郫县建设局网站,新浪微博可以做网站吗,门户网站建设公司,海会主机做的网站都能干什么的| 作者#xff1a;庄表伟| 编辑#xff1a;刘雪洁| 设计#xff1a;周颖| 责编#xff1a;王玥敏缘起之前写过一篇文章《我所理解的开源软件供应链安全》#xff0c;当时的情况#xff0c;还没有出现一些值得探讨的#xff0c;堪称紧迫的热点事件#xff0c;所以我也仅… | 作者庄表伟| 编辑刘雪洁| 设计周颖| 责编王玥敏缘起之前写过一篇文章《我所理解的开源软件供应链安全》当时的情况还没有出现一些值得探讨的堪称紧迫的热点事件所以我也仅仅是泛泛而谈到最后留了一句话「我的提议是不再提“开源供应链安全”而是提“开源生态建设”。」在最近一段时间接连出现了Log4j2事件与Marak Squires删库事件一时间大家都议论纷纷我也觉得自己有责任来更加深入的探讨一下这个方面的问题。一、时代已经发生了变化在B站上有一位著名的Up主半佛仙人发了一篇文章后来还专门录了一期视频。因为是“外行”的缘故所以会受到很多的批评与指责。其实我觉得他说得大致上都很有道理作为一位热心人士积极找程序员朋友交流尽量深入理解开源然后再发表自己看法已经非常不错了。至少半佛的一个观点我特别赞同时代已经发生了变化。我们只有意识并理解这些变化然后才谈得上“如何应对”。比尔盖茨的一封信1976年2月3日著名的微软公司的创始人发布了《致电脑爱好者的一封公开信》。这封信在开源社区估计无人不知、无人不晓。关键在于下面这段话“谁会从事专业的软件开发却分文无获。哪有业余爱好者会花费3个人年的精力去编写软件去修正软件编写使用手册却免费发放给别人使用”在很长一段时间里开源社区的人都视微软是开源的敌人而且常常喜欢拿段话出来“打脸”。现在就是有那么多人那么多技术水平高超却不求回报的人愿意花费极其惊人的时间去写软件修bug写文档。甚至还有社区运营、技术布道等等诸多工作。“你们这些资本家们无法理解的事情正在这个世界上发生着而且越来越多”。早期的黑客是一群什么人有一些事情确实很难理解。尤其是像半佛这样的人无法理解那些早期黑客的动机。因为按照“理性经济人”的假设那些黑客完全是在做一些一味付出不求回报的事情。事实上我们可以从两个角度来理解黑客的逻辑。关于回报如果我们扩展经济人假设将回报不仅仅局限于经济上的金钱的直接的回报。而是按照功利主义的定义“效用最大化”。所谓效用包括幸福、快乐、满足等等情感体验。通过获得经济收入当然是一种方式。但是社会地位的提升甚至仅仅是在社区范围内的备受尊崇也是一种方式。更有甚至仅仅是创造一个从未存在过的事物这种创造的喜悦就足以回报那些黑客的全部投入。关于未来黑客、程序员也许是最喜欢科幻小说的人群了吧。不仅仅是喜欢而且他们甚至希望能够促成某种未来的早日实现。如果自己写的代码能够帮助这样的未来早日实现如果与一群黑客一起努力能够推动这样的世界早日降临几乎每一个黑客都会愿意倾尽全力。所以简单的总结就是早期黑客们在努力推动未来早日实现的过程中已经获得了他们希望得到的回报。供求双方从合一到分离我们可以引用一段自由软件的定义“自由软件”尊重用户的自由并且尊重整个社区。粗略来讲一个软件如果是自由软件这意味着用户可以自由地运行拷贝分发学习修改并改进该软件。后来在社区里有一些不同的声音在质疑这样的定义。为什么只谈用户的自由却不谈“作者”的自由为了用户可以自由的运行拷贝分发学习修改并改进就可以不管作者的利益了吗作者为啥不能自由的定义自己的授权协议想授予就授予想收回就收回其实根源还是在于时代不同了。在自由软件甚至开源软件刚刚诞生的时候。软件的供求双方是一个紧密的整体。社区里的人既是一些软件的开发者也是另一个软件的使用者。所谓“尊重整个社区”就是这个意思。尊重整个社区的自由就是为了整个社区的利益。在早期开源与互联网几乎就是一对双生子他们一起成长互相扶持。风借火势火借风威。但是渐渐的开源社区与软件产业、互联网产业以及由互联网产业成长起来的云计算行业不再是一体的了。在这个过程中供应方发生了变化需求方也发生了变化。要想再愉快的一起玩耍就需要从新思考各自的定位了。所以下面我将从分离之后的供求双方来分析这个问题。二、从“礼物文化”到“注意力兑换”在Eric Raymond的《大教堂与集市》中有一个最经典的比喻就是礼物文化。我们引用其中的两段在礼物文化下其成员通过送出礼物而竞争社会地位。礼物文化并不是对物质稀缺的适应而是对物质充裕的适应。充裕性会使命令关系难以维持会使交换关系变成无意义的游戏。在礼物文化中社会地位并不取决于你控制了什么而是你给予了什么。礼物的价值是由礼物本身决定的我们来分析一下礼物这个比喻的内涵。一个人送出了一个礼物。人们根据这个礼物的贵重程度而“赋予”这个送礼者相应的社会地位。这意味着三个并未明确讲述的要素礼物的价值是客观存在的吗是可以被客观、准确、以公认的方式判定的吗人们注意这里的人们到底是一百个人还是一万个人这些人的数量应该会有多少他们如何达成共识所谓社会地位到底是什么尊重礼让还是某种“注目礼”开源软件的价值现在是由“价值关注度”决定的假设我们还是沿用“礼物”这个思路来看现在的开源软件我们需要如何来衡量一个人做出了多大的贡献或者说“送出了多贵重的礼物”先区分两种情况一个人独立开发出一款开源软件作为一个礼物。一个人参与一个开源项目在其中贡献了一部分“代码、文档、讨论、布道等等”首先应该是软件价值本身一个加密软件应该比一个加法软件更有价值。其次是这个软件究竟对多少人有价值一个只对一百个人有用的软件肯定不如对一百万人有用的软件那么有价值。然后就是争夺关注度的情况了一款对一百万人有用的软件现在只有一百个人知道这个软件的价值说到底也不大。现在来计算礼物的价值一个人做了一个开源软件有多少人知道这个软件而且知道是他做的而且认可他的工作。这个数量大概可以用来推算他所贡献的礼物的价值。如何将注意力兑换成其他事物自从互联网流行以后尤其是互联网上免费的商业模式流行起来以后大家都会谈一个词叫做“流量变现”。其实在开源软件领域简单的“礼物文化”也需要升级为“注意力兑换”。以前的逻辑是一个人贡献礼物 – 获得社会地位现在的逻辑是一个人贡献礼物 – 吸引了多少注意力 – 这些注意力能够兑换多少社会地位当然我们也可以将兑换这个词用来描述更多的现象。兑换内心满足有人用我就很开心兑换社会地位更高的社会评价兑换就业机会跳槽到大厂兑换风险投资有投资人看中这个开源软件兑换维护合同有企业级用户使用愿意找你维护但是所有的这些还需要一个前提注意力。如果没有足够高的关注度你啥也兑换不了。事实上早期开源那种“爱用就用别来烦我”的态度当然没有问题。但是那样不够“友好”也就会影响关注度的快速提升。无论是在社区快速响应和蔼可亲的回答问题快速修复bug其实都是一种吸引更多注意力留住更多关注度的办法。虽然这么说有些残忍但是我还是想说“Marak Squires的做法错了一款开源软件有几千万次下载并不能够自动兑换成社会地位个人收入或者其他东西”。三、供应链、责任链与利益链下面再来说说需求方的问题。现在我们常常说软件吞噬世界开源吞噬软件。但是我们为啥还会接着说云计算吞噬开源呢软件吞噬世界全世界都运行在软件之上开源吞噬软件几乎所有的软件都有开源的成分甚至完全就是开源云计算吞噬开源云计算靠开源赚到了钱但是并没有分给开源当然这里面的每一句话可能都有些问题。由开源软件的依赖关系自然形成的供应链在上一篇文章中我写了这么一段话“我们在做软件开发时通常会定义的一个依赖文件。一款软件会依赖一组其他软件包而这些软件包又会进一步的依赖某些其他的软件包。但是随着包依赖描述的不断改进我们会区分开发期Dev)依赖与执行期(Running)依赖。”在那段话里我只是希望说明“依赖不等于风险”由软件依赖关系形成的整个网络可以称之为“开源供应链”或者“开源生态”却不能简单的等同于供应链风险。但是我并没有进一步分析开源软件的供应链与一般的供应链有何区别以下一段文字要特别感谢李大维老师因为与他的交谈让我认识到这一点。传统的供应链是一级与一级之间都签了合同的。但是在软件尤其是开源软件的供应链每一级之间都有免责条款。免责条款事实上有两种免责条款。一种是大多数开源软件的授权协议里写的。比如在GPL 2.0里。·由于本程序是免费提供的所以在法律许可范围内本程序是没有担保的。除非有书面说明。本程序是“AS IS”的没有任何明示或暗示的保证比如默认的适销性、适用性这些保证都没有关于本程序的功能和性能导致的风险都由用户自己承担你单位用我作品出了事你可别想拉我当垫背的大公司都不背这锅你让我一个不挣你钱的背如果我这作品真有缺陷你自己想办法搞定你可以花钱买服务这种公司又不是没有。摘录自卫Sir的《人话版GPL 2.0协议》再比如在MIT里本软件是“按原样“提供的不附带任何明示或暗示的保证包括没有任何有关适销性、适用性、非侵权性保证以及其他保证。在任何情况下作者或版权持有人对任何权益追索、损害赔偿以及其他追责都不负任何责任。无论这些追责产生自合同、侵权还是直接或间接来自于本软件以及与本软件使用或经营有关的情形。摘录自卫Sir的《开源程序员绝望毁库跑路的背后》另一种是互联网服务的免责条款、云计算服务的免责条款、商用软件的免责条款。这里就不再摘录了因为那种法律文本往往都很长很长在你使用之前你几乎是不会去读完的。但是你肯定已经点过“确定”或者“接受”按钮了。利益断裂一方面是供应链的延续性另一方面是责任的断裂免除。于是我们就会发现一个实际存在的现象因为责任链条断裂所以利益链条也断裂了。因为事实上软件出现问题之后厂商可能损失的金额并不太高所以在平时厂商也没有任何动力投入足够的人力与预算去确保他所用到的开源软件的供应链安全。前两天听到的一个课程在介绍影响全球互联网产业的美国《通信规范法》230条款。互联网公司被免除了涉及用户生成内容的法律责任。一方面这些内容的存在不会损害互联网厂商的利益另一方面互联网厂商又可以出于“出于良善的信念”自行删除或管理这些内容。这当然大大降低了互联网厂商的法律风险与投入成本。再加上他们所用到的开源软件又是无需支付费用的。这才带来了互联网产业的高速发展与如今的繁荣。冰山现象与此同时我们还在开源社区里积极的宣传礼物文化。“充裕性会使命令关系难以维持会使交换关系变成无意义的游戏。”结果就变成了开源世界的冰火两重天一座冰山是“开源项目”海面之上看得到的开源项目只是开源世界里的极小部分海面之下的开源项目不仅重要而且是海面上的开源项目存在的基础但是海面之下的开源项目几乎没有商业价值也没有投资前景另一种冰山是“开源贡献者”海面之上的开源开发者只是开源社区里的一小部分人他们的确做出了极大的贡献也因此享受到了“礼物文化”海面之下的开发者他们的贡献甚至被忽略了社区的尊崇地位几乎与他们无关四、生态责任当我们来谈开源软件的供应链风险或者开源生态的问题时首先需要达成一个共识现在的开源生态的确存在问题而且是一个亟待解决的严重的问题。基于这一共识我们才能够来讨论在这个生态之中有哪些角色各自有什么责任开源开发者的责任大家应该都能承认开源是一种软件开发的协作方式。对于某些人来说开源甚至是一种娱乐方式。当然如果有公司愿意雇佣你写开源代码开源也是一种很不错的工作方式。但是如果你希望将开源作为自己的生活方式要么你家里有矿要么你非常擅长兑换注意力。否则难免会伤心失望。虽然我们都认为开源是一种纯个人的行为但是单纯的发泄不满。最多引发同情却未必会得到支持更是难以获取自己真正想要的结果。作为一个理性行动者知道自己想要什么也知道自己将要付出什么才是一种负责人的做法。开源使用者的责任“只要足够多的眼球关注就可让所有软件缺陷浮现。”或者说“只要有足够的测试员及共同开发者所有软件缺陷都会在很短时间内被发现而且能够很容易被解决。”这句话被称之为Linus定律。现在我想要告诉这些开源软件的使用者现在的开源软件已经越来越多了眼球已经根本不够用了。假设“开源软件没有质量问题不会给你带来安全风险完全免费拿来就可以用。”是一种完全不负责任的冒险。开源软件并不是“免费”的任何使用开源软件的企业都需要为自己的使用负责要留出预算要么找到合格的员工要么找到合格的服务商来帮你应对这些风险。开源基金会的责任一款开源软件如果出现安全风险这个开源软件的社区应该要快速解决。如果这款开源软件被捐赠给某个开源基金会那么这个基金会也有义务为这个开源软件的质量负责。为什么因为你的品牌与声望为这款开源软件背书使得更多的厂商选择了它。那么如果它内含风险你的品牌与声望就放大了这些风险。作为一个基金会你收到的捐款应该更多的投入到保障软件质量的工作中去开源布道师的责任不要只是介绍“礼物文化”不要反复的强调“Just for Fun”。不要仅仅宣传Linus眼球定律。在布道的时候还需要介绍更多的真实世界的情况。政府的责任2022年1月13日白宫就Log4j漏洞与公私实体召开了开源软件安全峰会。其中一名高级官员表示“开源软件虽然加速了创新并推动了巨大的社会和经济效益但其广泛使用且由志愿者维护的事实是重大的国家安全风险正如我们正在经历的 Log4j 漏洞事件。它并非新问题。本次峰会我们将讨论如何解决这个问题生效的解决方案是什么以及我们还能采取哪些行动来保护我们都在依赖的开源软件安全。”引用自《白宫和科技巨头在开源软件安全峰会上说了啥》在我看来各个政府应该都会有所行动才是。五、结束语这篇文章已经太长了引用一段我在《2021年中国开源年度报告》中的前言作为结尾吧。在开源还只是一个小众群体的业余爱好时几乎做任何事情都是自由的。但是在软件吞噬世界、开源吞噬软件的今天开源技术已经成为整个世界的基础设施之一。能力越大责任越大。应用越广风险越高。我们应该如何思考与保障开源供应链安全呢应该如何建设更加健康的开源生态呢在这样一种生态中各方的责任又该如何界定呢愿与诸位共同探索。相关阅读 | Related Reading全票通过数据集成平台 SeaTunnel 成功进入 Apache 孵化器承先启后 - 2021 年开源社顾问委员会年度会议圆满结束“源”来是你-Vol.27 | Apache DolphinScheduler 招聘英才开源社简介开源社成立于 2014 年是由志愿贡献于开源事业的个人成员依 “贡献、共识、共治” 原则所组成始终维持厂商中立、公益、非营利的特点是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作以 “立足中国、贡献全球” 为愿景旨在共创健康可持续发展的开源生态推动中国开源社区成为全球开源体系的积极参与及贡献者。2017 年开源社转型为完全由个人成员组成参照 ASF 等国际顶级开源基金会的治理模式运作。近七年来链接了数万名开源人集聚了上千名社区成员及志愿者、海内外数百位讲师合作了近百家赞助、媒体、社区伙伴。
