In che modo un negozio di sviluppo governativo passa allo sviluppo di soluzioni open source?

Naviga le tue risposte
5

Il nostro negozio ha identificato diversi motivi per cui sarebbe opportuno rilasciando le nostre soluzioni software alla comunità open source. Tuttavia, ci sono diverse ragioni da un punto di vista commerciale perché la conversione del nostro negozio in open source sarebbe messa in discussione. Ho bisogno dell'aiuto di chiunque sia là fuori che ha attraversato questa transizione o è nel processo. Specificamente un ente governativo.

Informazioni sul nostro negozio:  - Sviluppiamo e supportiamo applicazioni web e client per la comunità locale delle forze dell'ordine.  - NON siamo una società privata, piuttosto un'entità del settore pubblico

Alcune domande che si presentano quando abbiamo questa discussione sono:

  1. Siamo un'agenzia governativa, quindi il nostro codice non è già pubblico?
  2. Come ci proteggiamo dall'essere "hackerati" se qualcuno guarda nel nostro codice? (Ci sono ovvie risposte a questa domanda come fare in modo di non avere password hardcoded, ecc. Tuttavia, la discussione deve considerare un pubblico di dirigenti che ha molta coscienza di sicurezza.)
posta Rob Oesch 14.01.2011 - 22:56
fonte

3 risposte

3

No, temo di non sapere un governo. azienda del settore che si trasforma in open source. Anche se il posto in cui entrare potrebbe essere MITRE, dal momento che hanno una dinamica molto interessante come un luogo che sostiene i contratti governativi, fa ricerca e lavora per il bene pubblico. Se qualcuno è entrato in questa sfera, penso che sarebbe MITER.

Cose a cui penso:

  1. la proprietà del codice esistente è definita dai tuoi contratti. Dipende da come hai impostato i tuoi contratti in passato in termini di quali diritti devi rilasciare il tuo codice come open source. Non andare oltre GO, vai direttamente agli avvocati.

  2. sicurezza - ci sono due filosofie:

    • Più occhi sono e meglio è: in un vero progetto open source, non sarai l'unico contributore. In teoria, il numero di bravi ragazzi che vogliono contribuire a utilizzare il prodotto con successo supererà i cattivi che vogliono sfruttare i difetti. Se la competenza e l'abbondanza di bravi ragazzi vincono i cattivi, allora hai una buona formula per mantenere una linea di base sicura del software. Questa filosofia generale è sostenuta da molti dei grandi nomi nel settore della sicurezza.

    • Proteggi la segretezza a tutti i costi - un presupposto fondamentale che tu abbia abbastanza esperti interni che sono stati controllati dalla tua organizzazione che la tua organizzazione chiusa sconfiggerà gli hacker con genialità e dilligence. Questo non ha funzionato così bene per Microsoft, ma è la politica con cui operano numerose agenzie governative. Conosco situazioni in cui l'open source non può essere usato perché è ora pubblico e la teoria è che qualcosa che è ben noto all'hacker sarà più facile da hackerare di qualcosa che l'hacker non ha mai visto, perché lo sviluppo è stato fatto in un ambiente chiuso circuito in cui nulla è trapelato.

Non farò una chiamata di giudizio su quello. In effetti, penso che le metriche non siano apprendibili, perché credo che gli ultimi esempi del secondo percorso siano abbastanza segreti che la statica per quanto riguarda il numero di volte in cui questi sistemi segreti sono stati violati non sarà mai messa a disposizione delle masse. Quindi, come puoi confrontare open source e sviluppo segreto? Il meglio che puoi fare è confrontare lo sviluppo open source con quello privato.

Infine, la società -

Probabilmente il più importante è - è giusto per te? Se hai creato prodotti e li hai cresciuti su più clienti, il tuo passaggio all'open source sarà in qualche modo un passaggio dallo sviluppo del prodotto allo sviluppo e alla consulenza della soluzione. Ti consigliamo di prendere in considerazione entrambi i problemi tecnici, ad esempio come gestisci la base di codice se le parti esterne stanno contribuendo a cose che non vuoi necessariamente nella tua linea di base? E dovrai modificare alcuni dei tuoi modelli di business, poiché dovrai spiegare ai tuoi clienti come hai un valore, anche quando il codice è disponibile sul Web gratuitamente.

Penso che queste cose siano fattibili - ma penso che sia la cosa più importante da prendere in considerazione - vuoi avere ancora un lavoro quando hai finito, e dovrai coinvolgere tutta la tua linea di business nella creazione della soluzione.

    
risposta data 14.01.2011 - 23:42
fonte
1
  1. Dipende dal tuo paese e dal tuo governo, ma in pratica: No.
  2. Personalmente ritengo sia meglio mettere il tuo codice esposto a persone in grado di cogliere le falle di sicurezza che hai mancato e correggerle, anche se ciò significa che altri potrebbero trarne vantaggio. Alla fine della giornata avrai un codice più sicuro.
risposta data 14.01.2011 - 23:02
fonte
0

Questa non è la tua decisione di fare - è per la gestione della catena.

Devi spiegare quali sono le implicazioni e le ramificazioni dello sviluppo dell'open source, incluso "dare via la tua proprietà intellettuale". (Ingannali su qualunque cosa ti crocifiggeranno - e giustamente)

Solo se hai l'approvazione delle persone che hanno i mozziconi sulla linea se lo fai. Solitamente (soprattutto) in un'organizzazione di servizio pubblico sono anche le persone che pagano il tuo stipendio.

E assicurati di ottenere l'approvazione che hai per iscritto. E da qualcuno abbastanza in alto da avere il potere di prendere la decisione. (Lo sviluppatore più anziano nel posto accanto non è probabilmente sufficientemente autorizzato).

    
risposta data 14.01.2011 - 23:47
fonte

Leggi altre domande sui tag

Qual è la migliore pratica sull'utilizzo di git / VCS quando si esegue una riscrittura completa del codice? Test di progetti personali