開源已經勝出，但是可持續嗎？

本月早些時候，《開源狀態會議》(State of Open Conference)稱，如果政府和企業不採取措施確保生態系統在未來的彈性和可持續性，儘管開源已經“獲勝”，但仍有可能失敗。

OpenUK執行長Amanda Brock在開幕式上表示，過去五到十年來，數字化和開源技術的進步提升了工程師的地位，“使他們的地位達到了能夠做出決定併成為影響者的水平”。

但開源的成功，以及對其安全性的擔憂，也意味著來自政策制定者的更多關注，這意味著提出了新的法律和政府戰略。

Brock說：“有些人擔心風險負擔可能會轉移到哪裡。”最近的《歐盟網路彈性法案》就是一個例子，人們擔心它會將責任轉嫁給專案的維護者和分銷商。

生態系統失衡

Brock說，與此同時，生態系統也存在失衡，經常使用的元件往往由一個人或小團體維護。“這意味著維護者可能沒有資源來正確、及時地更新和維護軟體包，或者沒有足夠的資源來審查和保證程式碼的質量。程式碼也有可能無法維護。”

谷歌基礎設施副總裁Eric Brewer與Brock討論了他的開源專案“策展”模式。Brewer說：“我想說，基本上所有的開源軟體都不如我們目前所信任的那樣值得信賴。”

他說，有一個“根本性的”脫節，這導致了需要“策展”。

“每個人都知道開源是免費的。而免費軟體讓人們的工作效率大大提高……但它從字面上說，幾乎每個檔案都是‘按原樣’使用，風險自負。”

這意味著，使用開源軟體的組織，包括企業和政府，可能對維護人員的責任抱有錯誤的期望，例如，在提供漏洞修復方面。

他的模型設想“策展人”積極發現並修復漏洞：“你可以將策展人視為將採用‘原樣’軟體並將其轉換為受支援的軟體的團隊。”

他補充道，這是Canonical或紅帽等公司為其服務所扮演的角色，但這隻適用於一小部分開源軟體。“實際上，你需要對Apache web伺服器、Log4J、Spring Java庫和各種東西進行管理。”

他說，策展是唯一的出路。“我認為，如果你不知道如何為安全軟體找到一條通向使用者的途徑，這對開源來說是一種生存威脅。而不用說，哦，志願者應該做更多。”

如果說策展是開源可持續發展的一部分，那麼另一部分就是政府行動，特別是在增強安全性和彈性方面。歐盟目前正在制定其《網路彈性法案》，而英國剛剛啟動了一項關於開源彈性和安全的諮詢，白宮正在推進一項旨在確保軟體供應鏈(包括開源)安全的網路戰略。

白宮副國家網路總監Camille Stewart Gloster在會議上的一次小組討論中表示：“特別是在國家網路總監辦公室，我們一直非常關注如何向安全、有彈性和公平的數字生態系統發展。要做到這一點，不僅需要關注今天的事情，還需要在未來的背景下思考這些事情。我們如何建立未來的彈性?”

巨大的機會

在同一個小組討論上，聯合國政策、戰略和治理司司長Salem Avan表示，開源提供了巨大的機會，特別是對發展中國家來說，可以釋放創造力和創新，但法律和政策框架並不總是到位。

他說：“當我們真的開始考慮讓聯合國進入那種多邊空間時，我認為它真的必須是區域性的。我們必須圍繞具體的專案、具體的活動、具體的想法或機會建立夥伴關係，共同努力並實現。”這將包括私營部門和公共部門。

“如果我們能夠達到這一目標，那麼我認為我們可以開始構建需要的不同層次，以有意義的全球方式改進開源。也許從現在開始，我們可以在這些領域建立更大的動力、更大的聯盟和更大的共識。”

他補充說，對許多國家來說，他們的直接關切更為發自內心，並集中於基本需求。對他們來說，開源“真的只是一個前沿。這是一個全新的東西，甚至沒有那種對如何進入這一領域的理解。”

Public Digital的創始合夥人、前英國政府數字執行董事兼首席資料官Mike Bracken表示，英國的技術供應鏈過去實際上是寡頭壟斷，這與開源專案背道而馳。打破這一局面是一個發出“我們的意圖”的問題。

他說，開源社群必須有“面對機構的信心”，並表示“無論是安全還是作為一個行業，我們都不會受到同樣的標準的評判，因為以前的尋租技術公司已經瓜分了公共部門。”