成人免费午夜在线观看,伊人久久精品,一区二区三区精品

2.開(kāi)源：軟件開(kāi)發(fā)的基本要素

（1）自由和開(kāi)源軟件的基本原則。從歷史上看，開(kāi)源運(yùn)動(dòng)源于20世紀(jì)80年代誕生于美國(guó)的“自由軟件運(yùn)動(dòng)”（free software movement）。相比專有軟件，自由和開(kāi)源軟件在原則上沒(méi)有國(guó)籍，因此也沒(méi)有邊界。

在開(kāi)源的許可模式下，用戶可以獲得軟件的源代碼，并且重新發(fā)布、修改和添加，各種限制比專利軟件要少得多。開(kāi)源軟件也被廣泛用于研究機(jī)構(gòu)，因?yàn)樗梢葬槍?duì)不同的實(shí)驗(yàn)需求進(jìn)行定制和改進(jìn)。

此外，一些開(kāi)源軟件和組件更是當(dāng)前數(shù)字基礎(chǔ)設(shè)施的核心，并且也存在于眾多私人企業(yè)開(kāi)發(fā)的專有軟件當(dāng)中。比如Python和Perl編程語(yǔ)言、Linux操作系統(tǒng)、Mozilla Firefox網(wǎng)絡(luò)瀏覽器、MySQL數(shù)據(jù)庫(kù)管理系統(tǒng)、Apache HTTP服務(wù)器，以及大多數(shù)Java工具。Linux作為開(kāi)源模式生命力的代表，每天新增1萬(wàn)行代碼，5000行被修改。

（2）免費(fèi)模式和專有模式混合共生。軟件企業(yè)長(zhǎng)期不接受免費(fèi)的自由軟件模式，因?yàn)槠洹斑`背了知識(shí)產(chǎn)權(quán)原則”。然而，從1991年Linux操作系統(tǒng)被推出以來(lái)，越來(lái)越多企業(yè)和政府將開(kāi)源代碼納入其產(chǎn)品中，同時(shí)也將自己開(kāi)發(fā)的程序提供給開(kāi)源社區(qū)。

一個(gè)典型的案例發(fā)生在2008年，谷歌推出了基于Linux修改版的安卓手機(jī)操作系統(tǒng)。如今，這個(gè)系統(tǒng)已被安裝在至少25億臺(tái)設(shè)備上。

事實(shí)上，當(dāng)前的軟件開(kāi)發(fā)已經(jīng)是開(kāi)源組件和專有組件的集合體，一個(gè)現(xiàn)代軟件應(yīng)用程序往往會(huì)包含至少100個(gè)開(kāi)源組件。一般來(lái)說(shuō)，軟件系統(tǒng)的底層架構(gòu)往往是開(kāi)放的，而應(yīng)用程序和用戶界面往往是企業(yè)專有的。在這樣的混合結(jié)構(gòu)下，往往很難梳理一個(gè)軟件的所有組件。

此外，“自由軟件”不一定意味著“非商業(yè)軟件”。紅帽公司（Red Hat，譯者注：“紅帽”Red Hat是一家開(kāi)源解決方案供應(yīng)商，通過(guò)為開(kāi)源社區(qū)貢獻(xiàn)力量獲得了巨大的影響力）等也在開(kāi)發(fā)“商業(yè)性”的開(kāi)源軟件——在開(kāi)源許可下開(kāi)發(fā)產(chǎn)品，并通過(guò)向客戶收取贊助、維護(hù)和安裝費(fèi)用來(lái)確保其盈利。

受全球大流行的影響，各國(guó)數(shù)字化進(jìn)程加快，風(fēng)險(xiǎn)投資基金也更多地投資于生產(chǎn)開(kāi)源軟件的初創(chuàng)企業(yè)。

最后，開(kāi)源生態(tài)中的許可證（licenses）類型也在不斷演變。1985年，“Copyleft”許可證（如通用公共許可證，GPL）的概念被提出，它提供了“執(zhí)行、復(fù)制、修改和分發(fā)計(jì)算機(jī)代碼”的自由，并要求在該軟件的所有衍生版本中維持這些自由。換句話說(shuō)，這種類型的許可證不允許在Copyleft源代碼的基礎(chǔ)上創(chuàng)建專有軟件。

然而，大型技術(shù)企業(yè)往往偏離這些原則。例如谷歌在Linux的基礎(chǔ)上開(kāi)發(fā)了安卓系統(tǒng)，但卻沒(méi)有制定商業(yè)許可證，從而避免披露對(duì)源代碼的修改。

（3）云計(jì)算和新興技術(shù)中的開(kāi)源軟件。開(kāi)源組件是當(dāng)前云服務(wù)的重要元素，例如，所有的云平臺(tái)都在向開(kāi)源的分布式架構(gòu)解決方案Kubernetes靠攏。

反過(guò)來(lái)，大型技術(shù)企業(yè)的“云即服務(wù)”（Cloud as a service）模式也在不斷推動(dòng)開(kāi)源發(fā)展，因?yàn)樵破脚_(tái)從根本上改變了開(kāi)源技術(shù)的傳播方式，其幾乎可以被視為一個(gè)“開(kāi)源應(yīng)用程序商店”。

此外，開(kāi)源軟件也將在物聯(lián)網(wǎng)新興技術(shù)的發(fā)展中發(fā)揮關(guān)鍵作用。如今，各種“智能”和“互聯(lián)”設(shè)備數(shù)量飛速增加，在2010年至2020年期間，物聯(lián)網(wǎng)設(shè)備數(shù)量增加了約1000%。

隨著這類設(shè)備的普及，任何類型的企業(yè)可能都有軟件開(kāi)發(fā)需求，一輛汽車(chē)所需的代碼行數(shù)甚至超過(guò)了F15戰(zhàn)斗機(jī)，并且這些軟件必須是“通用的、開(kāi)源的、可在異質(zhì)硬件和供應(yīng)商之間重復(fù)使用的，并且實(shí)施一套通用標(biāo)準(zhǔn)和API”。

與此同時(shí)，開(kāi)源代碼也是監(jiān)督上述新興技術(shù)的重要方式。歐洲議會(huì)在2019年的一份報(bào)告中明確指出，有必要將公眾納入人工智能的發(fā)展進(jìn)程，“通過(guò)開(kāi)源來(lái)公布所有由公眾資助或共同創(chuàng)立的算法、工具和技術(shù)”，進(jìn)而促進(jìn)對(duì)源代碼的審計(jì)。

（二）“成也開(kāi)源，敗也開(kāi)源”？

1.網(wǎng)絡(luò)安全問(wèn)題

兩個(gè)重大的安全漏洞凸顯了開(kāi)源組件的網(wǎng)絡(luò)安全問(wèn)題：2014年的“Heartbleed漏洞”，以及2021年12月的“Log4Shell漏洞”。

Heartbleed漏洞來(lái)自加密工具庫(kù)OpenSSL代碼中的一個(gè)錯(cuò)誤。這個(gè)錯(cuò)誤自2012年以來(lái)一直存在，直到2014年3月被谷歌的安全團(tuán)隊(duì)和芬蘭工程師發(fā)現(xiàn)。基于這個(gè)漏洞，用戶名、密碼、私鑰和通過(guò)這些證書(shū)交換的數(shù)據(jù)等加密內(nèi)容都將暴露。

約有三分之二的網(wǎng)站使用OpenSSL，其中包括各大銀行官網(wǎng)、電商、社交網(wǎng)絡(luò)等。作為互聯(lián)網(wǎng)歷史上最嚴(yán)重的漏洞之一，各界都很難評(píng)估這個(gè)漏洞被惡意行為者利用的程度。

在2021年12月，一個(gè)漏洞影響了Log4J日志軟件組件。該組件被許多基于Java語(yǔ)言的應(yīng)用程序和網(wǎng)站用于記錄設(shè)備上的活動(dòng)，而這個(gè)Log4Shell漏洞將允許網(wǎng)絡(luò)攻擊者控制整個(gè)應(yīng)用程序甚至是設(shè)備系統(tǒng)。整個(gè)Log4Shell漏洞被稱為“有史以來(lái)最嚴(yán)重和最廣泛的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)之一”。

雖然項(xiàng)目開(kāi)發(fā)者在發(fā)現(xiàn)漏洞后的兩周內(nèi)修復(fù)了代碼錯(cuò)誤，但修復(fù)該漏洞前必須更新當(dāng)前的Log4J版本，而很多用戶正是在此時(shí)才意識(shí)到自己的軟件和設(shè)備存在該代碼問(wèn)題。

譯者注：Log4Shell漏洞存在于廣泛使用的Apache Log4j日志庫(kù)中。該漏洞允許攻擊者遠(yuǎn)程執(zhí)行代碼，而無(wú)需進(jìn)行身份驗(yàn)證。攻擊者可以通過(guò)各種攻擊向量利用此漏洞，包括HTTP請(qǐng)求、電子郵件消息和其他形式的數(shù)據(jù)輸入。該漏洞對(duì)全球各種規(guī)模和行業(yè)的組織造成了安全威脅。一些重要的公司和應(yīng)用程序都受到了影響，例如Microsoft、Apple、Google、Amazon、阿里巴巴、網(wǎng)易等。

如今，針對(duì)開(kāi)源軟件的攻擊正在不斷發(fā)展。相比2020年，2021年的攻擊增幅高達(dá)650%。并且新一代攻擊的模式有所變化，其目的是讓軟件開(kāi)發(fā)者上傳冒用合法文件名稱的惡意軟件，從而滲透到上游的軟件供應(yīng)鏈中。

2.經(jīng)濟(jì)可行性問(wèn)題

只要是軟件就可能有漏洞，Log4Shell和Heartbleed并不代表開(kāi)源模式本身的失敗。然而，這些時(shí)間也凸顯了開(kāi)源模式背后經(jīng)濟(jì)模型的不穩(wěn)定性：盡管一些代碼、組件、軟件產(chǎn)品非常流行，甚至已經(jīng)是全球數(shù)字架構(gòu)的骨干，但這些內(nèi)容在很大程度上依賴于開(kāi)發(fā)者的自愿貢獻(xiàn)——從編寫(xiě)、維護(hù)到糾錯(cuò)。

OpenSSL的開(kāi)發(fā)團(tuán)隊(duì)非常小，捐款也越來(lái)越少。在Heartbleed事件之后，Linux基金會(huì)承諾對(duì)OpenSSL提供財(cái)務(wù)支持。此外，Log4J早在2014年就暴露出的資金不足問(wèn)題，也在Log4Shell漏洞后被推到了風(fēng)口浪尖。2022年1月，一位程序員甚至自發(fā)破壞了他正在進(jìn)行的項(xiàng)目代碼，以譴責(zé)開(kāi)源世界的不穩(wěn)定性。

換言之，目前開(kāi)源模式并沒(méi)有反映出開(kāi)源軟件所產(chǎn)生的經(jīng)濟(jì)價(jià)值。歐盟估計(jì)，開(kāi)源對(duì)經(jīng)濟(jì)的積極影響在650-950億歐元之間，2018年的年度投資為10億歐元；如果開(kāi)源的貢獻(xiàn)增加10%，就會(huì)使GDP增加0.4%到0.6%。

因此，更多人呼吁為開(kāi)源代碼項(xiàng)目找到可持續(xù)的資助模式。例如，大型軟件項(xiàng)目的托管平臺(tái)GitHub已經(jīng)推出了“贊助”功能，允許開(kāi)發(fā)者為他們的工作接受經(jīng)常性的捐贈(zèng)。然而，而目前的整體趨勢(shì)依然是大型科技企業(yè)在介入開(kāi)源項(xiàng)目，包括收購(gòu)資源庫(kù)平臺(tái)。

如前所述，這種私有化趨勢(shì)可能違背了開(kāi)源的基本原則的運(yùn)作模式。一方面，大企業(yè)直接參與開(kāi)源項(xiàng)目，會(huì)消除貢獻(xiàn)者的多樣性，而一旦企業(yè)放棄項(xiàng)目，整個(gè)開(kāi)源社區(qū)都會(huì)受到損失。

另一方面，如果圍繞企業(yè)建立集中化的開(kāi)源項(xiàng)目，很容易招致國(guó)家的更多參與，進(jìn)而導(dǎo)致其他國(guó)家的用戶無(wú)法訪問(wèn)存儲(chǔ)庫(kù)、代碼或許可證。例如，當(dāng)前俄羅斯用戶因?yàn)閲?guó)際制裁就被暫停了GitHub賬戶。