7min Devops

‘Regelgeving maakt ontwikkelen minder leuk, maar onzekerheid is nog erger’

Meerderheid open source-developers weet niet hoe wetgeving hen raakt

‘Regelgeving maakt ontwikkelen minder leuk, maar onzekerheid is nog erger’

De acceptatie van open-source zit in de lift, blijkt uit onderzoek van de Linux Foundation. Maar uit hetzelfde onderzoek blijkt dat veel developers geen idee hebben over wat nieuwe Europese wetgeving van hen vraagt. Onwetendheid en gebrek aan strategie zit de uitrol van open-source in de weg, net als het aloude tijdgebrek.

Mirko Boehm is er stiekem een beetje trots op dat hij enige invloed heeft uitgeoefend op een formulering in de aankomende Cyber Resilience Act van de Europese Commissie. In dat tientallen pagina’s tellende document bleek nogal een cru onderscheid te zijn gemaakt tussen ‘commerciële’ en ‘niet-commerciële’ software. Waarbij open-source zogezegd niet-commercieel zou zijn. “Dat is natuurlijk niet zo”, stelt Boehm tijdens een gesprek met ons op de Open Source Summit in Wenen vorige week.

“Open-source kan prima commercieel zijn, gemaakt of gebruikt door commerciële partijen”, zegt hij. “De verwoording die wij zagen in vroege versies van de Cyber Resilience Act (CRA) maakte dat echter niet zo duidelijk. Daarin leek het alsof open-source per definitie commercieel gebruik uitsluit. Terwijl het genuanceerder ligt. Open-source kan bij uitstek de publieke zaak dienen, maar het kan net zo goed onderdeel zijn van een commercieel product of dienstverlening”.

Eén woord maakt verschil

Het duurt even voordat Boehm, onderzoeker maar ook Senior Director Community Development voor de Linux Foundation (je zou ‘m een beetje onaardig een lobbyist kunnen noemen), de wetgeving heeft doorgeploegd, maar dan heeft hij gevonden wat hij zocht: in hoofdstuk 2 van de CRA spreekt de tekst over de verplichtingen van ‘manufacturers’.

Verwachtingsvol kijkt hij ons aan, we kijken niet-begrijpend terug.

“Dit is de eerste keer dat een dergelijke tekst spreekt over makers van software (‘manufacturers’) en de beheerders (‘stewards’) ervan! Waarmee is afgerekend met het oneigenlijke onderscheid tussen commerciële bedrijven en makers van open-source software, alsof die twee onverenigbaar zijn met elkaar.”

Kijk, dat verheldert. Het lijkt een minuscule aanpassing, maar het is voor de Linux Foundation, samen met het betrokken OpenForum Europe en nog enkele andere open-source-belangengroepen een belangrijke overwinning dat ze dit detail in Europese wetgeving hebben weten te krijgen. Niet uitgelegd in een voetnoot, maar als titel van een hoofdstuk. Alsof het de normaalste zaak van de wereld is. En dat is ook zo, vinden Boehm en de zijnen. Of zou het in elk geval moéten zijn.

Onwetendheid en onbekendheid in relatie tot open-source zijn sowieso de draken waar Boehm tegen strijdt. Hij is één van de auteurs van het rapport Open Source Maturity in Europe, een jaarlijks terugkerend onderzoek naar precies datgene wat op de voorkant staat: hoe hangt de vlag ervoor wat betreft de volwassenheid van open-source in Europa? Het is onderdeel van de wereldwijde survey World of Open Source en bestaat uit kwantitatieve vragenlijsten en een select aantal kwalitatieve interviews.

Strategie ontbreekt vaak

Het slechte nieuws eerst: tot grote spijt van Boehm heeft 70 procent van de (semi-)overheidsorganisaties geen heldere open-source-strategie, en 83 procent van de hogere onderwijsinstellingen evenmin. Dat terwijl volgens hetzelfde onderzoek dit nou juist de domeinen zijn waar open-source het meeste verschil kan maken, naast de IT-sector. Verder heeft meer dan de helft van de ondervraagden geen idee hoe wetgeving als de Cyber Resilience Act van invloed gaat zijn op de werkzaamheden, juist waar het de omgang met open-source aangaat.

“We kregen te horen: ‘We snappen het niet’. Dat is begrijpelijk, want ook ik heb heel wat tijd moeten besteden aan het doorpluizen van wetgeving. Maar wat betreft de Cyber Resilience Act kan ik zeggen: het is echt te begrijpen. Datzelfde kan ik niet zeggen over de AI Act. (Die overigens op 1 augustus van dit jaar van kracht ging en waarvan de handhaving in fases wordt uitgerold -Red.) Daar zitten nog zoveel onduidelijkheden aan, vooral omdat de mogelijkheden van AI nog zulk onontgonnen terrein zijn.” In het onderzoek staat dat de precieze definitie van ‘open-source AI’ tot ‘strong disagreements’ leidt, stevige meningsverschillen dus.

Onzekerheid werkt als een rem

“Hoe bereid je je in zo’n context voor op een toekomst die niet te voorspellen is?”, vervolgt Boehm. “Dergelijke onduidelijkheden zijn niet goed voor het ontwikkelklimaat. Voor je het weet ontwikkel je iets wat je later weer moet schrappen, of helemaal moet aanpassen. Dat zijn wel geluiden die tijdens het onderzoek naar boven kwamen.”

Hoewel onzekerheid over wetgeving een rem kan zetten op (open-source) software development, is het niet gezegd dat duidelijke regels het plezier automatisch aanwakkeren. “Regulering maakt het minder leuk. De open-source-gemeenschap is doorgaans wars van beperkende regels en voelt zich vaak het beste als grassroots-beweging die onder de radar blijft.”

Boehm bevindt zich dan ook in de precaire positie dat hij enerzijds de voordelen van open-source in het gezichtsveld van beleidsmakers wil zetten, maar anderzijds te maken heeft met een achterban die mort over stringente wetgeving die mogelijk de creativiteit beknot. Nu open-source zich een steeds duidelijker positie verwerft in wetgeving –eigenlijk een overwinning voor de community–, bestaat dan niet het gevaar dat allerlei bureaucraten en politici zich gaan bemoeien met deze ongeregelde voorhoede?

Reguleren komt later

Boehm moet het antwoord schuldig blijven. Althans, ‘we zullen ons aanpassen’, is zijn ontwijkende antwoord. Dat is erg optimistisch, erkent hij. Als een ware diplomaat stelt hij dat het creatieve, ongereguleerde, horten-en-stoten proces van open-source softwareontwikkeling vooral iets is dat in de beginfase van een project speelt. Is het eenmaal volwassen geworden, dan is het tijd om een en ander te gaan documenteren en vastleggen. En dus te reguleren.

Over het algemeen schetst het onderzoek, dat sinds 2022 jaarlijks plaatsvindt, een positief beeld over de ontwikkeling en acceptatie van open-source-initiatieven in Europa. Nu bestaan de ondervraagden dan ook uit personen die zich professioneel bezig houden met open-source-software of er op z’n minst geregeld mee in aanraking komen, maar die ontwaren desgevraagd een opwaartse trend. Zo zegt 64 procent dat open source waarde toevoegt aan hun bedrijfsvoering, tegenover 59 procent in 2022, toen het onderzoek voor het eerst plaatsvond.

Publiek geld, dan ook publieke code

Uit het onderzoek blijkt verder grote steun voor het principe dat de code achter software die dankzij publieke middelen tot stand is gekomen, openbaar beschikbaar moet zijn. Van alle ondervraagden zegt 82 procent het eens te zijn met het adagium ‘public money, public code’. In voorgaande jaren is dit niet gevraagd, dus dit hoge percentage laat zich niet vergelijken.

De belangrijkste voordelen van open-source voor organisaties zijn volgens de respondenten een lagere cost of ownership, een grotere productiviteit, minder vendor-lock-in en betere softwarekwaliteit. De belangrijkste redenen om zelf bij te dragen aan open-source-projecten zijn doorgaans van persoonlijke aard, zoals de eigen ontwikkeling en fascinatie, de samenwerking opzoeken met gelijkgestemden en het krabben van een technologische ‘itch’ waar men elders geen ruimte voor voelt.

Wat betreft security denkt meer dan driekwart dat open-source oplossingen veiliger zijn dan closed-source, mede omdat iedereen de broncode kan inspecteren en kan proberen er gaten in te schieten. Ook denkt 43 procent dat AI- en machine learning-toepassingen veel baat hebben bij een open-source-aanpak, vanwege de transparantie die er inherent aan is.

Te weinig tijd en kennis

Wat het enthousiasme soms in de weg staat in algemene zin, zijn gebrek aan vaardigheden bij zichzelf of bij stakeholders, tijdgebrek om ergens écht in te duiken, gebonden zijn aan verouderde systemen en een aankoopbeleid bij de eigen organisatie dat nog steeds de voorkeur geeft aan propriëtaire software. Ook regelgeving maakt het zoals gezegd lastig, die soms is verouderd en in andere gevallen zorgt voor onduidelijkheid.

Het is vooral belangrijk dat het enthousiasme blijft, zegt Mirko Boehm. “Dat is wat open-source uiteindelijk succesvol maakt”. Juist dat enthousiasme zou weleens onder druk komen te staan nu open-source-oplossingen steeds nadrukkelijker in de spotlight staan en zelfs –met correcte formuleringen en al– in wetteksten terecht komen. Dan wordt het echt serieus. ‘Regelgeving maakt veel dingen nou eenmaal minder leuk. Maar weet je wat nog veel erger is? Niet weten waar je aan toe bent. Daarom blijven we hameren op duidelijkheid en transparantie. Dat is juist waar open-source om bekend staat.”

Lees ook: Linux Foundation en CNCF gaan de strijd verder aan met ‘patent trolls’