?企業擁抱開源前，一定要明白這幾條原則

來源：36氪時間：2022-03-14 16:43:26

盡管大多數人沒有意識到這一點，但我們每天所依賴的許多技術都是在自由和開源軟件（FOSS）上運行的。手機、汽車、飛機，甚至許多尖端人工智能程序都在使用開源軟件，如Linux內核操作系統、Apache和Nginx 網頁服務器（運行著世界60%以上的網站）和Kubernetes（支持云計算）。這些軟件包的可持續性、穩定性和安全性是使用它們的每一家企業（實質上就是每一家企業）主要關注的問題。但與傳統的閉源軟件（由公司內部開發和銷售）不同，FOSS是由一大群默默無聞、通常不計報酬的開發人員開發，通常也是免費贈送的。

在過去幾年中，我們觀察到，企業在開源軟件中扮演了更加積極的角色，他們要么指派員工參與現有的開源項目的貢獻，要么公開自己的代碼，既讓社區對其利用，又讓社區幫助對其維護。隨著企業將FOSS作為其商業模式的一部分，他們還收購了重要的FOSS生產商。兩年前，IBM以340億美元收購了Red Hat這家圍繞FOSS建立的最成功公司之一。在那之前一年，其他科技巨頭花費了數十億美元收購FOSS股份，其中最著名的是微軟（以75億美元收購了GitHub）和Salesforce.com（以65億美元收購了MuleSoft）。

企業界進入免費開源在線社區引起了一些嚴重的關注和摩擦。收購FOSS生產商可能會導致自愿貢獻者被排擠出去，在一定程度上威脅到FOSS生態系統未來的健康。此外，世界上最大的云提供商在FOSS組件的基礎上建立了數十億美元的業務，這讓FOSS貢獻者們不禁要問，為何要把自己的空閑時間花來讓富人更富？這些行動可能會讓志愿者停止貢獻，從而威脅到FOSS社區的基本理念。

一個特別有爭議的案例是Elastic和亞馬遜之間的沖突。Elastic是一家上市公司，其Elasticsearch軟件支持沃爾瑪、奧迪等眾多企業網站的搜索活動。在亞馬遜這家在線巨頭采用了Elastic已經開放源代碼的某一Elasticsearch版本、重新包裝并以幾乎相同的名稱出售給客戶后，Elasticsearch與亞馬遜較上了勁。Elastic認為，從本質上講，亞馬遜采用的是為整個社區創造價值的免費代碼，然后筑起屏障，以便他們是唯一能夠從中獲取價值的人。

在Linux基金會的支持下，協同跨行業的開源安全基金會（Open Source Security Foundation），我們已經開展了兩項互補性的研究工作——一項研究的重點是進行FOSS使用的普查，另一項的重點是了解FOSS貢獻者的動機——旨在尋求更好地了解這些關注點。對于第一項研究，我們與包括Snyk和Synopsys在內的軟件成分分析和應用程序安全公司合作，通過對這種關鍵軟件進行普查來確定使用最廣泛的FOSS包，從而廣泛了解FOSS在生產應用程序中的使用情況。對于第二項研究，我們對FOSS開發者社區進行了一次大規模的全球調查，詢問開發者為何對特定的FOSS項目做出貢獻，他們如何看待來自企業的重大財務投資，以及他們利用的是何種安全措施（Foss中相當重要的一個問題）。以下是我們的發現。

關于調查結果

關于企業越來越多地參與FOSS一事，最大問題是，這是否會對FOSS生態系統的未來健康無恙產生負面影響。開發我們所依賴之軟件的開發人員是否會停止參與一個較少由社區意識所驅動、更多由利潤追求所驅動的系統？企業是否會只關注可盈利的FOSS，而忽視社會所依賴的其他關鍵基礎設施？維護這個軟件的安全性難度是否更大？如果有關FOSS的更多工作是由單獨的公司完成，那么尋找漏洞和潛在缺陷的人是否會更少？如果以上任何一個問題的答案是肯定的，這對開源軟件的未來來說不是一個好兆頭。

我們普查的初步結果揭示了兩個令人擔憂的趨勢，它們可能使FOSS更容易出現安全漏洞。首先，我們發現許多商業軟件中使用最廣泛的FOSS包都是置于個人開發者（而不是更廣泛的社區）賬戶之下，這不僅帶來了安全問題，也帶來了可靠性問題。一個人可能會接受一份新工作，可能會決定退休，或者——但愿不會這樣——被俗話說的公共汽車撞到而無法維持項目。個人賬戶還可能不具備足夠的安全保護措施來防止黑客的潛在危險攻擊。其次，我們發現，許多企業正在使用過時的開源程序版本——這一發現即使不一定令人訝異，但也會令人擔憂。不能保持更新意味著該軟件更有可能包含已知的漏洞和安全缺陷。這兩種趨勢都反映出，安全通常是事后才想到的問題。

調查結果還顯示，貢獻者的動機可能要求企業使用非傳統激勵措施。雖然越來越多的貢獻者得到了企業的贊助，但這些貢獻者的主要動機不是錢。這意味著企業激勵行為的傳統杠桿可能不起作用，需要依賴的可能是更多的內在動機，包括學習熱情、對FOSS社區的歸屬感以及程序員的職業身份。因此，任何希望提高FOSS安全性的企業、組織或政府都需要將關注的焦點放到吸引這些內在動機上，而不僅僅是付錢讓貢獻者解決安全問題。或者，企業可以花錢雇人來專門處理安全問題。不管怎樣，我們的調查顯示，期望貢獻者自愿解決安全問題不太可能獲得成功。

企業如何才能提供幫助

沒有人（我們當然也不會）建議我們必須回到FOSS初期的日子，那時它主要是志趣相投的個人自愿做出的努力。但我們的確建議企業和政府這樣的大玩家——它們開始越來越多地直接或間接贊助FOSS ——了解它們對FOSS生態系統未來的影響，并遵循幾條指導原則。

首先，企業和國家的目標都應該是取得適當的平衡：確保FOSS在不扼殺社區精神的情況下繼續發展，而社區精神一直是貢獻的核心動機。這意味著，企業針對開源應該有一個明確的政策（如果可行的話，最好是鼓勵員工為FOSS做貢獻的政策）。我們的研究發現，許多員工對自己公司的FOSS政策并沒有清晰的了解，這使得他們在公開使用FOSS項目并為其做出貢獻時猶豫不決。此外，他們可以主動支持這些項目，以確保他們未來的健康。

其次，使用FOSS的企業（實質上是所有企業，不管他們知道與否）應該提高他們對所使用的FOSS的認識水平。最近的一項總統行政命令要求，對于政府采購的任何產品都必須提供一份軟件材料清單（software bill of materials, SBOM），以便政府了解產品中包含哪些FOSS（以及專有軟件），因而可以了解可能出現的漏洞。這是所有企業都應該考慮效法的一個重要例子。這樣做可以讓企業更好地了解他們對FOSS社區的依賴，而且會產生更大的透明度，使他們能夠知道自己何時容易受到新發現的漏洞的破壞。

第三，隨著企業繼續參與對FOSS的貢獻，我們建議他們心系所用軟件的穩定性，激勵他們的員工在貢獻時重點關注對公司有用的功能以及總體的安全和維護，并認識到這些項目背后的志愿者社區至關重要，應該受到保護。通過這種方式，他們不僅會從自己正在添加的新功能中獲益，而且確保了他們所依賴的FOSS未來的健康。

自由和開源軟件是經濟中一個至關重要的齒輪，就像州際公路、電網或通信網絡一樣。考慮到我們對這些關鍵基礎設施系統的了解程度，對21世紀等同于它們的東西做同樣多的了解，這難道不是很有意義嗎？由于FOSS生態系統涉及的利益相關者眾多，任何一個行動者都難以解決所有問題。因此，可能有必要讓包括企業、政府組織和個人貢獻者在內的多方共同努力，確保FOSS生態系統在未來的安全和活力。然而，首先必須做的是了解問題的范圍。我們相信，我們的努力是朝著這一方向邁出的第一步。