软件安全和维护者倦怠的代价 / OSI 新闻与更新
软件安全和维护者倦怠的代价
2022 年伊始就提醒我们,软件安全问题不仅存在于开源软件包中。与此同时,“如何酬谢开源维护者?”这个问题有着无数个答案:我们需要专注于为不同的问题找到不同的解决方案。
几周内就出现了很多安全问题:2021 年 12 月,Log4j 软件包被一个严重的漏洞击倒。2022 年 1 月,我们目睹了一位 NPM 软件包维护者的自我破坏行为。元旦当天,Microsoft Exchange 中的一个漏洞破坏了许多系统管理员的节日。这些截然不同的情景证实了我们的 IT 基础设施是多么复杂和脆弱。由于开源软件如此普及,被装在数百万个软件包中,开源社区可能面临成为他们不一定能解决的问题的替罪羊的风险。
心怀不满的 NPM 软件包开发者抨击“邪恶的企业”“窃取”了他的劳动成果,然后破坏了他自己的软件包。这听起来像是他突然意识到了开源的意义,并想要退出。不幸的是,过去我们也曾听到大型企业抱怨更大的企业免费使用他们的代码。这场辩论有演变成开源开发者与“邪恶势力”对抗,进行毫无意义的互相指责的风险。
在提交给白宫的一份详细白皮书中,Apache 软件基金会 (ASF) 写道:“我们不能仅仅关注上游生产者来解决开源供应链问题”。在建议中,ASF 要求企业回馈,以及其他事项。
然后,这取决于开源社区帮助企业回馈,因为这绝非易事。并非每个项目都有相同的参与规则,有些维护者比其他维护者更欢迎新人。如何以及为何为开源项目做贡献与关于开源开发财务可持续性的辩论息息相关。像 Krita、Blender、Libre Office 这样的项目与像 Log4J、color.js 或 Kubernetes 这样的库或平台截然不同。讨论这些社区中每一个的可持续性都需要不同的方法。
与此同时,我们可以庆祝 GnuPG 的美好故事:其维护者在 1 月宣布,他们不再需要捐款,因为他们通过新的商业模式和稳定的客户群找到了更稳定的资金来源。
未来将会有更多以开源软件为中心的危机,在仓促讨论解决方案之前,让我们批判性地分析情况,避免将“开源”视为单一的问题空间。在OSI 每周五的非正式办公时间与我讨论这个问题和其他主题。
Stefano Maffulli
OSI 执行董事
本月开放源代码促进会新闻通讯
- 2021 年 OSI 会员招募活动回顾
- Open@RIT:帮助学生拥抱开源的力量
- CodeSee:他们为何支持 OSI
- ClearlyDefined 显然正在取得进展
- OSI 登上新闻:Maffulli 在 TechCrunch 上发表评论
在 SCALE 19x 与 OSI 会面
我们将参加 SCaLE 19X – 第 19 届年度南加州 Linux 展 – 于 2022 年 3 月 3-6 日在加利福尼亚州帕萨迪纳举行。在此注册!
2022 年伊始,新增 1,300 多名会员!
我们做到了!我们欢迎 1,354 名新会员加入开放源代码促进会。我们在 2021 年底发起的会员招募活动超出了我们的预期。这些新会员大多是“免费”会员,在他们成为正式会员之前没有投票权。
这项活动是同类活动中的首次:我们引入了一个零成本的新会员级别,试验了一个专门构建的迷你网站,并为新会员提供了定制徽章,事实证明这很受欢迎。我们还测试了 Plausible.io 来跟踪活动结果,而不会侵犯用户的隐私。
Open@RIT:帮助学生拥抱开源的力量
罗切斯特理工学院 (RIT) 不仅提供自由和开源软件以及自由文化方面的辅修课程,而且最近还创建了一个名为 Open@RIT 的官方卓越中心。它致力于为教职员工和学生在开源项目上的合作引擎提供支持。其目标是发现和扩大 RIT 对大学内外各个学科的开放事业的影响。这包括开源软件、开放数据、开放科学、开放硬件以及开放教育资源和知识共享许可的努力,他们统称为开放工作。
Open@RIT 助理主任 Mike Nolan 和战略设计师 Django Skorupa 带领 POSI 参与者了解了他们的工作,并且您可以观看他们的演示文稿并在此处阅读更多内容。
CodeSee:我们为何支持 OSI
CodeSee 提供了一个名为 Maps 的开发者工具,旨在帮助开发者和团队以可视化方式理解代码库。Maps 是自动同步的代码图,具有旨在推动协作、改进代码审查、减少入职摩擦等功能。2021 年 9 月,CodeSee 推出了 OSS Port——一个供开源项目维护者和贡献者联系和协作的空间,能够使用 CodeSee Maps 轻松地让新开发者入职并指导代码审查。Maps 永久免费用于开源项目。
CodeSee 团队的每位成员都有开源背景。在对社区的集体认同感的引导下,CodeSee 致力于通过一系列举措来推进其发展。首先,CodeSee Maps 永久免费用于开源项目,并且是我们开源社区 OSS Port 的组成部分。此外,CodeSee 还维护着一个开源赞助计划,为精选的 OSS 项目提供资金支持,以便他们能够专注于持续开发。当然,我们还赞助开放源代码促进会,以支持其在管理开放源代码定义方面的工作。
在此处阅读更多关于 CodeSee 对开源的看法here。
ClearlyDefined 显然正在取得进展
提醒一下,ClearlyDefined 是一个关于自由和开源软件 (FOSS) 信息的存储库。当您想要查找版本的源代码信息(例如,Git 提交)、验证许可证以及及时了解漏洞通知时,您可以求助于 ClearlyDefined——所有这些都在一个地方。
ClearlyDefined 于 2017 年首次亮相。从那时起,社区 достигла 几个里程碑,包括最近的成就
支持 Go 组件。如果您使用 Go 模块,您现在可以使用 ClearlyDefined 检索它们的许可证定义。有关如何执行此操作的更多信息,请参阅我们的文档。
重新设计了 ClearlyDefined 用户界面,重点关注可用性和可访问性。此重新设计应在 2021 年底之前部署。
社区继续完成管理并贡献代码。Qing Tomlinson 最近的贡献修复了 PyPi 定义坐标中字符的长期存在的问题。
在新的一年里,ClearlyDefined 社区将规划其 2022 年的路线图和用户故事。我们还要感谢 Bloomberg 对 Clearlydefined 的贡献。请加入我们,为一项有益于整个开源社区的非常有价值的事业做出贡献。了解更多信息并加入我们:https://clearlydefined.io/
在此处阅读更多关于 ClearlyDefined 社区上个月的忙碌情况here.
OSI 登上新闻
何时开源不再是开源?执行董事 Maffulli 在TechCrunch上评论了 Harness.io 的最新产品发布。
向我们的新赞助商致以衷心的感谢
您是否有兴趣赞助或与 OSI 合作?请参阅我们的赞助招股说明书。请通过 [email protected] 联系我们,了解更多关于您的组织如何促进开源开发、社区和软件的信息。