Bien qu'il y ait peu de débat selon lesquels les forces numériques jouent un rôle de plus en plus crucial dans l'économie, il existe une compréhension limitée de l'importance de l'infrastructure numérique qui sous-tend ce rôle.Une grande partie de la discussion sur l'infrastructure numérique s'est concentrée sur la disponibilité du large bande (ce qui est certainement important), mais le rôle des logiciels gratuits et open source (FOSS ou OSS) est sous-estimé.FOSS - Software dont le code source est public, est souvent créé par des bénévoles décentralisés et peut être libre et modifié par quiconque - a joué un rôle vital dans l'économie moderne.Il est alimenté dans la technologie que nous utilisons tous les jours (voitures, téléphones, sites Web, etc..), ainsi que dans divers aspects des infrastructures critiques, y compris nos systèmes financiers et énergétiques.
Frank Nagle
Professeur adjoint d'administration des affaires - Harvard Business School
Twitterfrank_nagleComme les infrastructures physiques, cette infrastructure numérique nécessite des investissements réguliers pour permettre encore l'innovation, le commerce et une économie florissante.Cependant, comme les infrastructures physiques également, il y a une défaillance du marché dans le secteur privé qui conduit à une sous-investissement dans l'infrastructure numérique.Par conséquent, il existe un besoin clair d'investissement et de réglementation gouvernementaux pour assurer la santé, la sécurité et la croissance futures de l'écosystème FOSS qui est devenu indispensable à l'économie moderne.
Dans cet article, je présente des propositions de politique basées sur ma recherche universitaire et celle des autres, ainsi que des politiques qui existent dans d'autres pays qui sont en avance sur les États-Unis pour investir dans cet actif critique.Je discute d'abord du défi global face auxquels Foss et des limites de la politique existante dans le U.S.(qui sont principalement axés sur l'utilisation du gouvernement de FOSS, et non sur l'investissement dans l'écosystème FOSS directement).Enfin, je présente 11 propositions de politique séparées en quatre domaines de mise au point: la création d'un bureau de programme open source;Mesurer et comprendre l'écosystème FOSS;améliorer l'impact économique positif des foss;et sécuriser l'écosystème FOSS.Bien qu'il n'y ait pas de solution miracle pour garantir la santé et la croissance futures de FOSS, ces propositions contribueront grandement à garantir que FOSS peut continuer à jouer son rôle essentiel dans l'activation du U moderne.S.économie pour grandir et s'épanouir.
Le défi
Au plus haut niveau, le défi lié à FOSS est qu'en dépit de sa valeur pour l'économie moderne, sa nature décentralisée et libre conduit à la fois à une sous-estimation de cette valeur et à un sous-investissement dans sa croissance et sa sécurité.
Source: xkcd, https: // xkcd.com / 2347 /, licencié sous Creative Commons Attribution-NonCommercial 2.5 Licence
Du côté de la valeur, bien qu'il ait été estimé que jusqu'à 98% des bases de code incluent FOSS, il peut être difficile de mesurer sa valeur.Les mesures traditionnelles de la valeur d'un produit, telles que la multiplication du nombre de fois qu'un produit est utilisé fois le prix du produit et la soustraction des coûts d'entrée, ne fonctionnent pas.Le prix est nul, la main-d'œuvre est volontaire et la mesure du volume d'utilisation est extrêmement difficile en raison de la nature distribuée de FOSS et du fait qu'elle peut être copiée et réutilisée librement.Malgré ces défis, il y a eu des efforts récents pour valoriser les fosses par moi-même et les autres.Par exemple, nos premiers efforts pour mesurer la valeur d'un seul morceau de foss - le serveur Web Apache largement utilisé - a découvert qu'en 2013, il a augmenté jusqu'à 12 milliards de dollars au U.S.Économie, bien qu'il ne se présente directement dans aucune statistique du PIB.Plus récemment, un rapport parrainé par sponsorisation de la Commission européenne a révélé qu'en 2018, les sociétés de l'UE ont investi environ 1 milliard d'euros dans la création de FOS.Des estimations similaires pour le u.S.L'investissement dans FOSS était de 33 milliards de dollars en 2019.Cependant, malgré ces tentatives, nous n'avons fait que gratter la surface de vraiment comprendre la valeur que Foss fournit à l'économie et à la vie moderne.C'est encore plus le cas lorsque l'on considère la valeur créée dans le contexte de l'autonomie numérique, car une dépendance accrue à l'égard des fosses peut limiter la survenue de points de défaillance uniques où une entreprise ou un pays est redevable à une entreprise particulière qui fournit un logiciel propriétaire ouPossède un brevet (en particulier dans le contexte des normes de communication, comme la 5G).
Contenu connexe
The nuanced relationship between cutting-edge technologies and jobs: Evidence from Germany
Sabrina GenzDismantling the ivory tower’s knowledge boundaries
Jacqueline N. Lane and Hila Lifshitz-AssafNet-zero innovation hubs: 3 priorities to drive America’s clean energy future
Johannes Urpelainen and Chetan HebbaleDu côté de l'investissement, le défi est double.Premièrement, malgré des preuves croissantes d'un taux élevé de rendement des investissements publics et privés dans FOSS qui peuvent améliorer la compétitivité et l'innovation, le U.S.n'a pas encore fait d'effort concerté pour y investir directement - au-dessus de son utilisation dans les agences fédérales.Le u.S.Les investissements dans le système de positionnement mondial (GPS) sont un exemple du succès que ces investissements peuvent avoir - U.S.Les investissements dans le GPS, qui est mis librement à la disposition des utilisateurs, ont permis 1 $.4 billions de gains économiques pour u.S.les entreprises (sur lesquelles le gouvernement reçoit des recettes fiscales).De même, nos travaux sur Apache ont montré que les investissements gouvernementaux dans FOSS peuvent entraîner un taux de rendement d'au moins 17%, plus du double du U.S.La ligne de base couramment utilisée du gouvernement de 7% représentant une bonne opportunité d'investissement.Une analyse plus large dans le rapport de la Commission européenne a révélé un ratio coûts-avantages d'environ 1: 4 pour les investissements FOSS par des sociétés privées, et mon propre travail sur le soutien du gouvernement de Foss en France a montré une variété de résultats positifs, y compris jusqu'à 18%Augmentation de la fondation des startups françaises liées à l'informatique et autant d'augmentation de 14% du nombre de travailleurs français employés dans des emplois liés à l'informatique.Même pour les entreprises, mes recherches ont montré que non seulement l'utilisation de FOSS entraîne des gains de productivité, mais que l'investissement dans FOSS peut verser des dividendes car les entreprises qui contribuent à FOSS obtiennent une valeur jusqu'à 100% plus productive en utilisant FOSS que leurs pairs en liberté.
Deuxièmement, un sous-investissement dans FOSS peut entraîner des problèmes de sécurité qui ont des conséquences à l'échelle de l'économie.La preuve la plus récente de cela a été la découverte en 2021 de la vulnérabilité log4shell dans le package de journalisation FOSS LOG4J.Déployée sur une vaste gamme d'applications numériques, la vulnérabilité a été initialement introduite dans le code en 2013 et a exposé des dizaines de millions d'appareils à une vulnérabilité de sécurité dévastatrice et illustré le besoin urgent d'améliorer la sécurité dans les logiciels open source.Jen Easterly, directrice de la Cybersecurity and Infrastructure Security Agency (CISA), la directrice du Département de la sécurité intérieure (DHS) (CISA) a appelé Log4Shell «la vulnérabilité la plus grave que j'ai vue au cours de ma carrière de plusieurs décennies», et bien avant que la plupart des organisations ne puissent patcherLa vulnérabilité, il y a eu plus de 800 000 attaques qui l'utilisent dans une période de 72 heures, dont certains par des acteurs chinois et iranien parrainé par le gouvernement.La politique gouvernementale peut aider à identifier et à résoudre ces vulnérabilités de manière plus étirée.
Limites des politiques existantes
La plus grande limite à u existant.S.Les politiques liées à FOSS sont qu'elles sont presque toutes axées sur l'utilisation, la création et l'achat par le gouvernement fédéral de la technologie pour ses propres systèmes.Aucune politique ne vise à mesurer, à investir ou à sécuriser l'écosystème FOSS dans son ensemble ou de manière directe.Bien que mes recherches antérieures aient montré que les politiques gouvernementales favorisant l'utilisation de FOSS dans l'approvisionnement technologique peuvent avoir d'importants retombées positives dans un pays (ainsi que des économies de coûts), il s'agit davantage d'un impact de second ordre plutôt que de l'impact de premier ordreL'investissement peut avoir.Il existe de nombreux exemples de telles politiques d'approvisionnement.Dès 2004, les agences du U.S.Le gouvernement fédéral a commencé à clarifier leurs positions vers FOSS.Cependant, ce n'est que lorsque le Bureau de la gestion et du mémorandum budgétaire M-16-21 en 2016.Le M-16-21 exigeait que toutes les agences fédérales soient a) fabriquer tous les nouveaux code personnalisés pour toute agence fédérale disponible pour réutiliser toutes.Ces efforts ont été coordonnés par le code.Le site Web de Gov, élaboré à l'origine sous le bureau du directeur de l'information fédéral et maintenant administré par U.S.Administration des services généraux (bien que récemment financé et essentiellement statique).À ce jour, le M-16-21 est les principales directives sur la façon dont les agences fédérales devraient aborder FOSS et est l'autorité principale citée au sein de nombreuses agences liées à leur position de fosses (E.g., Département du commerce et ministère de la Défense).Ces efforts ont été étendus avec le décret exécutif de la Maison Blanche de mai 2021 14028, qui comprenait une section exigeant que tous les achats de logiciels du gouvernement fédéral incluent une facture de matériel de logiciel (SBOM) qui indiquait clairement quels autres logiciels (y compris FOSS) ont été intégrés à l'achatLogiciel.
Au-delà du M-16-21, une poignée d'autres efforts gouvernementaux ont été proposés mais n'ont pas été adoptés.Par exemple, la version de la maison de la loi sur l'autorisation de la défense nationale 2022 comprenait un financement pour un centre de sécurité FOSS au sein du DHS, mais le financement n'a pas atteint le projet de loi final.Au niveau de l'État, New York a présenté un projet de loi pour donner un crédit fiscal pour les dépenses liées au développement de FOSS à chaque session législative depuis 2009, mais le projet de loi n'est jamais sorti du comité.Même le package d'infrastructures bipartisan très apprécié adopté à la fin de 2021 a concentré ses investissements d'infrastructure numérique presque exclusivement sur la disponibilité du large bande et n'a pas abordé les investissements dans FOSS.
Plus récemment, en janvier 2022, en réponse à la vulnérabilité Log4Shell susmentionnée, le Conseil de sécurité nationale de la Maison Blanche (NSC) a tenu une réunion avec des sociétés comme Google et Microsoft;Des organisations open source, notamment la Linux Foundation, la Apache Software Foundation et la Open Source Security Foundation (OpenSSF);et de nombreuses agences et départements fédéraux.La réunion s'est concentrée sur la prévention, la recherche et le raccourcissement du temps de réponse aux vulnérabilités fossées et a discuté de divers partenariats public-privé potentiels.Bien qu'il n'y ait pas eu de gages en béton de la réunion, l'intention était de commencer une discussion, d'identifier les voies possibles et de s'engager dans les réunions futures qui donneraient des engagements spécifiques par les différentes parties prenantes.En mai 2022, la première réunion de suivi a eu lieu et a identifié 10 domaines d'intérêt pour améliorer la sécurité de la SSS et a fourni des plans d'action spécifiques et un appel à 150 millions de dollars de financement sur deux ans.L'intention était que ce financement provienne d'entreprises privées, pas du gouvernement, et certaines grandes entreprises technologiques ont déjà engagé 30 millions de dollars pour aider à l'effort.
Recommandations politiques pour soutenir FOSS comme infrastructure numérique critique
Compte tenu du manque de politiques fédérales soutenant directement l'écosystème FOSS, je présente 11 propositions de politique qui peuvent aider à soutenir l'écosystème FOSS de manière critique (aperçu dans le tableau 1).Ces politiques sont regroupées en quatre domaines.Le premier domaine consiste à créer un nouveau bureau pour superviser toutes les activités liées aux fosses au sein du gouvernement fédéral.Le deuxième domaine se concentre sur la mesure et la compréhension de l'écosystème FOSS, ce qui est nécessaire compte tenu de la nature distribuée de FOSS, et de l'absence d'une compréhension claire de la façon dont elle est omniprésente dans l'économie moderne.Le troisième domaine considère les avenues pour investir dans FOSS pour aider à améliorer la compétitivité économique du U.S.Le quatrième domaine se concentre sur les méthodes pour sécuriser les foss existants et futurs pour réduire la probabilité de certaines des problèmes mentionnés ci-dessus.Certaines des recommandations politiques s'appuient sur le rapport de la Commission européenne mentionné ci-dessus, pour lequel j'étais conseiller extérieur, mais réfléchissez à la façon dont (et où) ils pouvaient être appliqués dans le U.S.De plus, bien que toutes ces recommandations soient axées sur FOSS, elles peuvent être considérées comme incluant également du matériel libre et open source, qui est un espace plus petit que FOSS mais se développe rapidement et est de plus en plus important pour l'économie.
Tableau 1: Recommandations pour renforcer les infrastructures numériques
1.Créer un bureau fédéral de programme open source
Un bureau de programme open source (OSPO) est une entité qui vise à centraliser les efforts des fosses d'une organisation - l'utilisation de, la contribution à, les politiques vers, etc..Bien que certaines agences et départements fédéraux aient mis leur propre OSPO.Code.GOV est l'entité existante la plus proche de cela;Cependant, son mandat est beaucoup plus étroit que celui d'un vrai OSPO. In addition to coordinating the use of FOSS by government entities (asCode.Gov le fait actuellement), l'OSPO coordonnerait également les politiques fédérales liées à FOSS, comme celles présentées dans les recommandations de ce document.L'absence d'un tel bureau explique pourquoi les efforts du gouvernement fédéral liés à FOSS ont été très décousus à ce stade.L'OSPO pourrait être situé au sein du Bureau des sciences et de la politique technologique de la Maison Blanche (OSTP), au sein du bureau de l'U.S.Chief Technology Office (CTO).OSTP est chargé de diriger les efforts du gouvernement pour mettre en œuvre les politiques technologiques et est donc en bonne position pour s'approprier cet effort.Ce bureau pourrait se coordonner avec les OSPO existants dans les agences fédérales et pourrait aider à supporter les OSPO dans des agences qui ne les ont pas encore.À ce titre, il pourrait superviser la mise en œuvre du reste des recommandations ici, en collaboration avec les divers organismes gouvernementaux supplémentaires identifiés ci-dessous. Further, it could take over theCode.Les efforts du gouvernement qui ont récemment été financés.Enfin, l'OSPO pourrait gérer la collaboration internationale et la coordination avec d'autres pays pour amplifier les intérêts mutuels et partager les avantages.
2.Mesurer et comprendre l'écosystème FOSS
Pour mesurer et comprendre correctement l'écosystème FOSS dans le U.S., Plus de données sont requises dans trois domaines spécifiques: la création, l'utilisation et les politiques.Il y a des parallèles dans les complexités d'agrégation de telles données au dessin de u.S.Des cartes à large bande qui ont été considérées comme essentielles pour influencer et informer le déploiement des connexions Internet à large bande dans le U.S., un autre aspect de l'infrastructure numérique.Les données sont désordonnées et résident avec de nombreuses entités distinctes, mais une fois agrégées de manière claire et complète, peut fournir des informations approfondies sur la meilleure façon de relever les défis discutés ci-dessus.
a) Mesurer la création de fosses
Bien que la mesure de la création de FOSS soit beaucoup plus facile que de mesurer son utilisation (abordé ci-dessous), c'est toujours une tâche compliquée.Foss réside généralement dans des référentiels et des fonderies comme Github, Gitlab et Bitbucket.Cependant, il est parfois maintenu sur des pages de projet individuelles, ce qui peut rendre la mesure difficile de la mesure du FOSS difficile.De plus, de nombreux profils de contributeurs sur ces référentiels n'ont aucune information autre qu'un nom d'utilisateur.Ainsi, mieux comprendre les personnes qui contribuent aux FOS.De plus, il n'est pas toujours possible de savoir si un contributeur à FOSS le fait à la demande de son employeur dans le cadre de son emploi rémunéré, un événement de plus en plus courant.Ainsi, la mesure de la création de fosses (et des créateurs) nécessitera une approche multi-forge.Tout d'abord, OSTP et le U.S.LeCTO devrait tenter d'agréger les données des sources disparates de FOSS et la mettre à jour régulièrement pour suivre les projets, quelle est leur fonction, qui sont leurs contributeurs, et à quel point ils sont actifs pour maintenir les projets et résoudre les problèmes connus.Deuxièmement, pour mieux mesurer la participation des entreprises à la création de fosses, des questions devraient être ajoutées au U.S.L'enquête sur la gestion et les pratiques organisationnelles du Census Bureau (MOPS).Cette enquête est gérée tous les cinq ans en tant qu'addendum à l'enquête annuelle auprès des fabricants et vise à «mieux comprendre les pratiques de gestion et d'organisation en évolution actuelle et en évolution et à aider à identifier les déterminants de la croissance de l'établissement et de la productivité.«Des questions précédentes sur l'utilisation de la technologie ont été ajoutées aux vadrouilles et ont révélé des informations importantes sur la façon dont les entreprises utilisent la technologie (E.g., analytique prédictive et intelligence artificielle) pour améliorer leur productivité.
b) Mesurer l'utilisation des fosses
Pour la variété des raisons mentionnées ci-dessus, mesurer avec précision l'utilisation des FOSS est extrêmement difficile.Cependant, un certain nombre d'efforts, y compris les nôtres, ont cherché à éclairer ce défi à multiples facettes.Bien que ces efforts aient réduit le problème, un effort parrainé par le gouvernement fédéral est plus susceptible de conduire à une compréhension plus large de l'utilisation des fosses dans le U.S.Encore une fois, une approche multi-volume est optimale.Tout d'abord, en utilisant des données agrégées de principales parties prenantes, notamment des fournisseurs de cloud, des sociétés d'analyse de composition de logiciels, des gestionnaires de packages FOSS et des référentiels et des fonderies FOS.S.CTO peut créer des statistiques sur ce que les packages FOSS sont les plus largement utilisés.Il serait essentiel de mener cette analyse à tous les niveaux de la pile logicielle, y compris les systèmes d'exploitation, les bibliothèques d'applications, les conteneurs cloud et les applications utilisateur final.Deuxièmement, le Bureau du recensement peut ajouter des questions supplémentaires aux vadrouilles pour évaluer l'utilisation de l'open source par les entreprises - à la fois ceux qui fabriquent des logiciels et ceux qui l'utilisent uniquement.
c) Catalogue des politiques gouvernementales et d'entreprise existantes envers FOSS
Comprendre les politiques gouvernementales et d'entreprise envers FOSS permet de meilleures conseils sur la façon dont les détails des propositions de politique ci-dessous devraient être conçus pour une efficacité optimale.De nombreux autres pays sont en avance sur le u.S.dans les politiques liées aux FOS et les agréger et les étudier peuvent fournir des conseils supplémentaires sur la façon dont u.S.Les politiques FOSS devraient être élaborées.Certaines enquêtes sur les politiques gouvernementales existent mais n'ont pas été mises à jour depuis 2010.Un tel effort pourrait être mené via OSTP et le U.S.CTO.De plus, notre travail a montré que les entreprises ont un large éventail de politiques vers FOSS, dont beaucoup de leurs employés ne comprennent pas pleinement.Des questions supplémentaires peuvent être ajoutées aux vadrouilles de recensement pour comprendre l'éventail des politiques que les entreprises doivent mieux permettre à la recherche de fournir des conseils pour des politiques commerciales optimales.Cela peut inclure des politiques sur l'utilisation et la contribution des FOS, ainsi que si l'entreprise a ou non un OSPO pour gérer de tels efforts.
3.Améliorer l'impact économique positif des foss
Non seulement FOSS crée une valeur économique directement (comme discuté ci-dessus), mais elle permet également aux entreprises de tous types de croître plus rapidement que si elle n'existait pas.C'est particulièrement le cas dans le contexte des petites et moyennes entreprises (PME) qui sont contraintes de crédit et ne seraient pas en mesure de créer les outils que Foss fournit à partir de zéro. Thus, at a national level, investments in FOSS can enhance national competitiveness and enable greater levels of R&D and innovation in all sectors.Par conséquent, il appartient le u.S.Pour soutenir l'écosystème FOSS directement pour augmenter son impact économique positif. This can be achieved through a variety of policy measures including increasing R&D funding for FOSS, lowering the costs of FOSS participation for SMEs, increasing training opportunities, creating tax credits for individual and corporate FOSS contributors, and clarifying FOSS-adjacent regulations.
a) Increase R&D funding for FOSS
Currently, there is no federal funding for R&D related to FOSS despite growing evidence that this can lead to a great number of outcomes whose benefits outweigh the cost of investment. Therefore, the federal government should build upon existing programs from the private sector to enhance FOSS related R&D.Cela peut prendre la forme de subventions pour les chercheurs qui étudient eux-mêmes des communautés FOSS et FOSS. The most logical places to host these grants are through the National Science Foundation, or through the Department of Commerce’s National Institute of Standards and Technology (NIST), both of which manage grants related to technology R&D.De plus, comme une quantité démesurée de foss est créée par les PME, des subventions spécifiques ciblées peuvent également être offertes par le biais de la Small Business Association (SBA), qui offre déjà des subventions et des prêts pour les PME faisant du travail dans des espaces particuliers.
b) augmenter les possibilités de formation pour les foss
Le gouvernement fédéral devrait soutenir une augmentation des possibilités de formation à travers les environnements académiques traditionnels et les paramètres d'apprentissage continu.Cela comprendrait des programmes de subventions par l'intermédiaire du ministère de l'Éducation (DOE) pour ajouter des compétences FOSS aux programmes d'études en informatique existants à tous les niveaux d'enseignement ainsi que pour permettre aux subventions individuelles de parrainer la poursuite de programmes de formation continue ciblés sur les employeurs dans les industries pertinentes.D'autres subventions ciblées sont déjà gérées par DOE et des subventions liées aux FOSS pourraient être ajoutées au système existant.De plus, offrir une formation sur Foss aux PME irait probablement un long chemin à cette fin.Une telle formation pourrait être offerte grâce aux efforts existants destinés aux PME, comme la plateforme d'apprentissage de la SBA.
c) Créer des crédits d'impôt pour les contributeurs FOSS individuels et sociaux
La politique fiscale est utilisée depuis longtemps pour inciter les entreprises et les particuliers à augmenter un comportement particulier qui a des avantages sociaux.Par conséquent, c'est un outil logique à utiliser pour augmenter la création de foss dans le u.S.Pour les particuliers, la proposition de New York mentionnée ci-dessus pour accorder un crédit d'impôt pour les frais de développement FOSS pourrait être facilement appliqué à un cadre national.Cependant, un crédit d'impôt fédéral FOSS pourrait aller au-delà de la créditation des dépenses directes liées à FOSS (E.g., Achat des ressources de cloud computing) pour inclure également non compensé (e.g., par un employeur) temps consacré à contribuer à FOSS.Bien que les dons de temps volontaires ne soient généralement pas autorisés comme une radiation, le fait que le résultat de cette période est un logiciel, qui peut être radié comme un don, devrait permettre un petit ajout au code d'imposition qui ne s'ouvrirait pasLa porte à tout le temps bénévole est autorisé comme une radiation.
For companies, a simple addition and clarification to the existing R&D tax credit would allow companies to reduce their tax burden by contributing to FOSS.Actuellement, les entreprises sont autorisées à appliquer des investissements dans le développement de logiciels internes vers le crédit. However, there is a lack of clarity around whether or not investments in creating FOSS are eligible for the R&D tax credit. Therefore, clarity on the topic that allows for such investments to be eligible for the R&D tax credit would encourage companies to invest more in FOSS.Les allégements fiscaux seraient particulièrement utiles pour réduire les coûts de participation des PME.
d) Clarifier les réglementations adjacentes aux fosses
Il existe de nombreuses réglementations existantes dans le U.S.Cela peut être considéré comme adjacent à Foss en ce qu'ils peuvent s'appliquer à FOSS, mais exactement comment ils s'appliquent aux FOS.Par exemple, il existe un large éventail de licences FOSS, et chacun d'eux traite les aspects de l'utilisation des fosses différemment (E.g., si le package FOSS peut être utilisé dans un logiciel qui est ensuite vendu aux clients).En particulier, les problèmes de responsabilité associés à différentes licences sont souvent mal compris.En l'absence de droit du procès pour clarifier ces questions, les idées des organismes de réglementation et du ministère de la Justice (DOJ) pourraient être utiles.De plus, Foss est de plus en plus construit sur les normes technologiques.Ils sont souvent regroupés d'autres technologies brevetées créant ainsi une norme précieuse qui est soumise aux frais de licence payables aux titulaires de brevets.Cependant, malgré la création de la valeur des FOS pour la norme, cette valeur est capturée par les détenteurs de brevets.Ainsi, les réglementations liées à l'interaction entre FOSS et les brevets en normes nécessitent des clarifications par des parties prenantes clés comme le NIST.Enfin, à mesure que les sociétés contribuent de plus en plus aux préoccupations FOSS, antitrust et collusion peuvent survenir.Par exemple, si deux concurrents contribuent au même projet FOSS, y a-t-il des préoccupations anticoncurrentielles auxquelles les deux sociétés sont exposées?La réponse dans certaines situations peut être oui, mais les réglementations actuelles nécessitent des éclaircissements d'organismes de réglementation comme la Federal Trade Commission et la division antitrust du DOJ.Dans mon large programme de recherche, je soutiens que dans de nombreux contextes, il peut être optimal - pour les entreprises et les consommateurs - pour permettre aux concurrents de «collaborer sur le noyau et de rivaliser sur les bords», mais il y a un manque de consensus sur l'endroit où la ligneEntre une telle collaboration et un comportement anticoncurrentiel se trouve.
4.Sécuriser l'écosystème des fosses
La quatrième, mais tout aussi importante, le domaine des recommandations de politiques FOSS est axé sur la sécurisation des FOS existants et futurs, pour s'assurer qu'il peut continuer à jouer un rôle de plus en plus critique dans l'économie.Comme mentionné ci-dessus, car Foss est plus profondément intégré dans la vie quotidienne, des problèmes de sécurité comme la vulnérabilité Log4Shell peuvent présenter un risque plus important pour le fonctionnement en douceur continu de l'économie construite sur Foss.Cependant, contrairement aux entreprises bien structurées (et bien financées) qui développent des logiciels propriétaires, la sécurité dans FOSS est soit une réflexion après coup, soit pas pensée du tout.En effet, nos recherches ont montré que la plupart des contributeurs FOSS souhaitent se concentrer sur l'ajout de nouvelles fonctionnalités, plutôt que de réaliser des audits de sécurité ou de traiter les vulnérabilités.Par conséquent, en plus et en s'appuyant sur, les recommandations politiques ci-dessus sont trois recommandations directement liées à la sécurité.Surtout, les efforts de sécurité seraient un domaine particulièrement mûr pour la collaboration internationale, car une sécurité améliorée est bénéfique pour tous les utilisateurs FOSS.
a) SBOMS pour le secteur privé
Actuellement, les SBOM (factures de matériaux logicielles mentionnées ci-dessus) ne sont requises que pour les logiciels achetés par le gouvernement fédéral.Cependant, il pourrait y avoir beaucoup d'avantages pour exiger également de telles listes d'ingrédients numériques pour les achats de logiciels du secteur privé également.L'un des problèmes de vulnérabilités comme Log4Shell est que de nombreuses entreprises (et particuliers) étaient incertaines si elles étaient vulnérables au problème parce qu'elles ne savaient pas si le composant Log4J vulnérable était inclus dans les appareils logiciels et Internet des choses qu'ils avaient achetés.Par exemple, bien qu'il ait été largement compris que les logiciels de production utilisés dans des entreprises comme Apple, Google, Amazon, Twitter et Tesla comprenaient des versions vulnérables de Log4J, leurs clients étaient dans l'obscurité en raison du manque de SBOM précis.Avec une vue plus claire sur le logiciel cuit dans le logiciel qu'ils ont acheté, les clients et les consommateurs seraient en mesure de savoir immédiatement s'ils étaient vulnérables à de tels problèmes de sécurité.Il est important de noter que de telles informations seraient particulièrement utiles dans le contexte du «droit de réparation», qui a été promu dans le cadre du décret exécutif de l'année dernière, de sorte que les entreprises seraient en mesure de passer à une version corrigée d'un composant logiciel vulnérable.
Bien que ce soit un mandat de grande envergure pour les entreprises privées, la priorité pour une telle réglementation peut être trouvée dans les efforts de la Food and Drug Administration nécessitant une liste d'ingrédients sur la plupart des étiquettes alimentaires.Bien que les logiciels ne soient pas aussi fondamentaux pour la vie quotidienne que la nourriture, son rôle de plus en plus important justifie l'augmentation.Une telle réglementation pourrait être gérée par le biais des bureaux existants de la National Telecommunications and Information Administration du ministère du Commerce ou de la Federal Communications Commission.
b) Fonds le support de sécurité pour les projets FOSS critiques
Compte tenu de la nature des foss comme un bien public (comme les routes et les ponts), cela n'a de sens que pour le u.S.Le gouvernement investit dans sa sécurité pour garantir que l'infrastructure numérique de l'économie moderne est stable, permettant aux entreprises et aux particuliers de continuer à s'appuyer sur cela comme ils l'ont fait pendant des décennies.En particulier, les investissements dans des audits de sécurité (et la fourniture de ressources pour résoudre les problèmes identifiés dans ces audits), les ressources éducatives et mentorat pour les petits projets FOSS, et la mesure et la publication standardisés des pratiques de sécurité entraîneraient probablement des rendements élevés sur l'investissement.Les résultats des politiques ci-dessus liées à la mesure et à la compréhension de l'écosystème FOSS pourraient être utilisés pour hiérarchiser et cibler ces investissements pour augmenter leur impact immédiat. Further, efforts related toCode.GOV pourrait conduire à une meilleure compréhension du FOSS critique sur lequel le gouvernement fédéral s'appuie et pourrait également être utilisé pour la hiérarchisation des investissements.Surtout, ces efforts ne partent pas de zéro car l'OpenSSF et d'autres ont mis le terrain pour ces actions à travers leurs programmes d'audit, d'éducation et de badge.
c) Partenariats public-privé pour la sécurité des fosses
Comme mentionné ci-dessus, en réponse à la vulnérabilité Log4Shell, le NSC de la Maison Blanche a parrainé une réunion multipartite, y compris des représentants du gouvernement, du secteur privé et des organisations FOSS à but non lucratif.Bien qu'il soit trop tôt pour dire ce qui allait arriver de cet effort, c'était une première étape essentielle pour ajouter une couche de coordination à un problème notoirement décentralisé.Bien qu'il y ait eu des partenariats public-privé liés à la cybersécurité auparavant (notamment le Federal Bureau of Investigation Infragard et les partenariats du secteur des infrastructures critiques du DHS), ceux-ci ont tendance à se concentrer sur le partage d'informations.Les efforts s'appuyant sur la réunion du NSC doivent inclure l'accent mis sur l'action collective et l'investissement dans la sécurisation FOSS par les principales parties prenantes dans les secteurs.
Conclusion
Bien que ces propositions ne soient pas une panacée pour les défis auxquels sont confrontés l'écosystème FOSS, ce sont des étapes critiques pour assurer la santé et la croissance d'un élément de construction indispensable de l'économie moderne.Tout comme les routes et les ponts ne sont utiles que s'il ne vaut que quelque part voyager, les futures discussions sur les infrastructures numériques doivent aller au-delà uniquement de la disponibilité du haut débit et doivent inclure un accent sur le FOSS qui sous-tend l'économie numérique sur laquelle nous comptons tous les jours.En mesurant et en comprenant l'écosystème FOSS, en améliorant son impact économique positif et en le sécurisant avec les recommandations politiques ci-dessus, nous pouvons aider à ouvrir la voie à un u.S.économie plus innovante, plus compétitive et plus résiliente que jamais.
La recherche de l'auteur est partiellement financée par la Fondation Linux.L'auteur n'a reçu pas le soutien financier d'une entreprise ou d'une personne pour cet article ou, autre que celle susmentionnée, d'une entreprise ou d'une personne ayant un intérêt financier ou politique dans cet article.Ils ne sont actuellement pas un officier, un administrateur ou un membre du conseil d'administration de toute organisation intéressée par cet article.