开源平安的危机在于太相信 GitHub？——专访Apache之父amp;OpenSSF基金会总司理Brain Behlendorf

【CSDN 编者案】Apache 软件基金会与Linux基金会做为全球开源的一面旗号，创建二十余年已深深影响着全球数十亿开发者。跟着开源在全球的渗入率逐年加深，引发浩荡影响的开源赐与链等平安问题也在向开源从业者倡议挑战，本文将跟从Apache 开创人之一、OpenSSF 基金会总司理 Brain Behlendorf 的视角，曲面那位开源奠定者对开源生态与平安的深度根究。

做者 | 王启隆 责编 | 何苗

出品 | 《 新法式员 》编纂部

在开源开发者心中， Apache 与Linux 的意义不问可知。开源可以开展至今，离不开浩瀚非营利开源软件组织的搀扶帮助，而它们即是那些组织中的佼佼者。时至今日，早年间由 Brian Behlendorf 率领法式员们重写开源法式 NCSA 之父” 的尊称。

同时，国内开发者耳熟能详的Apache ShardingSphere、Apache SkyWalking、Apache Doris 等也都是 Apache 孵化的顶级开源项目。Apache 的开源文化深深地影响着全球开发者。“Apache Way” 向手艺人指了然一条“若何往做开源？如何做好开源？”的大道。此中“没有在邮件中发作的事就没有发作”那一原则，更是沿袭自 Brian Behlendorf 的一个偶尔行动，早年间他为了更好地停止沟通，成立了一个邮件列表，将各人召集在一路，更好地协同工做。

现在的开源已经步进一个全新的阶段，前驱者们已经从拓荒中回来，起头研究愈加现实的开源平安问题，“Apache” 开创人之一的 Brian Behlendorf 也加进了OpenSSF 开源平安基金会担任总司理，努力于全球开源生态系统平安方面的建立。

Brain Behlendorf，Apache 开创人之一、OpenSSF 基金会总司理

本期《 新法式员005 》有幸邀请到了那位开源巨匠展开专访，他不只向我们分享了许多开源平安范畴建立的理论体味和贵重根究，还透露了本身最真诚且高尚的开源抱负。

以下是 Brian Behlendorf 访谈笔录：

“ Apache 之父 ” 的生长之路

《 新法式员 》：据领会，你的父母在科技范畴工做，但你大学却并没有主修计算机，那时候的你对什么更感兴致？后来又是什么引发了你对计算机编程的兴致？

Brian：1991 年的时候，我高中结业，就在统一年，Tim Berners-Lee 推出了世界上第一个收集阅读器和收集办事器，但在那时候还没有几人晓得那件事。当我上高中的时候，我的父母在 IBM 工做并了解，得益于此，我们家里有一台小我电脑。但我的父亲是个 COBOL 法式员，而 COBOL 语言对我来说又索然无味，所以其时并没有诡计将编写软件做为将来的工做。

在加州大学伯克利分校上大学期间，一起头我主修的是物理，但后来我在大学里成立了本身的第一个电子邮件账户，并接触到了互联网，渐渐地对计算机科学更感兴致。也是从那时起，我起头运营一些独立的编程项目，也因而得到了一份协助治理 Unix 机器的尝试室工做，对计算机编程行业的工做和运营有了必然领会。后来我对电辅音乐产生了深挚的兴致，所以在 1992 年成立了一个关于电辅音乐的网站，并起头在那里成立一个社区，那也招致我最末没有时间完成本科学位。

《新法式员》：那么你第一次传闻 Unix 操做系统时，对它有什么观点？

Brian：我对 Unix 的第一印象是——它是号令行驱动的，那一点让我欣喜若狂。对我来说，输进号令行就像和电脑说话，我能够通过号令行给电脑下达十分切确和详细的要求。号令行以至比图形用户界面更好操做，因为我不需要翻开一个个文件夹，然后试着找到准确的按钮或输进体例。从那个角度来看，Unix 的降生是鼓励人心的。

如今回想 1991 年到 1993 年摆布的时候，其时的互联网气氛甚至社会文化十分鼓舞彼此搀扶帮助。那是个一切都很完美的时代，你会因收到目生人的邮件感应兴奋，你会往想象本身在互联网接触的每一小我都是友善且幽默的，你会期看让更多的人能接触到互联网。那种文化以至早于开源软件降生之前，但我认为它至今仍在被发扬光大，如今许多开源社区都是富有消费力和创造性的。

《新法式员》：还记得本身写的第一个比力有趣的法式是什么吗？你早期的编程风气能否有延续到现在的工做中？

Brian：大约在八岁的时候，我读过一本关于若何用 BASIC 为 TRS-80 计算机编写法式的书，也曾用那本书编写过一些简单的游戏和法式。至于我写的第一个实正的法式，那得回溯到我上小学四年级的时候。其时我需要每两周为班里安放一次随机座位表，于是我写了一个法式，能够随机分配座位且把成果打印出来。有意思的是，假设我被随机分配坐在不喜好的人旁边，我就会让它再运行一遍，就能够“随机”坐在班上那些很酷的孩子旁边——所以那个座位表并非完全“随机”的。教师不领会原理，所以也没能发现我的小动做。

但在那之后，我职业生活生计的大部门时间里，都不经常编程了。还记得在成立Apache Web 办事器的早期我编写了很多法式，在 Apache 的第一个赞助网站上线时也写了良多工具。我如今仍然会庇护本身的邮件办事器，但我从不以一个伟大的软件开发者自居，我其实不伟大。

《新法式员》：1993 年告别校园后，你曾与伙伴们创建了 Organic.Inc，但其时的收集办事器软件无法处置公司需求，因而你测验考试了修补开源代码，那是你第一次接触开源吗？你是若何与开源结缘的？

Brian：不，并非那时候。我第一次接触开源应该是 1991 年第一次到伯克利的时候，我其时起头摸索早期的互联网是什么样子，我看到互联网上有良多软件能够下载，能够垂手可得地下载每一个软件而且在本身的电脑上运行。从那时起我就有了一个设法：软件其实不应该是让一两小我往编写，而且卖 30 多美圆一份的工具；相反，软件应该是成百上千的人把小段代码拼在一路编写，将所有的工具都集中在一路的存在，那可能就是我开源思惟的雏形。那段履历发作在 1991年，那是我第一次利用你们现在所认为的“开源软件”，但曲到 1998 年，它才被称为开源，开源那个术语是在那之后创造的。

平安的开源开发需要公开的“配料表”

《 新法式员 》：自往年 12 月 Log4j2 曝出“惊天”破绽以来，引发了全球多个国度 *** 以及科技巨头纷繁的存眷与深思，同时关于开源软件的平安性问题的切磋也变得越来越紧迫。对你来说，开源平安范畴过往几年发作了哪些大的改变？

Brian：开源平安是 *** 和企业需要通力合作的工作。我记适当时他们在 Log4j事务之后发布了相当多的陈述，但在一份大约 3 周前发布的陈述里表达：是良多差别的情状招致了那场危机，因而期看像 OpenSSF 如许的开源平安基金会越来越多。OpenSSF 被那份 *** 陈述引用了 29 次。在我看来，至少在过往几年里，国度平安委员会不再会在修复破绽的问题上对我们颁发定见，所以基金会能获得现在如许的功效和地位，不只长短常令人称心的，也长短常令人生畏的。开源平安是摆在我们面前的一项艰巨的使命，社会依靠它来运转，就像依靠桥梁、高速公路、电网或社会的其他部门一样，我们的生活不克不及没有它。

《新法式员》：2021 年 10 月，Linux 基金会公布筹集 1000 万美圆新投资，以扩展和撑持开源平安基金会( OpenSSF )，庇护开源赐与链。为什么开源赐与链如斯重要？它在开源的开展中占据什么位置？

Brian：赐与链代表着一切，能够说我们所生活的世界就是由赐与链构成的，如今我的电脑旁边能有一只鼠标存在，都是因为赐与链的存在。而软件天然也不破例，很少有哪个软件是由一小我写成，然后间接把它发送给末端用户的，因为开源软件就是离不开赐与链的存在。

正因如斯，赐与链如今也是被次要进攻的对象。十年前我们必定想不到，可能会有人在我们的包数据库里偷苟安插了一个坏包，更想不到某个 Java 模块的做者可能会把账户卖给某个黑客，而那个黑客可能会在我们的网站上设置后门……我们的事业是在一个相互之间高度相信的时代成立起来的，其时我们没必要担忧那些类型的进攻。如今我们已经意识到了，要搀扶帮助开源开发者做出愈加平安的决定。

《新法式员》：你认为开源软件的平安性目前面对的更大挑战是什么？

Brian：如今的开发者经常漠视一个问题，那就是平台的抉择。好比，当我需要添加一个功用时，一般会在现有库的根底长进行构建，构建的过程中就需要平台的搀扶帮助，但我们历来都是默认了一个平台而且依靠它，没有往根究深层的平安性问题。你能够认为那是因为大部门法式员都很“高效”，但其实也是一种“懒散”。所有人在开发过程中都赐与 GitHub 如许的中心组织很大的相信，以至从未量疑它们。

当然，我期看 GitHub 永久不会被黑客进侵，一旦 GitHub 被进侵了，良多人城市不利。到目前为行，GitHub 做得很好，但我们实的应该把所有的相信都交给一个组织吗？

我也不清晰那个问题的谜底。我们在 OpenSSF 中有一个名为 Sigstore 的项目，它利用了十分轻量的 Let’s Encrypt 体例来用密钥对研发流程中的成品停止签名，以便将其嵌进到每小我用来停止构建和发布的东西中。那就像我们生活中到处可见的配料表：假设你拿起一瓶番茄酱，那么造造商必需告诉你瓶子里拆的是什么，以免有的人过敏。所以，开发者如今还需要更好的软件东西来促进开源平安。

开源开发也需要如许的“配料表”，需要通明公开的协做流程。良多企业凡是不晓得他们运行的是什么软件，Log4j 也是因而呈现了问题。开发者们在摆设软件时需要理解目标对象的构建，需要领会整套工做的运行流程。我们要尽量制止那些只要一个开发人员看过的软件、来源不成信的软件或者那些你不克不及包管构建办事器能否被进侵的软件。

逾越语言障碍，OpenSSF 助推中国开源平安建立

《 新法式员 》：良多问题到了中国可能又会有所差别，从而衍生新的问题。你对中国开源的现状有哪些观点吗？

Brian：开源平安是每个国度都存在的问题。在那一点上，各人的利益其实是一致的，事实 Log4j 的破绽就是由阿里巴巴(阿里云)的研究人员发现的。我们需要一路勤奋，而那也是我参与本次访谈的原因之一，我实的期看看到中国社区、企业、开发商、以至政策造定者在那方面实正同一起来。

当然，我也很清晰中国开发者如今面对的一些问题，最次要的必定是语言的问题。假设你的母语不是英语，可能与中国以外的开发人员协做会是一个挑战，因为不晓得若何提出准确的问题而障碍协做和开展。Linux 正在与 OpenSSF 协做，我们试图创建一个中文子社区，专注于办事和搀扶帮助中国开发者摘用那些先辈手艺，同时也让中国开发者搀扶帮助我们改进手艺，最末在中国开设我先前提到的Sigstore 项目。那些都应该当地化到中国，让中国社区可以更普遍地进修和利用。

《新法式员》：要想降低开源软件的平安风险，平安意识也很重要，OpenSSF 是若何搀扶帮助开源利用者有效提拔平安意识的？

Brian：我们在 OpenSSF 上发布了相当多的内容，不只能搀扶帮助开发者进修若何利用东西，还能搀扶帮助他们编写更平安的代码。事实上，我们已经在培训网站上发布了一门关于 Linux 平安根底培训的课程，如今正在将其翻译成中文，喊做平安软件开发根底课程。课程时长大约有 20 小时，固然不是很长，但它能够教你若何制止一些问题，好比不要解析不受相信的用户，还有怎么提交准确的输进格局字符串——那个问题曾招致了 Log4j 的 bug 。我们相信，假设有更多的开发人员参与那个课程并停止认证，就能大大降低代码进进软件赐与链时产生的风险。

总而言之，我鼓舞开发人员前去 OpenSSF 的网站上进修那门课程，特殊是在我们将其当地化为中文之后。我们还发布了一份指南，上面介绍了开源项目能够做的一系列工作，以进步平安性。OpenSSF 开放了许多资本来搀扶帮助开发人员，那些工做其实不只是为了让他们的代码更平安，更重要的是培育提拔一种差别的思维体例和一种差别的干事体例。

《新法式员》：大部门中国开发者都比力务实，他们很关心开源软件的贸易化和开放。你对此有什么设法？

Brian：假设每小我都抉择把代码卖出往，那么像谷歌、亚马逊以至百度和腾讯如许的公司都不成能开展强大。我们确实应该详细根究若何将开源代码贸易化，但必定不是通过出卖开源代码自己，而是围绕它做其他工作；例如说，我们能够利用开源代码往构建一个很棒的网站，或者是挪动利用法式、挪动利用法式的后端还有启动一些有目共睹的新办事等等。不要总往想怎么把开源代码卖出往，你应该根究本身若何操纵那些开源代码在世界上创造更多的价值，人们天然而然会付钱给你。

《新法式员》：您曾提到过可继续开源的软件理念。中国的开发者该若何从那一理念中获益呢?

Brian：可继续开源理念纷歧定和软件有关，起首你得熟悉到，大大都人写开源代码并非出于慈悲，他们抉择开源并不是出于无私，而是为了免费地编写代码。例如说，假设你是为了成立一个收集办事或是一个付出平台而开展项目，那么在那个过程中每当你修复了一个 bug，或者添加了一个特征，或者写了一些新工具——都是需要付费的。因而，一个运行优良且耐久不变的开源项目是人们停止活动的次要驱动力，我认为那是企业需要考虑的关键问题。

关于中国的开发者，我还想说的是，我们就在那里，我们想让你们更强大，我们也想让你们互相搀扶帮助，从而达成全球协做。我认为有许多开发者已经投进了大量精神来处理那个问题。“传布”是一件很重要的工作，人类的开展便起源于传布，我们将会供给东西让所有中国企业——以至全球行业，共享那项开源事业的成果。

Apache Way 是更平安的协做体例

《 新法式员 》：做为 Apache 软件基金会的开创成员，你对闻名的“ Apache Way ”的理解是什么？那种开源的运做体例若何保障开源软件的平安？

Brian：其实 Apache Way 不断没什么切当的定义，它的核心有两点：电子邮件和数字交换。Apache Way 是一种完全宽大、开放、通明且基于共识的工做体例，让我们打个例如：假设一个项目、一个工作没有发作在我们公家的邮件列内外，那么你能够先在暗里停止它，但是你必需把它带回到公家面前，停止一次群体的交换，然后才气陆续项目标推进。Apache Way 的主题是通明、协做，我们要尽量制止呈现“一小我负责整个软件”那种情状，因为假设某个项目独一的负责人哪天分开了项目，就没有任何人晓得怎么陆续庇护了。

正如我前面所说，你要确保在开源项目中，老是有良多人对每一行代码负责，以至是对整个项目停止负责。那就是 Apache Way，我认为它其实是一种生活原则。我们通过那种体例一路利用简单的东西来协调我们的活动，而且对事物的编写体例有配合的期看，如许我们才气够高效消费，编写出更好的软件，从而在代码中成立公家对我们的相信。

《新法式员》：那关于“Apache Way”还有你们的工做体例，你有哪些妙闻能够分享吗？

Brian：我很喜好用电子邮件来停止工做交换，我喜好那种以异步体例在线协做的觉得，电子邮件也宽大了我们时间上的差别、文化差别还有语言差别等等。至于妙闻，其实我们的 Apache Web 办事器项目就是一个例子，我们的项目里有一个喊 Alexico 的人，他在办事器项目成立后的3年里，大部门时间都对我们供给了很多适用的搀扶帮助。他不只是帮手写了一些代码，他还会搀扶帮助项目里的其别人写代码，而且协助审查别人的代码，以至还帮我们答复用户的问题。不能不说，他实的是一个优良的社区构建者。

但是那时候还不时髦视频会议，我们也没有良多面临面的时机，所以我没有见过他本人，所以我独一晓得的就是那位 Alexico 的电子邮件地址。曲到有一天，他给 Apache Web 办事器的开发者邮件列表发了一条动静，说：“嗨，伴计们，我有一些动静要告诉你们。我以后可能没法给项目带来那么多奉献，也没法经常上线了；因为我本年秋天就要上大学了。”

他做为一名高中生不断在参与那个开源项目，与所有其他专业软件开发人员停止交换！其时我们项目标所有人，都为他的勤奋、伶俐以及纯正的开源精神而震动不已，而我们后来在许多差别国度的人们之间也看到了那份精神。所以我认为，Apache Way 能够搀扶帮助那些英语不是母语的人利用电子邮件停止交换，那比利用视频或德律风或其他体例要好得多，因为利用电子邮件能包管信息被更准确地传达。

开源生而自在，全球协做是最末抱负

《 新法式员 》：在开源范畴，Richard·Stallman（自在软件运动的精神指导）的自在价值理念是永久绕不开的一大思惟。您认为和过往比拟，现在的“自在软件”和“开源软件”有什么差别？

Brian：我很尊重 Richard·M·Stallman，我们的社区时髦过那么一种说法：假设Richard·M·Stallman未曾存在，我们就必需创造一个Richard·M·Stallman。因为让他代表各类看点长短常有用的。比拟之下，社区中的其别人看起来就像温暖派。我十分领会共享源代码的现实益处，我认为那个权力长短常重要的，而 Richard·M·Stallman 以至认为那是一种人权。我相信我们已经可以让行业的良多人转向开源软件事业。要晓得，当今世界的手机、汽车或网站上所利用的 90% 软件都是开源软件。

当然，我并没有从道德某人权的角度来强调软件应该是开源的。恰是因为团队协做的开源项目可以更有效地构建更好的软件，所以我才认为自在软件和灵敏开发能够与开源软件共存，我其实不认为它们是对立的或纷歧致的。开源软件运动所讨论的不断都是“我们该若何搀扶帮助开发者？”“我们该若何搀扶帮助企业编写更好的代码？”“我们要若何制止回到以前 Mac 和 PC 的平台战争傍边？”其实我认为关于那些问题的争论早已完毕了，开源在很大水平上获得了成功。既然我们赢了，接下来就该根究要若何用开源开展出本身想要的社会和将来。我的抱负即是全球协做。

《新法式员》：最初，你有哪些话想送给中国开发者？你若何评估开源在全球和中国的开展前景？

Brian：我是个抱负主义者。我想要的将来是，我们可以在配合的项目长进行全球协做，我们能在将来找到一种不受语言、时区、政治等障碍影响的办法并配合协做，但我很担忧那能否可以实现。现实上，我认为现今没有足够的人写开源代码来称心市场的需求。我期看将来就像 Apache 的早期一样，所有人能够一路工做，相互不关心身世、年龄或布景。那就是我想要的开源代码将来。我也期看 *** 能更多地熟悉到，开源软件在建立我们想要的社会中发扬的关键感化，开源将会建立一个十分数字化的社会。所有企业(当然次要是大型企业)和小我，都需要熟悉并投资开源代码，熟悉到开源代码会给社会带来哪些积极的成果。那些都是我的期看，我担忧的是我们底子无法接近那个目标，我担忧我们会朝着相反的标的目的前进，但我无法揣测我们在将来能否会走向更乐看的标的目的，所以我所能做的就是议论目前乐看的标的目的。

☞ 中国联通与腾讯配合设立新公司；苹果被曝已冻结雇用，曲至2023年9月；Apache Flink 1.16发布|极客头条

☞ 元宇宙与AI热度不减，Gartner 2023 年十大战术手艺趋向完全解析

☞ 吴峰光杀进 Linux 内核