前言
作为开发者来讲,不管是在实际开发中使用开源项目,还是直接投身于开源的贡献中,关于开源相关的内容想必都有自己独到的见解。开源与开发者息息相关,可能有的开发者会觉得不使用开源项目,自己就与开源无关了?这种想法是片面的,因为就算没有在实际开发中使用开源项目,但是在实际开发中肯定会用到一些第三方的插件,那么能保证这些插件没有用到开源的内容么?所以,开源与每一位开发者都有联系。
正文
首先来看一下开源这件事,由于本人也是一位一线的开发人员,使用开源已经5年多了,很荣幸自己在2022年以贡献者的身份投入到一个开源项目中,虽然自己没有贡献太多的内容,但是自己迈出了参与开源贡献的第一步,是真的值得纪念的事情。通过自己投入到开源项目的贡献才发现,作为一个开源项目的贡献者很不容易,不仅要兼顾日常工作,还要保证开源的进度,也让我对开源项目有着更加直接、切身的体验,而且我觉得投身开源的每一位贡献值都太不容易了,每一位开源贡献值都值得尊重,也希望各位开发者多多支持开源项目,助力我们国内开源领域的腾飞。
开源项目有了,贡献者也有了,但是如何保证协调发展呢?众所周知,随着这几年开源项目的蓬勃发展,以开源软件为基础构建的软件系统成为软件开发的主流趋势,而且开源软件版本更新迭代快、维护人员缺少、安全开发机制不完善等现状,也导致了一些安全事件的发生,给开源软件的使用者带来信息安全风险,甚至会引起隐私信息泄露的可能。好在,开源贡献者们早就注意到这些问题,为了保证开源生态的良好发展,建立开源安全机制,亡羊补牢,为时不晚,比如openKylin社区推出的“可控开源”体系,就是为开源安全保驾护航的。
“开源可控”,其实就是在保证开源项目代码安全的前提下,让开发者和用户能够安全持续、稳定有效的使用开源软件以及服务。开源可控主要是在代码层面出发,涉及来源、设计、使用、更新和发展等五个环节,主要涵盖代码流转中的全链路的安全监控管理,从而做到来源可控、设计可控、使用可控、更新可控和发展可控。
现在有一种说法:上云就能解决开源带来的安全问题。那么上云真的能从一定程度上解决开源带来的安全性问题吗?虽然上云可以从一定程度上解决开源带来的安全性问题,比如在身份鉴权、加密、网络和数据安全等方面,进而保护使用开源代码的应用的安全。但是,个人觉得事情没有那么简单,因为使用开源存在的安全风险,不是单纯的从这些方面规避就可以了,其实是它一个综合的问题,不仅需要根据具体的使用场景和业务需求,还需要针对开源应用的核心环节进行层层监控,尽可能早的发现、避免开源所带来的问题,尤其是上云之后引起的一些新的问题:兼容性问题、云厂商自身可能存在的漏洞和风险、数据隐私问题等。
最后
不管是使用开源之后在本地还是上云,都是需要保持清醒头脑,提高安全风险意识和防范措施,及时掌握行业最新动态和安全知识,这样才能从根本上避免因为主观意识引起的安全风险。以上为个人观点,如有不妥之处,还请各位看官包涵,欢迎一起交流沟通。