前言

作为开发者来讲，不管是在实际开发中使用开源项目，还是直接投身于开源的贡献中，关于开源相关的内容想必都有自己独到的见解。开源与开发者息息相关，可能有的开发者会觉得不使用开源项目，自己就与开源无关了？这种想法是片面的，因为就算没有在实际开发中使用开源项目，但是在实际开发中肯定会用到一些第三方的插件，那么能保证这些插件没有用到开源的内容么？所以，开源与每一位开发者都有联系。

正文

首先来看一下开源这件事，由于本人也是一位一线的开发人员，使用开源已经5年多了，很荣幸自己在2022年以贡献者的身份投入到一个开源项目中，虽然自己没有贡献太多的内容，但是自己迈出了参与开源贡献的第一步，是真的值得纪念的事情。通过自己投入到开源项目的贡献才发现，作为一个开源项目的贡献者很不容易，不仅要兼顾日常工作，还要保证开源的进度，也让我对开源项目有着更加直接、切身的体验，而且我觉得投身开源的每一位贡献值都太不容易了，每一位开源贡献值都值得尊重，也希望各位开发者多多支持开源项目，助力我们国内开源领域的腾飞。

开源项目有了，贡献者也有了，但是如何保证协调发展呢？众所周知，随着这几年开源项目的蓬勃发展，以开源软件为基础构建的软件系统成为软件开发的主流趋势，而且开源软件版本更新迭代快、维护人员缺少、安全开发机制不完善等现状，也导致了一些安全事件的发生，给开源软件的使用者带来信息安全风险，甚至会引起隐私信息泄露的可能。好在，开源贡献者们早就注意到这些问题，为了保证开源生态的良好发展，建立开源安全机制，亡羊补牢，为时不晚，比如openKylin社区推出的“可控开源”体系，就是为开源安全保驾护航的。

“开源可控”，其实就是在保证开源项目代码安全的前提下，让开发者和用户能够安全持续、稳定有效的使用开源软件以及服务。开源可控主要是在代码层面出发，涉及来源、设计、使用、更新和发展等五个环节，主要涵盖代码流转中的全链路的安全监控管理，从而做到来源可控、设计可控、使用可控、更新可控和发展可控。

现在有一种说法：上云就能解决开源带来的安全问题。那么上云真的能从一定程度上解决开源带来的安全性问题吗？虽然上云可以从一定程度上解决开源带来的安全性问题，比如在身份鉴权、加密、网络和数据安全等方面，进而保护使用开源代码的应用的安全。但是，个人觉得事情没有那么简单，因为使用开源存在的安全风险，不是单纯的从这些方面规避就可以了，其实是它一个综合的问题，不仅需要根据具体的使用场景和业务需求，还需要针对开源应用的核心环节进行层层监控，尽可能早的发现、避免开源所带来的问题，尤其是上云之后引起的一些新的问题：兼容性问题、云厂商自身可能存在的漏洞和风险、数据隐私问题等。

最后

不管是使用开源之后在本地还是上云，都是需要保持清醒头脑，提高安全风险意识和防范措施，及时掌握行业最新动态和安全知识，这样才能从根本上避免因为主观意识引起的安全风险。以上为个人观点，如有不妥之处，还请各位看官包涵，欢迎一起交流沟通。