新闻中心
杏彩体育,布莱恩贝伦多夫(Brian Behlendorf):推动开源软件治理更
国际在线日,由中国软件行业协会主办的2022中国软件产业年会举行,大会以“数字经济新时代--软件产业赋能高质量发展”为主题,盛邀产业主管部门领导、两院院士、京津冀行业主管部门领导、国内外软件领域知名专家、领军企业负责人、行业组织和机构代表等业界翘楚及权威媒体,传递政策之声、洞察产业之势、研究发展之策。
今天非常感谢中国软件行业协会让我有机会和大家交流。软件早已成为每个国家社交媒体、通信系统,以及各国政府流程和金融体系的核心。软件已经嵌入每一辆车、每一个设备、甚至门把手,软件还涉及到各行各业,从重要的供应链到教育、医疗等领域,软件已经无处不在。而开源软件的兴起是软件无处不在的主要驱动力之一,也是它的关键支撑之一。在某些领域,开源软件甚至比早期的专有软件开发更早,在计算机发展的前期,大型机总可以得到源代码,而你买来的运行业务的计算机系统可以按照你的需要修改它的运行方式,目前根据估算和研究显示,大约90%的软件平台或嵌入软件应用程序的开发利用了开源软件,并且开发者在使用的同时通过改进源代码而提高了10%的价值。
那么我们就需要思考,开源软件是什么来的,它的主要驱动力是什么,开源软件治理正在不停的发展,如何推动它更快的发展,并为我们创造更多的价值。今天,我想重点谈谈两个关键的创新点,分别是开源基金会的兴起和开源战略办公室的兴起。
在1995年,一个不同类型的开源基金会成立了,这就是Apache软件基金会。我参与了这个项目,并且在初创阶段。Apache基金会创建之初的想法是,企业和个人都可以使用,无论任何使用原因,我们都应该齐心协力实现知识产权的共有和共享,以提高我们共同组织的能力。但我们每个人都应该努力,通过这些软件去赚钱或者解决问题。它主要依赖于个人与企业,他们并非正式职业,也不是一个具体的公司,来自各方的Apache软件基金会成员,都给予基金会一定的帮助,基金业也会切实帮助企业更容易使用和理解这个软件。即Linux内核的第一个版本发布10年后,一个叫Linux的标准库组织成立了,开发实验室最终发展成了Linux基金会。当时Linux操作系统开始受到大大小小的组织的关注,他们还在超级碗上投放广告,宣传他们基于Linux开发产品,促使人们开始到需要一些机构来调节代码,这可以帮助到管理使用这些代码的公司。因此,Apache率先创建了使用标准化板块控制工具,每个项目都有一张标志许可证和一组标准。
Linux基金会在早期,主要专注于如何构建Linux内核,开发人员将使用什么样的系统,以及组织如何实际管理内核和管理上万的代码贡献者。然后,在第二个阶段,则主要关注如何管理Linux,如何确保众多公司可以在平等的基础上,使用这些代码来开发产品和服务。随后,所有这样的企业又可以相互竞争。Linux基金会发现了这一点,它发现了如何建立一个企业支持模型,为一个中心办公室提供资金杏彩体育,帮助管理协调营销方和开发者的关系。而且提供了协作机构、构建工具和围绕Linux操作系统的所有安全服务。
这是一个重大进步,随着时间的推移,大约在2006、2007年,Linux基金会意识到它为Linux操作系统和Linux内核所做的事情,可以复制到其他软件领域,今天你可以看到Linux基金会支持的Linux项目的发展,重点发展的领域有5G、物联网、边缘计算和汽车软件,能源市场软件、医疗,乃至数百个其他项目,但是像Kubernetes这样的项目,则是当前全球范围内的主要项目,以及许多云原生技术都是基于它。总而言之,你可以看到数百个这样的开源项目已经编写者超过10亿行的代码,有500-1000名左右的开发人员积极参与其中,使用它的源代码并继续开发,总的来说,所有这些项目公司带头合作,共同开发软件,帮助所有公司推进他们的目标,更多实用的需求得到更好的软件,大家共同努力实现这一目标。顺便说一句,Linux基金会的成员包括华为、腾讯、阿里云、蚂蚁金服等,有更多来自于中国和亚太地区其他地区的组织和公司参与了Linux基金会的许多项目。我们可以看到,Linux基金会在确保开源代码的全球可用性方面发挥了重要的作用,我们有很多项目来自于这些公司和中国的许多其他公司以及他们的开发人员。
我认为,这类基金会发挥了关键作用帮助开源项目服务于这类基础的应用领域,对开发这些项目的企业做出回报,向政府解释了开源项目的起源以及开源软件的全球化发展方式。从某种角度上,这比任何一家公司所带来的意义都大,这是非常令人鼓舞的事情。
关于开源组织的第二部分,我想说的是开源战略办公室的兴起。开源战略办公室简称OSPO,它通常是商业组织的一部分,他们主要职责是如何协调组织使用开源代码,和贡献者贡献代码给开源社区,当然还有IBM、谷歌和微软,建立了这样的办公室,是为了能够更好地协调他们与开发社区之间的互动关系,核心软件使用的金融服务和医疗保健公司,还有很多组织都建立了开源战略办公室,通常开源战略办公室是由技术人员组成的,他们了解开源代码的风格和开发方法,通常还会来自市场营销或产品开发部门的人员加入其中,确保能够改进开发出他们确实可用的开源代码。最后还有律师,因为律师喜欢确保版权得到遵守,商标得到遵守,以及每个人回馈开源的代码都在使用的时候得到保护。这些办公室真的可以推进标准,什么类型的开源项目可以在企业内部使用,我认为这涉及到一些问题,比如哪些许可证是允许的,也许Apache许可证是允许的,但GPL不行,例如GPL3,它还可以帮助那些开发人员找出开源代码,以解决特定的问题。哪一个已经成为标准哪一个实际运行过程当中的代码,许多人去使用你开发的部分代码,你可以从开源代码上获得鼓励,或者你让很多用户成为贡献的一部分,成为主要开发人员。
我想说,其实我们在开源社区中杏彩体育,可能需要更多的代码,所以我们应该更加关注这个问题,什么是真正领先的产品和项目。我认为,需要帮助公司和开发人员以及这些公司做出这个识别,他们还可以在帮助公司选择更安全的产品方面发挥作用,我们手里的软件包,是否具有良好的历史记录?不管是公司外部还是或者内部发现软件问题,这些OSPO可以以协调、有效的方式帮助上有社区管理这些漏洞的披露,这是开源战略办公室所做的第二件事情。不仅仅是帮助控制开源代码进入企业,他们也知道公司使用开源代码所做的任何改进、任何措施的修复,任何功能的,他们努力将这些成果反馈到上游,对每个人都有帮助,它不仅可以帮助该代码的其他修复,甚至可以了解他们不知道的错误。事实上,它对每家公司都有帮助,因为当有更新版本的开源软件包时,会被自动修复,而无需进行第二次、第三次修复。这正是我今天想谈的事情,这是Linux基金会的一项重大举措,也是我领导的项目,它被称为开源基金会。这个专注于帮助整个开源社区获得更安全代码的项目,以帮助我们找到问题并更快的修复它们,以减少关键软件基础威胁类型的错误,比如去年12月发生的Log4j错误,当我们发现了这个错误时,在整个开源生态系统中修复了它们,并明确告知了所有开源社区的开发者。一个大约在两年前开始的项目,现在已经得到了一些主要组织的支持,包括华为和腾讯、阿里巴巴等,我们非常渴望围绕开源安全基金会在中国地区的发展。
与大多数开源项目不同,所提供的内容大部分都是关于如何编写更安全的开源代码,我们有一个叫做最佳实践的徽章,以确保他们遵循所有的最佳安全实践。有一个名为“安全计分卡”自动化工具,或其他任何的代码库。因此,安全计分卡是一种尝试将其自动化的方式。总的来说,OpenSSF为了帮助开源开发人员做出更明智的决定,杏彩体育平台注册比如在哪些平台上进行开发,哪些模块可以选择,帮助那些希望在不同指标上取得更好成绩的开源项目,使他们更受欢迎。帮助企业去更多地考虑开源代码。不是所有的开源软件都是一样的,不是所有的项目都以相同的方式运行,并不是所有的项目都具有相同的属性,在开发软件时要遵守规则,我们希望提供一整套工具,并且实际上确实提供的是一整套工具,来推动开源更加安全的利用,并推动一系列激励措施来改进该基准。另外一个项目的例子,它主要围绕着鉴定和能够对软件签名并通过软件供应链时可以验证它的真实性。你知道产品的开发人员,就不会受到中间人的攻击,能够对最初的开发人员到现在部署的人员的所有过程进行审核。该标准和其他标准是我们所做的工作重要组成部分,支持Sigstore的产品被称为OpenSSF,因为我们认为软件世界的大部分内容都是建立在开源社区上,这有助于真正建立一个软件行业的供应链。
所以大家来看看我们正在做什么,我们也非常看望利用这些代码帮助构建中国社区。下面我们来谈谈对中国公司和大学的一些建议。首先我认为每个大中型企业都应该设立开源战略办公室,它非常有用,能让你更富有成效的使用这些开源代码。我认为每个组织都应该要求他们的开源人员更加谨慎的重要存在的开源代码,新开发一些东西总是有力的,当你看到一个代码包只包含一些东西,就可以基于这个包继续研发,你可以利用这个包,而无需从头开始写。
如果你考虑对上游社区进行贡献修改,就去做吧,就像你使用开源代码工具,众多的代码贡献者修改它、改进它、增强它,确保它满足需求的同时,还尽可能把他们推向上游社区。无论你来自哪个行业,都建议你在那个行业做开源项目,比如汽车、医疗保健或制药,金融和其他许多行业都在Linux基金会,一家公司或是一个组织,锁住你所在领域的主要开源项目,都可以获得回报。因此,在适当的时候,你可以使用该代码来代替,避免重新开发已经成熟的东西。所以请大家到这个orgssf.org,看看开源基金会所做的工作,学习如何编写你的代码和你如何使用更为安全的代码。
非常感谢这次能有和你们交流的机会,我也期待着有一天能在中国或其他地方再次跟你们相见。谢谢大家!
(声明:所有会议实录均为现场速记整理,未经演讲者审阅,国际在线登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。)