O OPA é amplamente utilizado, então você espera vê -lo funcionar – você quer ver esse trabalho. A realidade é que você pode contar com duas mãos o número de empresas de código aberto de sucesso comercial que operam em escala. Mesmo entre eles, todos tiveram perguntas sobre sua viabilidade comercial em um ponto ou outro. Ao contrário da crença popular, não há regras para o que funciona em código aberto comercial. Esse material é difícil.
A história o leva. Lá são Sucessos-Red Hat (adquirido pela IBM), elástico, manngodb, Cloudera, Mulesoft, confluente, temporal, Hashicorp (também adquirido pela IBM)-mas cada um navegou compensações estranhas em licenciamento, concorrência em nuvem ou modelos de monetização. Não existe um single “Do ISS e vence”.
Mesmo onde há financiamento, nem sempre pousa onde está o risco. Em 2022, observei que o plano de vários pontos da OpenSSF era louvável, mas o financiamento generalizado não pode atingir a realidade de que as superfícies de ataque mudam mais rapidamente que as listas de verificação. As vitórias mais duráveis vêm de padrões de proveniência, assinatura de rotina, resposta previsível e o encanamento que torna o “seguro por padrão” chato.
O que funciona e o que ainda não funciona
De volta ao NPM. Por que isso comprometeu “sair com um gemido”? Em parte porque o adversário implantou malware amador e foi pego rapidamente. Mas também há evidências de que os corrimãos do ecossistema são melhores do que há alguns anos atrás:
