作者:Ashwin Ramaswami 和 Stewart Scott
OpenSSF使命的核心是认识到开源是基础设施:它为我们都依赖的关键系统提供动力,并应得到相应的保障和投资。但是,这种基础设施的比喻到底是什么意思,它如何能帮助开源的消费者和政策制定者?大西洋理事会的网络技术倡议的一份新报告有助于阐明这个问题: 避免成功的陷阱:走向作为基础设施的开源软件的政策.
通过开源政策网络,网络国家倡议召集了开放源码软件开发者、维护者和利益相关者,为开放源码软件制定社区主导的战略和政策建议。在这篇文章中,我们介绍了这份报告的主要内容。
三个类比
使用三个不同的类比可以最好地理解 "开源是基础设施 "的想法。每个类比都有助于决策者、资助者和开发者更广泛地思考开源软件生态系统的某个方面和相应的政策建议。
- 水管理制度: 像水一样,我们都是通过其他软件产品来消费开源软件包的。事实上,软件包甚至被标注为 "上游 "或 "下游 "的依赖关系。但是,就像人们不能假设来自地下的水可以安全饮用或可持续一样,开放源码软件的消费者也不能简单地假设其可持续性或安全性。他们有责任确保他们所消费的开放源码软件得到良好的支持和安全,并回馈给它以保障。
- 资本市场: 像资本市场一样,开放源码生态系统也可能面临复合的、系统性的风险,特别是当一个开放源码软件项目的漏洞可能成为许多下游系统的单点故障。与资本市场一样,这些风险可以通过提高透明度和向消费者和监管机构报告来缓解。
- 道路和桥梁: 像道路和桥梁一样,开放源码软件构成了许多人依赖的关键基础设施,投资和维护不足导致风险长期积累。对开放源码软件以及道路和桥梁的长期、一致、甚至平凡的支持,通常比等待灾难性的失败要好。
下一步是什么?
报告最后提出了以下三类行动,以加强开源生态系统的安全性和可持续性:
- 鼓励负责任的开放源码软件消费: 我们可以通过创建两个 最佳实践 以及如何为开放源码软件做贡献的指南。更具体地说,公司和非营利组织可以制定一个贡献于开源软件的最佳实践标准。国家标准与技术研究所(NIST)可以制定一个开放源码软件最佳实践框架,联邦政府总体上应该建立开放源码项目办公室,帮助各机构管理其开放源码软件战略、政策和参与。
- 识别和减轻系统性风险: 重要的是要有资源和努力来识别系统性的数字风险,包括有针对性的支持的关键开放源码包。例如,联邦政府内的数字系统风险管理办公室(ODSRM)可以发挥这样的作用。
- 在提供资源时要考虑到安全和可持续性: 需要更多的资金来支持开源软件--例如,一个开源软件信托基金,为开源软件代码的安全和维护以及开源软件社区的健康提供可持续的长期投资。公司也可以制定一个采用软件包的计划,提供资源来支持他们所依赖的开放源码软件软件包的维护。
将开源软件理解为基础设施,不仅有助于优先考虑它所需要的长期维护和资金,还可以让我们从其他类型的基础设施政策中学习,看看我们如何才能最好地支持开源生态系统。OpenSSF的 开放源代码软件安全动员计划 这代表了维持和保护作为基础设施的开源软件的努力的一部分,但社区中的每个利益相关者--从政策制定者到用户和维护者--可以通过更多方式为我们的集体安全作出贡献。
