Відкритий код пройшов великий шлях. Нещодавно я дивився доповідь нашого засновника Марка Шатлворта, у якій він обговорював своє бачення для Ubuntu, що включає в себе якісну підтримку та безпеку в широкому екосистемі відкритого програмного забезпечення (OSS). Це змусило мене задуматися про те, як далеко зайшла спільнота OSS. Справді, коли тепер дивитися на сучасний інтероперабельний ландшафт відкритого програмного забезпечення, фрагментований, незв’язаний ландшафт минулого виглядає, як інша планета.

Але куди рухається відкритий код далі? Що нас чекає у найближчі роки, особливо стосовно безпеки? Ось мої роздуми про стан відкритого програмного забезпечення та тенденції, які, на мою думку, вплинуть на цю галузь до 2026 року.

Стан відкритого програмного забезпечення у 2025 році

Відкритий код став невід’ємною частиною розробки програмного забезпечення – просто погляньте на цифри. Середнє застосування сьогодні містить втричі більше файлів з відкритим кодом, ніж чотири роки тому, і 97% усіх застосувань містять OSS. Водночас, дослідження, проведене Canonical та IDC, показало, що сім з десяти організацій вважають відкритий код “надзвичайно важливим” для виконання своїх критично важливих навантажень.

Простими словами, сучасний ландшафт програмного забезпечення залежить від відкритого коду. Він популярний, оскільки є трансформуючим для бізнесу, поєднуючи економічність з доступом до складного програмного забезпечення. Наприклад, одна компанія знизила свої витрати на володіння хмарою (TCO) на 76% – заощадивши приблизно 370 000 доларів – просто перейшовши на відкриту хмарну інфраструктуру від Canonical. Раніше неосяжні розгортання, такі як приватні мобільні мережі 5G рівня кар’єра, тепер цілком досяжні за допомогою інструментів з відкритим кодом, як ми продемонстрували минулого року у Нідерландах.

Вражає думати, що всього 20 років тому більшість програмних компаній прямо забороняли використання будь-якого OSS у своїх контрактах і умовах обслуговування. Відкриті стандарти та інтероперабельність – тепер синонімі відкритого програмного забезпечення – не були загальноприйнятими. Як наслідок, компанії були змушені приймати незручне рішення: використовувати один дорогий продукт, який працює, або витрачати місяці на створення та інтеграцію всього з нуля.

Ці зміни відбулися за 20 років: ціла екосистема перевернулася з ніг на голову. Тому важливо уважно стежити за тим, що відбувається навколо нас, щоб виявити тренди, які можуть виявитися такими ж революційними (або катастрофічними) і працювати навколо них, щоб ми могли продовжувати зростати в наступні 20 років.

Тепер, коли я розглянув теперішній стан справ, давайте заглянемо в потенційні технологічні революції – або виклики, які чекають нас.

Тренди цифрової безпеки відкритого програмного забезпечення та їхній вплив на кібербезпеку

Продовження сильного зростання використання відкритого програмного забезпечення

Рішення перейти від обмежень власницьких систем обґрунтоване обіцянкою: як дослідження Canonical та IDC показує, бізнеси скрізь використовують відкритий код, щоб знизити витрати, повністю володіти своєю інфраструктурою та відкривати свої системи для інновацій. Щоб ця обіцянка стала реальністю, потрібен проактивний, прогресивний підхід.

Ваша здатність приймати та адаптуватися до останніх інновацій у відкритому програмному забезпеченні буде життєво важливою. Потрібні дві речі:

1. Чіткий план для впровадження відкритого програмного забезпечення
2. Спосіб керувати ланцюгом постачання цього відкритого програмного забезпечення після впровадження

Без чіткого плану ви не знатимете, куди йдете. А без системи управління вам доведеться відновлювати складне, фрагментоване середовище, яким був відкритий код 20 років тому. Однак я вірю, що подальше розширене використання відкритого програмного забезпечення призведе до того, що інтероперабельність та спрощені ланцюги постачання стануть нормою в програмному забезпеченні. Користувачі хочуть, щоб відкритий код був швидким у встановленні, легким у навчанні та використанні, а також простим для розгортання та управління. Якщо ви шукаєте місце, з якого почати впроваджувати відкритий код у свій проект або організацію, я настійно рекомендую відвідати нашу нову спеціальну веб-сторінку, яка допоможе вам у цьому.

Нова ера цифрового суверенітету

Химерний геополітичний та кіберзагроза в 2025 році спровокували новий рух до незалежності та володіння в основних колах. Коротше кажучи, компанії не хочуть залишатися на холоді, якщо щось трапиться з їх постачальником програмного забезпечення або послуг за кордоном, і привабливість відкритого програмного забезпечення полягає в контролі і свободі, яку воно пропонує користувачам.

Найбільш примітним є те, що ми спостерігаємо значне зростання інтересу з боку бізнесу та урядів до відкритого програмного забезпечення та репатрійованих продуктів і інфраструктури. Наприклад, комунальні, муніципальні та урядові органи в таких країнах, як Німеччина та Данія, висловили сильний інтерес до переходу з власницьких систем на відкриті альтернативи.

Це не означає, що власницькі інструменти зникнуть. Але це означає, що тиск на постачальників програмного забезпечення зросте, аби впевнитися, що кожна система, яку вони використовують, залишиться онлайн і функціональною, навіть якщо нові умови обслуговування, санкції, політика чи законодавство становлять непередбачувані проблеми. Функціональні можливості продукту все ще будуть важливими, але можуть з’явитися нові норми у документації, інтероперабельності, дизайні, не прив’язаному до системи, навчанню користувачів і системних адміністраторів, а також чіткі процеси передачі.

Організаціям потрібно балансувати складність з видимістю

У 2025 році розробницький ландшафт не обмежується інструментами, бібліотеками та рішеннями. Якщо ви хочете створити програму або сервіс, ви можете створити його з нуля, отримати частини рішення з відкритого програмного забезпечення або використовувати вже готові рішення. Сучасний виклик полягає в створенні систем, які надають вам повний огляд цих інструментів та дозволяють використовувати їх безпечно та стійко в довгостроковій перспективі без значних витрат.

Безпека – це складно. Немає універсального рішення, що спричиняє складність. Розробники мають багато блискучих іграшок на вибір, і забезпечити їх безпечне управління в зручному, мінімально складному середовищі – це справжній виклик. Дійсно, безпека вашого все зростаючого стека не буде легкою справою. Уся ця нова технологія не лише покращує продуктивність та ефективність: вона також збільшує площу атаки і нові вектори атак, які виникають через складні взаємозалежності між системами.

Це ускладнюється більш широкими звичками організацій. Дослідження Canonical та IDC показують, що загалом організації цінують стабільність більше за постійні оновлення: більше 50% не автоматично оновлюються на нові версії програмного забезпечення, коли вони стають доступними, а чекають до тих пір, поки нові функції не стануть необхідними або програма безкоштовних оновлень не закінчиться. Вони також отримують ці оновлення з різних місць: 57% отримують з репозиторіїв вихідного коду, таких як GitHub або GitLab, і 51% отримують з пакетів екосистеми, таких як pip або npm.

Подібний підхід створює чіткі проблеми: якщо ви отримуєте пакети з кількох різних джерел і застосовуєте їх лише коли вас змушують оновлювати, це призведе до більшої ручної роботи і меншої впевненості в досягненні дедалі суворіших стандартів кібербезпеки на сьогоднішньому ринку.

Організаціям ще потрібно працювати, щоб впоратися з викликом складності. Наші дослідження з IDC показують, що 70% організацій вимагають виправлення вразливостей протягом 24 годин з моменту виявлення для “високих” і “критичних” вразливостей контейнерів. Однак лише 41% респондентів “дуже впевнені” або “повністю впевнені” у спроможності своїх організацій виконати цю політику.

Пам’ятайте, що інновації не лише зумовлені “добрими хлопцями”: погані актори також намагаються розробити нові методи та техніки атак, оскільки штучний інтелект стає все потужнішим, а інструменти AI стають більш пов’язаними та широко використовуваними.

… особливо у після ері вібраційного кодування

Ми всі чули та читали про вібраційне кодування, коли програміст використовує штучний інтелект для створення та налагодження коду. Хвиля гіперболізації AI призвела до швидкого впровадження генеративних інструментів AI як вражаючих підсилювачів продуктивності. Хоча привабливість швидшого виходу на ринок та покращеної ефективності витрат є незаперечною, масове використання інструментів AI у основних базах коду, особливо в середовищах із зайнятими розробниками, які працюють над кількома проектами, створює значні проблеми безпеки. Швидка, часто менш детальна генерація коду через ці інструменти може ввести вразливості та посилити існуючі проблеми безпеки в складних ланцюгах постачання програмного забезпечення.

У найближчі кілька років я прогнозую від нового категорії кіберінцидентів, що виникають через вібраційні особливості. Організації по всьому світу повинні мати чітку політику щодо використання цих інструментів та надійні перевірки і процеси забезпечення якості, щоб впевнитися, що вібраційні додатки не ігнорують інструкції або не галюцинують назви пакетів і ненавмисно не виконують шкідливий код у продуктивних середовищах.

Регулювання наближається і ускладнює ситуацію

Ми спостерігали хвилю регулювання, яка охопила США, ЄС та Великобританію за останні 4 роки. Відкритий код, якого дотримуються на найбільших рівнях програмного забезпечення, отримає суворі вимоги, пов’язані з функціонуванням на престижному світовому полі.

Наше дослідження з IDC надає чіткіший погляд на проблеми та фрустрації, з якими стикаються організації з регуляціями та відповідністю:

• 37% організацій мають труднощі у розумінні, як регуляції застосовуються до конкретних систем, технологій і складових програмного забезпечення.
• 34% борються з тим, як забезпечити дотримання стандартів відповідності в усіх програмних системах однорідно.
• 29% вважають, що важко знайти ресурси та експертів для централізованого управління відповідністю програмного забезпечення.

Якщо більше регулювання буде реалізовано та посилено, ці виклики лише ускладняться. Просте відповідність вимогам щодо відповідності або вимогам безпеки для корпоративної придатності вже не є метою – команди з безпеки мають зробити великий внесок, щоби встановити чіткий, прозорий трек рекорду життєвого циклу вашого програмного забезпечення і включити цю прозорість у ваші практики розробки.

Це означає більше роботи для таких, як я, чиє завдання – підтримувати відкритий код у надійному стані. Але це не заперечує правильного шляху. Врешті-решт, ми хочемо не тільки працюючі рішення – ми хочемо рішення, які відображають, підтримують і продовжують спадщину відкритості та внеску, яка дозволила їм існувати. І ми прагнемо, щоб Canonical став лідером у прозорості та підзвітності, а також запровадив практики, які демонструють надійність та готовність до відповідності нашого програмного забезпечення та послуг.

Підсумки

Отже: майбутнє буде характеризуватися ще більшим впровадженням відкритого програмного забезпечення, посиленням регулювання, сплеском атак на основі штучного інтелекту і критичною потребою для організацій впроваджувати надійні політики та практики безпеки. Бізнеси повинні пріоритетизувати безпеку, не йдучи на компроміс зі стабільністю, ефективно управляти своїми ланцюгами постачання відкритого програмного забезпечення та адаптуватися до ландшафту, де прозорість та відповідність мають ключове значення.

Це означає, що попереду у мене багато роботи. Та, рухаючись у цю нову фазу відкритого програмного забезпечення, я в захваті: відкритий код ніколи не був таким захоплюючим. Відкритість, яку ми будували десятиліттями, створила справді вражаючий ландшафт інтероперабельності, де ви можете поєднувати та інтегрувати практично будь-яку технологію до функціонуючої моделі. Я бачив на власні очі, як відкритий код змінив усе в програмному забезпеченні, і знаю, наскільки ще революційним він може бути в майбутні роки. Немає іншої роботи, яку б я хотів мати.