêu chuẩn, bỏ qua thực tế rằng nó thường được duy trì bởi một cá nhân duy nhất trong thời gian rảnh của họ.
Một nhà phát triển, James Kyle, nhận xét về tác động của áp lực không ngừng này:
“Phản ứng giận dữ đã quá sức chịu đựng.
Mỗi ngày tôi đều đọc thấy ai đó ca thán về việc chúng tôi đang làm tồi tệ đến mức nào.
Thật khó để giữ được động lực.”
Động lực này tạo ra một “vòng xoáy tử thần kiệt sức” cho các nhà phát triển.
Sự thô lỗ từ người dùng tạo ra mệt mỏi, dẫn đến phản hồi chậm hơn hoặc tương tác cộc lốc từ những người bảo trì, điều này đến lượt nó lại thúc đẩy thêm sự độc hại.
Đối với một doanh nghiệp, kết quả là thời gian xử lý lỗi kéo dài hơn và rủi ro cao hơn rằng một phụ thuộc chuỗi cung ứng quan trọng sẽ bị các nhà phát triển mã nguồn mở mà họ dựa vào từ bỏ.
Ổn định chuỗi cung ứng mã nguồn mở
AI tạo sinh chỉ làm cho đống công việc chất cao hơn.
Phân tích của Heath cho thấy các công cụ AI cho phép người đóng góp tạo ra mã mà không hiểu nó, tạo ra một lượng lớn các bản gửi lên chất lượng thấp.
Việc xem xét các yêu cầu kéo (pull request) được tạo bởi máy này được mô tả là “làm tê liệt tâm trí”, tước đi động lực nội tại từ công việc.
Nếu các công cụ AI tiếp tục hạ thấp rào cản cho các đóng góp chất lượng thấp mà không cải thiện năng lực xem xét, sự ồn ào trong hệ sinh thái có thể đẩy những người bảo trì kỳ cựu ra đi.
Để bảo đảm nền tảng phần mềm của mình, các tổ chức phải nhìn xa hơn những khoản quyên góp đơn thuần.
Biện pháp giảm thiểu trực tiếp nhất là tài chính:
việc được trả công đáng tin cậy loại bỏ nhu cầu các nhà phát triển mã nguồn mở phải làm “ca kép” và khôi phục sự cân bằng giữa nỗ lực và phần thưởng để giảm bớt tình trạng kiệt sức.
Cơ chế rất quan trọng.
Heath cảnh báo rằng các mô hình thanh toán sai lầm có thể tạo ra những rủi ro chuỗi cung ứng mới, dẫn chứng vụ tiếp quản RubyGems gần đây, nơi áp lực làm hài lòng các nhà tài trợ đã thay đổi hướng đi của dự án và tước quyền kiểm soát của những người bảo trì.
Tài trợ phi tập trung hoặc quản trị tập thể mang lại những con đường tốt hơn, đảm bảo những người bảo trì giữ được quyền tự chủ sáng tạo trong khi vẫn kiếm sống.
Văn hóa kỹ thuật của doanh nghiệp cũng phải chuyển đổi từ tiêu thụ sang đóng góp.
Heath khuyến nghị các công ty tài trợ cho “các sự kiện tập trung vào cộng đồng” đóng vai trò như “những điểm tụ họp” nơi những người bảo trì có thể xây dựng sự hỗ trợ xã hội cho các nhà phát triển mã nguồn mở và các dự án quan trọng của họ.
Hiện tại, những sự kiện như vậy còn hiếm và tốn kém để tham dự, đại diện cho một cơ hội dễ đạt được cho sự tài trợ của doanh nghiệp.
Nếu các doanh nghiệp muốn có cơ sở hạ tầng đáng tin cậy và giảm thiểu rủi ro chuỗi cung ứng, họ cần đối xử với những người bảo trì như các đối tác, chứ không phải là nguồn lực vô hạn.
“Sự kiệt sức không chỉ là vấn đề của các nhà phát triển OSS, đó là vấn đề của tất cả chúng ta,” Heath kết luận.
