A pesar del creciente enfoque en la seguridad del software de código abierto, la mayoría de los mantenedores siguen trabajando de manera gratuita.
Un reciente informe publicado por la firma Tidelift ha revelado que el 60% de los mantenedores de proyectos de código abierto no recibe ninguna remuneración por su trabajo, lo que plantea preocupaciones sobre la sostenibilidad de este ecosistema. Esta encuesta, realizada a más de 400 mantenedores a mediados de 2024, destaca la precaria situación en la que se encuentran muchos de estos profesionales, a pesar de la creciente presión por mejorar la seguridad y estabilidad del software de código abierto.
Según el informe, un 44% de los mantenedores se identificaron como aficionados no remunerados que agradecerían recibir un pago por su labor, mientras que otro 16% afirmó ser aficionados no remunerados que prefieren no cobrar. Solo el 12% de los encuestados declaró que su principal fuente de ingresos proviene del mantenimiento de proyectos de código abierto, mientras que el 24% gana algún dinero de manera semiprofesional.
Precariedad y presión ante problemas de seguridad
A pesar de la creciente relevancia de la seguridad en el software de código abierto, los mantenedores que no perciben ingresos enfrentan mayores desafíos para sostener sus proyectos. La falta de recursos limita las posibilidades de implementar mejoras en la seguridad, lo que es preocupante en un contexto donde incidentes como el ataque a las utilidades XZ han puesto de manifiesto la vulnerabilidad de la cadena de suministro de software.
El informe señala que el 61% de los mantenedores no remunerados trabaja en solitario, mientras que aquellos que perciben algún tipo de pago suelen tener compañeros de equipo con quienes repartir la carga de trabajo. En contraste, el 53% de los mantenedores remunerados trabaja con al menos dos personas, lo que les permite abordar de manera más eficaz las tareas de mantenimiento y seguridad.
Diferencias en las prioridades de trabajo
Uno de los hallazgos más notables del informe es cómo los mantenedores remunerados y no remunerados distribuyen su tiempo en diferentes tareas. Mientras que los no remunerados tienden a centrarse en la creación de nuevas características para sus proyectos, los mantenedores que reciben algún tipo de compensación dedican más tiempo a aspectos como la seguridad, el mantenimiento diario y la búsqueda de patrocinadores o apoyos económicos.
Las prácticas de seguridad implementadas por los mantenedores también muestran una diferencia clara. La autenticación en dos factores es la medida más común en ambos casos, pero los mantenedores remunerados son más propensos a utilizar herramientas avanzadas como el análisis de código estático y a desarrollar planes de divulgación de vulnerabilidades.
Más pago, más dedicación
El informe también confirma lo que parece una obviedad: cuanto más se paga a los mantenedores, más tiempo dedican a sus proyectos. El 82% de los mantenedores profesionales que dependen de sus ingresos por el código abierto invierte más de 20 horas semanales en su labor, mientras que el 78% de los mantenedores no remunerados dedica diez horas o menos a la semana.
Además, los mantenedores profesionales tienen más recursos para trabajar en la corrección de vulnerabilidades y en la implementación de nuevas características, lo que garantiza un desarrollo más robusto y seguro de los proyectos. Según el informe, el 64% de los mantenedores profesionales puede priorizar la corrección de vulnerabilidades, en comparación con el 36% de los semiprofesionales.
El dilema de la compensación financiera en el código abierto
Una de las conclusiones más interesantes del informe es que los mantenedores prefieren recibir ingresos recurrentes, en lugar de pagos puntuales. El 81% de los encuestados prefiere tener ingresos predecibles mes a mes, lo que les permite planificar mejor su trabajo y asegurar la continuidad de los proyectos a largo plazo. Esta preferencia subraya la importancia de proporcionar un flujo de ingresos constante para mantener la calidad y seguridad del software de código abierto.
Gary Gregory, co-mantenedor de proyectos de alto perfil como Apache Commons y Log4j, destacó que los ingresos recurrentes le brindan seguridad y la capacidad de planificar sus esfuerzos a futuro. «Tener un ingreso recurrente te permite seguir adelante con el trabajo y no sentir que estás perdiendo el tiempo», comentó Gregory, enfatizando la diferencia entre recibir una subvención puntual y contar con una fuente de ingresos constante.
Conclusión: una sostenibilidad en riesgo
El informe de Tidelift pone de relieve la fragilidad del modelo de mantenimiento de proyectos de código abierto, donde muchos profesionales no reciben compensación económica adecuada por su trabajo. En un momento en que la seguridad del software está en el centro de atención de gobiernos y organizaciones, es esencial replantear cómo se apoya a estos mantenedores, cuya labor es crucial para el ecosistema tecnológico global.
Si bien algunos proyectos logran atraer patrocinadores o fuentes de ingresos, la mayoría sigue operando bajo un modelo de voluntariado que no es sostenible a largo plazo. Con incidentes de seguridad en aumento, como el hackeo a las utilidades XZ, queda claro que se necesitan nuevos enfoques para garantizar que los mantenedores tengan los recursos necesarios para seguir desarrollando y asegurando los proyectos de código abierto que tantas empresas y usuarios dependen a diario.
