深入开源供应链；与社区连接和协作

加入开源促进会大约一个月了，我一直忙于了解 ClearlyDefined 以及它如何融入开源供应链合规和安全生态系统。这是一个令人兴奋的领域，不仅在科技行业，而且在整个社会都具有重大影响，因为开源已经变得无处不在。

几周前，我有机会参加了在柏林举行的 FOSS Backstage。这是一个由 Plain Schwarz 运营的精彩活动，他们是开源社区的活动组织者，作为各种开源项目的非代码贡献者。我有机会结识了几位非常关心开源的有趣人士。

本次活动的组织者一直非常支持 开源促进会 (OSI)。事实上，他们五年前的第一届活动庆祝了 OSI 成立 20 周年，今年他们再次与我们一起庆祝 OSI 成立 25 周年和 FOSS Backstage 成立 5 周年。

学习的最佳方式之一是直接深入并教导他人，所以我很高兴有机会在 FOSS Backstage 上谈论这个话题。虽然我对开源供应链和 SBOM 和 Sigstore 等技术仍然相当陌生，但我认为将我在 机密计算 方面的经验带过来，看看它们如何协同工作会很有趣。我的演讲很大程度上受到了 SLSA 安全框架的启发，该框架突出了供应链每个阶段的主要威胁。有趣的是，目前 SLSA 并没有涵盖供应链的最后一公里，即应用程序/工作负载实际部署的时候，而这正是机密计算可以发挥重要作用的地方。如果您有兴趣了解更多信息，请查看 我的会议 的视频录像。

我在 FOSS Backstage 上最喜欢的演讲之一是来自 InnerSource Commons 执行董事 Clare Dillon 的演讲。她的题为“开放协作和我们的蜥蜴脑”的演讲很好地概述了神经科学和心理学，以了解是什么触发了驱动人们竞争或协作的情绪反应。同样有趣的是，注意到 InnerSource 如何作为一种运动兴起，帮助组织拥抱开放协作的原则。对于那些尚未准备好全力投入开源的组织来说，它可以作为一个切入点，消除与开放开发和治理相关的恐惧。要了解更多信息，请查看 她的会议 的视频录像。

在 FOSS Backstage 之后，我有机会参加了首届 ORT 社区日。OSS Review Toolkit (ORT) 是一个 Linux 基金会项目，目前正被多个组织用于管理开源供应链合规性和安全性，并且是当前使用和推广 ClearlyDefined 的关键项目之一。

ORT 社区日是一次很棒的体验，我真的很喜欢了解这个项目背后的社区。他们真正理解开放协作的原则。建立一个健康的开源社区不仅仅是为项目采用开源许可证，还要拥抱开放协作，以便所有成员都感到受欢迎，可以积极参与并为项目做出贡献。这就是我希望在 ClearlyDefined 中与 ORT 和其他相邻社区合作实现的目标。如果我们真的想帮助全球组织保护开源供应链，我们必须将我们的蜥蜴脑聚集在一起，充分拥抱开放协作，一次一个环节！

图片来源：Azim Khan Ronnie, Plain Schwarz, 和 Nick Vidal