Bug = $$ ?

Ogni tanto salta sempre fuori, nei progetti OpenSource, l'idea del sostentamento tramite bug bounty.

L'idea e' semplice, e spesso anche molto redditizia sia in termini monetari che di qualita' del codice: qualche investitore, solitamente una grossa azienda che usa il progetto in questione, si propone per versare un bounty (ossia una ricompensa) per ogni bug individuato e corretto nella codebase.

Sembra una buona idea, e in effetti lo e', ma non se il bounty serve a sostenere il progetto. In altre parole la caccia al bug (e alla ricompensa) ha senso solo se viene svolta da persone esterne al progetto.

Si immagini di usare il progetto OpenSource X, e che questo dica chiaramente che intende auto-sostenersi tramite le donazioni fatte dallo sponsor Y per ogni bug trovato nel codice. Che pubblicita' ne ricava X? Che piu' bug ci sono e piu' il progetto acquisisce moneta? E quindi puo' pagare piu' sviluppatori (o pagare meglio quelli che ha), andando quindi a ridurre i bug e quindi i soldi a disposizione? Il progetto X dovrebbe gia' fornire codice libero da bug, o impegnarsi a fondo in quello. Nessuno vuole prendere una code base piena di bug e pagare per rimuoverli.

Discorso diverso se la caccia al bug avviene da fuori al progetto: in questo caso si aumenta veramente la qualita' del codice poiche' si usano risorse esterne e quindi con una visione distaccata e capaci, se presenti, di scovare bug che il team non e' stato in grado di trovare.

Ma se il team del progetto X, che si pone come scopo quello di fornire un codice con meno bug possibili, si auto-finanzia con una caccia al bug, allora chi garantisce che qualche bug non sia stato introdotto per sopperire ad una carenza monetaria?

Insomma, i soldi sono importanti, ma lo e' molto di piu' l'etica del progetto!