本月早些时候,《开源状态会议》(State of Open Conference)称,如果*和企业不采取措施确保生态系统在未来的弹性和可持续性,尽管开源已经“获胜”,但仍有可能失败。
OpenUK首席执行官Amanda Brock在开幕式上表示,过去五到十年来,数字化和开源技术的进步提升了工程师的地位,“使他们的地位达到了能够做出决定并成为影响者的水平”。
但开源的成功,以及对其安全性的担忧,也意味着来自政策制定者的更多关注,这意味着提出了新的法律和*战略。
Brock说:“有些人担心风险负担可能会转移到哪里。”最近的《欧盟网络弹性法案》就是一个例子,人们担心它会将责任转嫁给项目的维护者和分销商。
生态系统失衡
Brock说,与此同时,生态系统也存在失衡,经常使用的组件往往由一个人或小团体维护。“这意味着维护者可能没有资源来正确、及时地更新和维护软件包,或者没有足够的资源来审查和保证代码的质量。代码也有可能无法维护。”
谷歌基础设施副总裁Eric Brewer与Brock讨论了他的开源项目“策展”模式。Brewer说:“我想说,基本上所有的开源软件都不如我们目前所信任的那样值得信赖。”
他说,有一个“根本性的”脱节,这导致了需要“策展”。
“每个人都知道开源是免费的。而免费软件让人们的工作效率大大提高……但它从字面上说,几乎每个文件都是‘按原样’使用,风险自负。”
这意味着,使用开源软件的组织,包括企业和*,可能对维护人员的责任抱有错误的期望,例如,在提供漏洞修复方面。
他的模型设想“策展人”积极发现并修复漏洞:“你可以将策展人视为将采用‘原样’软件并将其转换为受支持的软件的团队。”
他补充道,这是Canonical或红帽等公司为其服务所扮演的角色,但这只适用于一小部分开源软件。“实际上,你需要对Apache web服务器、Log4J、Spring Java库和各种东西进行管理。”
他说,策展是唯一的出路。“我认为,如果你不知道如何为安全软件找到一条通向使用者的途径,这对开源来说是一种生存威胁。而不用说,哦,志愿者应该做更多。”
如果说策展是开源可持续发展的一部分,那么另一部分就是*行动,特别是在增强安全性和弹性方面。欧盟目前正在制定其《网络弹性法案》,而英国刚刚启动了一项关于开源弹性和安全的咨询,白宫正在推进一项旨在确保软件供应链(包括开源)安全的网络战略。
白宫副国家网络总监Camille Stewart Gloster在会议上的一次小组讨论中表示:“特别是在国家网络总监办公室,我们一直非常关注如何向安全、有弹性和公平的数字生态系统发展。要做到这一点,不仅需要关注今天的事情,还需要在未来的背景下思考这些事情。我们如何建立未来的弹性?”
巨大的机会
在同一个小组讨论上,联合国政策、战略和治理司司长Salem Avan表示,开源提供了巨大的机会,特别是对发展中国家来说,可以释放创造力和创新,但法律和政策框架并不总是到位。
他说:“当我们真的开始考虑让联合国进入那种多边空间时,我认为它真的必须是区域性的。我们必须围绕具体的项目、具体的活动、具体的想法或机会建立伙伴关系,共同努力并实现。”这将包括私营部门和公共部门。
“如果我们能够达到这一目标,那么我认为我们可以开始构建需要的不同层次,以有意义的全球方式改进开源。也许从现在开始,我们可以在这些领域建立更大的动力、更大的联盟和更大的共识。”
他补充说,对许多国家来说,他们的直接关切更为发自内心,并集中于基本需求。对他们来说,开源“真的只是一个前沿。这是一个全新的东西,甚至没有那种对如何进入这一领域的理解。”
Public Digital的创始合伙人、前英国*数字执行董事兼首席数据官Mike Bracken表示,英国的技术供应链过去实际上是寡头垄断,这与开源项目背道而驰。打破这一局面是一个发出“我们的意图”的问题。
他说,开源社区必须有“面对机构的信心”,并表示“无论是安全还是作为一个行业,我们都不会受到同样的标准的评判,因为以前的寻租技术公司已经瓜分了公共部门。”