以下文章来源于明说开源 ,作者Randy Bias
[
明说开源 .
让一部分人先读懂开源。
](#)
本文原标题为《Avoiding a Geopolitical Open Source Apocalypse》讨论了开源社区可能面临的一个重大问题:地缘政治因素可能导致开源社区分裂成东、西两个阵营。文章呼吁开源社区超越地缘政治冲突,共同努力确保开源软件的安全性和供应链的完整性,以避免潜在的“开源末日”。
开源社区是否正面临着分裂的趋势?我最近参加了在香港举办的 CNCF:KubeCon+CloudNativeCon 中国峰会,中国演讲者和展示占据了主导地位。这在香港是预料之中的,但最引人注目的是,许多全新的开源项目主要在中国进行开发。
近年来,中国在开源世界中越来越成为重心。中国公司在如 OpenInfra 和云原生计算基金会(CNCF)等主要开源组织中也有着良好的表现。我们是否会看到开源世界出现潜在的分裂?是否会出现一个东方和西方的生态系统,它们之间仅偶尔有所交集?或者我们能否超越分歧,为共同的利益而努力?
中国进入开源领域的标志性事件可能是1999年红旗 Linux 的问世,自那时以来,中国涌现了大量的新开源项目。这些项目主要由中国开发者主导,但他们也寻求通过加入开源基金会来获得认可和建立信任。
根据 TechTarget(亚太地区)的一篇文章《中国开源的崛起》(The rise and rise of open source in China),作者 Aaron Tan 引用了 GitHub 社区副总裁 Stormy Peters 在一次活动中的主题演讲,提到“按国家划分,中国在 GitHub 上拥有第二多的开发者数量。”此外,中国现在占据了超过10%的基金会赞助。经过 Stormy Peters 的许可,我将附上她演讲中的一张幻灯片来说明这些观点:
像大多数国家一样,中国希望掌握自己的命运,因此创建了自有的 Linux 发行版,并在本土开源项目中实现了快速增长,这种情况并不令人意外,这对开源世界来说似乎是件好事。
当然,我们不能对成为开源领域的主要推动者这一愿望表示不满。西方在开源领域占据主导地位已经很长时间了,中国公司更倾向于使用主要由中国开发者编写的软件,这自然是合情合理的。
但问题就在这里:鉴于当前的地缘政治气候,西方公司会愿意采用同样的软件吗?很难想象一家大型美国金融机构会从 RHEL(红帽企业版 Linux)迁移到比如说 openEuler 或 openKylin。我们已经看到在西方国家有一种合理的趋势,那就是将华为这样的硬件公司边缘化。
感觉这只是时间问题,压力将会增大,促使人们使用主要由西方开发者开发的开源软件。同时,中国机构可能会更青睐本土的开源项目,而不是那些源自西方且由西方主导的项目。
在上述 CNCF 活动上,我的一个同事建议与一个主要在中国开发的数据库即服务(DBaaS)开源项目进行合作。然而,考虑到我们投资组合中的客户类型,我意识到向大型金融机构、政府实体、电信公司等推广这一合作将非常困难。
当我查看这家 DBaaS 公司的网站客户列表时,他们列出的所有客户都是中国的。让风险敏感的西方公司采用主要在东方编写并在东方使用的开源软件是非常困难的。也许对其他国家会有一些担忧,但这似乎不太可能成为一个问题,因为他们没有生产那么多的开源软件,也不会像中国和俄罗斯这样的国家被认为是那么大的国家安全风险。
有些人认为开源软件总体上更为安全,但真的是这样吗?真的成立吗?西方主要制作的开源软件也有自己的安全漏洞,因为它们过于依赖那些过度劳累的志愿维护者。保障开源软件的安全需要时间、精力和严谨。不幸的是,许多项目资源非常匮乏,缺乏认真查找安全风险所需的专业知识。
更重要的是,没有任何开源软件是孤立存在的。相反,任何给定的开源软件都有一个长长的依赖“供应链”,因此出现了 SBOM(软件物料清单)来验证当你采用某个软件时包含了其他什么代码。然而,这并不能保证软件的安全性。
最近,很可能是一个国家支持的行动者通过攻击其软件供应链,在 OpenSSH 中植入了一个后门。这个漏洞被悄悄地引入到一些 Linux 发行版的依赖关系中,然后被故意推广到不同的发行版中。
所有这些都是开源软件,然而根据上述 Substack 文章,如网络安全研究员、Pwnie 奖终身成就奖得主 Michał Zalewski 所说,“我们刚刚见证了我职业生涯中最大胆的信息安全事件之一。”开源软件并不因为代码可见就天然更安全;在某些方面,它可能更容易被恶意行为者利用,持续验证和保护开源软件将是未来每个人都面临的巨大挑战,无论是东方还是西方。
这就是为什么我们可能会面临一个潜在的开源末日:开源可能会分裂成东方和西方两个阵营。分裂的双方是否会彼此信任?或者我们会看到部落主义驱动一种堡垒心态,导致开源领域出现重大分裂吗?开源之所以有效,是因为它是一个公共共享空间。一旦分裂,就会形成两个开源世界,一个双方都不信任对方的世界,类似于今天我们看到的东西方之间的贸易战。这种分裂可能会减缓双方创新和采用最佳解决方案的速度。
作为一个社区,我们必须超越地缘政治冲突,推动建立一个可信的开源软件公共共享空间,包括其供应链。所有利益相关者之间必须采取接触策略。为所有参与者创建围绕保障软件供应链的共同利益和团体至关重要,但仅仅依靠独立的开源基金会是不够的。
这些机构可能是什么样的呢?首先,它们需要来自所有地理区域的领导层,就像是一个开源领域的联合国机构,平等地代表所有人。理想情况下,它不会是一个“有钱就能发言”的局面,即财务能力更强的人拥有更大的话语权。这些机构将提供保护开源供应链的最佳实践,并强制执行特定的代码库治理模型以实现安全认证。
它们将与具有代码审计和扫描能力的公共和私人机构合作,这些能力可以用于任何开源项目。它们可能会提供一种方式来验证和确认开源贡献者的身份,从而为提交提供责任归属的方法。仅仅提供最佳实践、免费工具和开发者身份验证就可以在很大程度上建立起对开源供应链的信任。
目前,我们是以项目为基础来管理代码库安全的,只要这种情况继续下去,我们都将面临风险。我们必须作为一个全球社区来保障我们的开源软件供应链安全,以避免未来的开源末日。
有段时间没更新了,我实际上很早就注意到了这篇文章,恰好昨天有个大事件,我想借此文章来聊聊开源可能面临的潜在风险。总的来说,这篇文章的分析是深刻的,它指出了中国在开源领域的崛起,以及这种崛起可能带来的挑战。作者正确地指出,开源软件的安全性并不是由其开放性保证的,而是需要持续的努力和资源来维护。这一点对于开源社区来说是一个重要的提醒,即开源并不意味着可以忽视安全问题。文章的结论是建设性的,其呼吁建立一个全球性的开源软件供应链安全策略,以及一个类似于开源领域的“联合国”。这是一个大胆的想法,旨在促进全球合作,确保开源软件的安全性和可信赖性。然而,实现这一目标毫无疑问需要克服重大的政治和文化障碍,这将是开源社区面临的一个挑战。
未来开源世界会如何发展呢?欢迎读者交流自己的看法~
作者|Randy Bias
编辑丨李楠
相关阅读 | Related Reading
世界开源发展史
开源社简介
开源社(英文名称为“KAIYUANSHE”)成立于 2014 年,是由志愿贡献于开源事业的个人志愿者,依 “贡献、共识、共治” 原则所组成的开源社区。开源社始终维持 “厂商中立、公益、非营利” 的理念,以 “立足中国、贡献全球,推动开源成为新时代的生活方式” 为愿景,以 “开源治理、国际接轨、社区发展、项目孵化” 为使命,旨在共创健康可持续发展的开源生态体系。
开源社积极与支持开源的社区、高校、企业以及政府相关单位紧密合作,同时也是全球开源协议认证组织 - OSI 在中国的首个成员。
自2016年起连续举办中国开源年会(COSCon),持续发布《中国开源年度报告》,联合发起了“中国开源先锋榜”、“中国开源码力榜”等,在海内外产生了广泛的影响力。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。