Инициатива GitHub по привлечению ЕС к финансированию открытого ПО

Например используя тот же гитхаб и т.п.

Только среди выложенных открытых проектов. Что там твориться в закрытых решениях и внутреннем софте организаций одному богу известно.

Ну и при чём тут анонимость?

Сейчас каждый может выкладывать анонимно проекты в сети и модерировать это невозможно. Если крупные, типа openssh, более-менее под прицелом (хотя и там эпичный прокол был), то дохреналлионы мелких пролетают мимо радаров. При этом ты можешь даже утянуть проект какого-нибудь порядочного человека, а тебе по цепочке подтянется неизвестная дичь из его пары сотен зависимостей, в которые он и не вникал сам.

Эти две вещи приводят к ситуации, что невозможно проанализировать и предотвратить связанные с распространением СПО риски, которые дай бог не кратно растут с каждым годом. И вопрос тут с какого конца это начнут регулировать, с СПО, или с к использующих его коммерческих решений. Инициатива по финансированию «проблемного спо» склоняет начать регулирование с его стороны.

Только среди выложенных открытых проектов. Что там твориться в закрытых решениях и внутреннем софте организаций одному богу известно.

Помимо непосредственных зависимостей ещё есть статистика скачиваний, активность багрепортов, обсуждений - на это влияет также и популярность в закрытых проектах. Ну и необязательно подсчитывать все использования, точности плюс-минус лапоть вполне достаточно для принятия решения, что эти вот проекты надо поддержать. Так что эта проблема вполне решаемая.

Эти две вещи приводят к ситуации, что невозможно проанализировать и предотвратить связанные с распространением СПО риски.

С одной стороны, если кто-то тянет в зависимости проекты-однодневки, без какого-либо анализа их перспектив, то он сам виноват, при чём тут проекты-однодневки? Наказывать за это проекты-однодневки глупо и ничего не даст.

С другой стороны, если человек забрасывает перспективный и мегапопулярный проект СПО, от которого зависят сотни тысяч проектов, то причина наверное в том что у него банально нет времени/денег и т.п. на то чтобы этим заниматься. В таких ситуациях финансирование может очень помочь разными способами, как помогая непосредственно разработчику, так и поощряя работу других разработчиков над этим проектом.

Иногда у разработчика нет компетенции в определённой сфере, например безопасности, тут тоже может помочь финансирование, которое позволит провести аудит безопасности оплаченный из фонда.

Поможет ли такой подход улучшить ситуацию с заброшенными критически важными популярными проектами? Однозначно да.

Поможет ли такой подход проанализировать и предотвратить связанные с распространением СПО риски? Да, однозначно поможет.

Может ли такой подход навредить развитию СПО? Нет, никак не может.

Давай теперь ещё посмотрим на анонимность. У каждого проекта есть владельцы. Практически исключена ситуация, когда кто-то произвольный может внести изменения в проект без ведома хозяев проекта. Твоё видение, когда, как ты пишешь «каждый может выкладывать анонимно проекты в сети и модерировать это невозможно» существенно искажает состояние дел. На самом деле и разработчики и проекты не анонимны и имеют свою историю и репутацию. Проекты и разработчики с высокой репутацией получают большее доверие у других разработчиков и с большей вероятностью их работа станет популярной и будет использована в других проектах. Те разработчики и проекты, которые так или иначе подводят те проекты, которые от них зависят, теряют свою репутацию и популярность. То есть самомодерирование есть и оно работает достаточно хорошо. Даст ли что-то обязательная регистрация по паспорту? Едва ли. Навредит ли это развитию СПО и отрасли в целом? Скорее да, чем нет. Но этого ведь никто и не предлагает, это просто то что ты придумал.

Помимо непосредственных зависимостей ещё есть статистика скачиваний, активность багрепортов, обсуждений - на это влияет также и популярность в закрытых проектах.

Вот ты уже обрисовываешь требования для агрегаторов, собирать и отдавать статистику. Начнёт ЕС, захотят и другие. В этом плане интересы государств совпадают, но есть нюанс - они часто хотят иметь возможность и что-бы другие её не имели.

Ну и необязательно подсчитывать все использования, точности плюс-минус лапоть вполне достаточно для принятия решения, что эти вот проекты надо поддержать.

Популярность еще ни о чём не говорит. Надо знать что и где используется и где вливания будут эффективны. А с подходом как в инициативе - практически нигде, так как затронутые проблемы там не из-за отсутствия финансирования.

Наказывать за это проекты-однодневки глупо и ничего не даст.

Я это и не предлагаю, только описываю сложность проблемы. Зависимости бездумно тянут и будут тянуть еще больше, рыночек давит.

С другой стороны, если человек забрасывает перспективный и мегапопулярный проект СПО, от которого зависят сотни тысяч проектов, то причина наверное в том что у него банально нет времени/денег и т.п. на то чтобы этим заниматься. Популярность проекта - больше требований от пользователей, пулреквестов от других разработчиков, больше негативной социалочки и многим оно нафиг не надо даже за деньги.

Причины могут быть разные. У него может окончательно отказать менталочка, он мог потерять интерес или он мог устроится на высокооплачиваемую работу и у него нет времени на СПО. Одно дело поделиться своей работой, другое дело взвалить на себя задачу руководителя проектом.

Поможет ли такой подход улучшить ситуацию с заброшенными критически важными популярными проектами? Однозначно да.

Нет, так как проблема хоть и связана порой с финансами, но не с отсутствием гос. подачек. Что с ними, что без них, невозможно нормально жить чисто с разработки СПО.

На самом деле и разработчики и проекты не анонимны и имеют свою историю и репутацию.

Даже в крупные проекты типа линукса, кде, openssh люди добавляют код анонимно. Да, глаза всего мира на них и всякую дичь просто так туда не просунуть. Но и тут проскакивают моменты типа ситуации с liblzma, когда бэкдор от призрачного человека почти дошел до массы конечных пользователей. И это в СПО, которое пристально просматривается на подобные вещи. Отойди чуть дальше и там норма брать проекты и патчи от всяких жоподралов4000.

Проекты и разработчики с высокой репутацией получают большее доверие у других разработчиков и с большей вероятностью их работа станет популярной и будет использована в других проектах.

Хорошо бы было, если бы было правдой. Чаще всего принцип включения библиотек идет по принципу - добавил, использовал функцию, получил ожидаемый результат, оставил. Затем этот проект утянул кто-нибудь другой и образуется цепочка из зависимостей. Сегодня это сотни зависимостей в проектах и среднестатистический разработчик их не контролирует.

Но этого ведь никто и не предлагает, это просто то что ты придумал.

Я описал наиболее вероятный сценарий развития событий. А tldr вариант инициативы просто звучит так «у СПО проблемы, это создаёт угрозу для экономики, государство дай денег, само разберитесь кому и зачем, но без типичной для гос. финансирования бюрократии и политической подоплёки».

Вот ты уже обрисовываешь требования для агрегаторов, собирать и отдавать статистику. Начнёт ЕС, захотят и другие. В этом плане интересы государств совпадают, но есть нюанс - они часто хотят иметь возможность и что-бы другие её не имели.

Они и нас посчитали! ;) Как-то ты слишком на воду дуешь, видать обжёгся на молоке. Статистика по СПО это очень хорошо и полезно, единственное, я обязал бы выкладывать её в открытый доступ. Её как раз слишком мало и не хватает, на это тоже пригодится финансирование.

многим оно нафиг не надо даже за деньги

деньги можно потратить не только на мотивацию автора, можно тупо нанять других людей, которые помогут ему справляться с нагрузкой.

добавил, использовал функцию, получил ожидаемый результат, оставил

С таким подходом основная опасность исходит не от зависимостей. У такого разработчика зависимости скорее будут лучшей частью его проекта. :)