國際在線消息:5月10日,由中國軟體行業協會主辦的2022中國軟體産業年會舉行,大會以“數字經濟新時代--軟體産業賦能高品質發展”為主題,盛邀産業主管部門領導、兩院院士、京津冀行業主管部門領導、國內外軟體領域知名專家、領軍企業負責人、行業組織和機構代表等業界翹楚及權威媒體,傳遞政策之聲、洞察産業之勢、研究發展之策。
大會現場,Apache軟體基金會創始人 布萊恩·貝倫多夫(Brian Behlendorf)致辭。
以下為實錄全文:
今天非常感謝中國軟體行業協會讓我有機會和大家交流。軟體早已成為每個國家社交媒體、通信系統,以及各國政府流程和金融體系的核心。軟體已經嵌入每一輛車、每一個設備、甚至門把手,軟體還涉及到各行各業,從重要的供應鏈到教育、醫療等領域,軟體已經無處不在。而開源軟體的興起是軟體無處不在的主要驅動力之一,也是它的關鍵支撐之一。在某些領域,開源軟體甚至比早期的專有軟體開發更早,在計算機發展的前期,大型機總可以得到源代碼,而你買來的運行業務的計算機系統可以按照你的需要修改它的運行方式,目前根據估算和研究顯示,大約90%的軟體平臺或嵌入軟體應用程式的開發利用了開源軟體,並且開發者在使用的同時通過改進源代碼而提高了10%的價值。
那麼我們就需要思考,開源軟體是什麼來的,它的主要驅動力是什麼,開源軟體治理正在不停的發展,如何推動它更快的發展,併為我們創造更多的價值。今天,我想重點談談兩個關鍵的創新點,分別是開源基金會的興起和開源戰略辦公室的興起。
在1995年,一個不同類型的開源基金會成立了,這就是Apache軟體基金會。我參與了這個項目,並且在初創階段。Apache基金會創建之初的想法是,企業和個人都可以使用,無論任何使用原因,我們都應該齊心協力實現知識産權的共有和共享,以提高我們共同組織的能力。但我們每個人都應該努力,通過這些軟體去賺錢或者解決問題。它主要依賴於個人與企業,他們並非正式職業,也不是一個具體的公司,來自各方的Apache軟體基金會成員,都給予基金會一定的幫助,基金業也會切實幫助企業更容易使用和理解這個軟體。即Linux內核的第一個版本發佈10年後,一個叫Linux的標準庫組織成立了,開發實驗室最終發展成了Linux基金會。當時Linux作業系統開始受到大大小小的組織的關注,他們還在超級碗上投放廣告,宣傳他們基於Linux開發産品,促使人們開始到需要一些機構來調節代碼,這可以幫助到管理使用這些代碼的公司。因此,Apache率先創建了使用標準化板塊控制工具,每個項目都有一張標誌許可證和一組標準。
Linux基金會在早期,主要專注于如何構建Linux內核,開發人員將使用什麼樣的系統,以及組織如何實際管理內核和管理上萬的代碼貢獻者。然後,在第二個階段,則主要關注如何管理Linux,如何確保眾多公司可以在平等的基礎上,使用這些代碼來開發産品和服務。隨後,所有這樣的企業又可以相互競爭。Linux基金會發現了這一點,它發現了如何建立一個企業支持模型,為一個中心辦公室提供資金,幫助管理協調行銷方和開發者的關係。而且提供了協作機構、構建工具和圍繞Linux作業系統的所有安全服務。
這是一個重大進步,隨著時間的推移,大約在2006、2007年,Linux基金會意識到它為Linux作業系統和Linux內核所做的事情,可以複製到其他軟體領域,今天你可以看到Linux基金會支持的Linux項目的發展,重點發展的領域有5G、物聯網、邊緣計算和汽車軟體,能源市場軟體、醫療,乃至數百個其他項目,但是像Kubernetes這樣的項目,則是當前全球範圍內的主要項目,以及許多雲原生技術都是基於它。總而言之,你可以看到數百個這樣的開源項目已經編寫者超過10億行的代碼,有500-1000名左右的開發人員積極參與其中,使用它的源代碼並繼續開發,總的來説,所有這些項目公司帶頭合作,共同開發軟體,幫助所有公司推進他們的目標,更多實用的需求得到更好的軟體,大家共同努力實現這一目標。順便説一句,Linux基金會的成員包括華為、騰訊、阿裏雲、螞蟻金服等,有更多來自於中國和亞太地區其他地區的組織和公司參與了Linux基金會的許多項目。我們可以看到,Linux基金會在確保開源代碼的全球可用性方面發揮了重要的作用,我們有很多項目來自於這些公司和中國的許多其他公司以及他們的開發人員。
我認為,這類基金會發揮了關鍵作用幫助開源項目服務於這類基礎的應用領域,對開發這些項目的企業做出回報,向政府解釋了開源項目的起源以及開源軟體的全球化發展方式。從某種角度上,這比任何一家公司所帶來的意義都大,這是非常令人鼓舞的事情。
關於開源組織的第二部分,我想説的是開源戰略辦公室的興起。開源戰略辦公室簡稱OSPO,它通常是商業組織的一部分,他們主要職責是如何協調組織使用開源代碼,和貢獻者貢獻代碼給開源社區,當然還有IBM、谷歌和微軟,建立了這樣的辦公室,是為了能夠更好地協調他們與開發社區之間的互動關係,核心軟體使用的金融服務和醫療保健公司,還有很多組織都建立了開源戰略辦公室,通常開源戰略辦公室是由技術人員組成的,他們了解開源代碼的風格和開發方法,通常還會來自市場行銷或産品開發部門的人員加入其中,確保能夠改進開發出他們確實可用的開源代碼。最後還有律師,因為律師喜歡確保版權得到遵守,商標得到遵守,以及每個人回饋開源的代碼都在使用的時候得到保護。這些辦公室真的可以推進標準,什麼類型的開源項目可以在企業內部使用,我認為這涉及到一些問題,比如哪些許可證是允許的,也許Apache許可證是允許的,但GPL不行,例如GPL3,它還可以幫助那些開發人員找出開源代碼,以解決特定的問題。哪一個已經成為標準哪一個實際運行過程當中的代碼,許多人去使用你開發的部分代碼,你可以從開源代碼上獲得鼓勵,或者你讓很多用戶成為貢獻的一部分,成為主要開發人員。
我想説,其實我們在開源社區中,可能需要更多的代碼,所以我們應該更加關注這個問題,什麼是真正領先的産品和項目。我認為,需要幫助公司和開發人員以及這些公司做出這個識別,他們還可以在幫助公司選擇更安全的産品方面發揮作用,我們手裏的套裝軟體,是否具有良好的歷史記錄?不管是公司外部還是或者內部發現軟體問題,這些OSPO可以以協調、有效的方式幫助上有社區管理這些漏洞的披露,這是開源戰略辦公室所做的第二件事情。不僅僅是幫助控制開源代碼進入企業,他們也知道公司使用開源代碼所做的任何改進、任何措施的修復,任何功能的,他們努力將這些成果反饋到上游,對每個人都有幫助,它不僅可以幫助該代碼的其他修復,甚至可以了解他們不知道的錯誤。事實上,它對每家公司都有幫助,因為當有更新版本的開源套裝軟體時,會被自動修復,而無需進行第二次、第三次修復。這正是我今天想談的事情,這是Linux基金會的一項重大舉措,也是我領導的項目,它被稱為開源基金會。這個專注于幫助整個開源社區獲得更安全代碼的項目,以幫助我們找到問題並更快的修復它們,以減少關鍵軟體基礎威脅類型的錯誤,比如去年12月發生的Log4j錯誤,當我們發現了這個錯誤時,在整個開源生態系統中修復了它們,並明確告知了所有開源社區的開發者。一個大約在兩年前開始的項目,現在已經得到了一些主要組織的支持,包括華為和騰訊、阿裡巴巴等,我們非常渴望圍繞開源安全基金會在中國地區的發展。
與大多數開源項目不同,所提供的內容大部分都是關於如何編寫更安全的開源代碼,我們有一個叫做最佳實踐的徽章,以確保他們遵循所有的最佳安全實踐。有一個名為“安全計分卡”自動化工具,或其他任何的代碼庫。因此,安全計分卡是一種嘗試將其自動化的方式。總的來説,OpenSSF為了幫助開源開發人員做出更明智的決定,比如在哪些平臺上進行開發,哪些模組可以選擇,幫助那些希望在不同指標上取得更好成績的開源項目,使他們更受歡迎。幫助企業去更多地考慮開源代碼。不是所有的開源軟體都是一樣的,不是所有的項目都以相同的方式運行,並不是所有的項目都具有相同的屬性,在開發軟體時要遵守規則,我們希望提供一整套工具,並且實際上確實提供的是一整套工具,來推動開源更加安全的利用,並推動一系列激勵措施來改進該基準。另外一個項目的例子,它主要圍繞著鑒定和能夠對軟體簽名並通過軟體供應鏈時可以驗證它的真實性。你知道産品的開發人員,就不會受到中間人的攻擊,能夠對最初的開發人員到現在部署的人員的所有過程進行審核。該標準和其他標準是我們所做的工作重要組成部分,支持Sigstore的産品被稱為OpenSSF,因為我們認為軟體世界的大部分內容都是建立在開源社區上,這有助於真正建立一個軟體行業的供應鏈。
所以大家來看看OpenSSF.org,我們正在做什麼,我們也非常看望利用這些代碼幫助構建中國社區。下面我們來談談對中國公司和大學的一些建議。首先我認為每個大中型企業都應該設立開源戰略辦公室,它非常有用,能讓你更富有成效的使用這些開源代碼。我認為每個組織都應該要求他們的開源人員更加謹慎的重要存在的開源代碼,新開發一些東西總是有誘惑力的,當你看到一個代碼包只包含一些東西,就可以基於這個包繼續研發,你可以利用這個包,而無需從頭開始寫。
如果你考慮對上游社區進行貢獻修改,就去做吧,就像你使用開源代碼工具,眾多的代碼貢獻者修改它、改進它、增強它,確保它滿足需求的同時,還盡可能把他們推向上游社區。無論你來自哪個行業,都建議你在那個行業做開源項目,比如汽車、醫療保健或制藥,金融和其他許多行業都在Linux基金會,一家公司或是一個組織,鎖住你所在領域的主要開源項目,都可以獲得回報。因此,在適當的時候,你可以使用該代碼來代替,避免重新開發已經成熟的東西。所以請大家到這個orgssf.org,看看開源基金會所做的工作,學習如何編寫你的代碼和你如何使用更為安全的代碼。
非常感謝這次能有和你們交流的機會,我也期待著有一天能在中國或其他地方再次跟你們相見。謝謝大家!
(聲明:所有會議實錄均為現場速記整理,未經演講者審閱,國際在線登載此文出於傳遞更多信息之目的,並不意味著贊同其觀點或證實其描述。)