Brain Behlendorf,Apache 创始人之一、OpenSSF 基金会总经理
本期《新程序员005》有幸邀请到了这位开源大师展开专访,他不仅向我们分享了许多开源安全领域建设的实践经验和宝贵思考,还吐露了自己最真挚且崇高的开源理想。
以下是 Brian Behlendorf 访谈记录:
安全的开源开发需要公开的“配料表”
《新程序员》:自去年 12 月 Log4j2 曝出“惊天”漏洞以来,引发了全球多个国家政府以及科技巨头纷纷的关注与反思,同时关于开源软件的安全性问题的探讨也变得越来越紧迫。对你来说,开源安全领域过去几年发生了哪些大的变化/strong>
Brian:开源安全是政府和企业需要共同努力的事情。我记得当时他们在 Log4j事件之后发布了相当多的 告,但在一份大约 3 周前发布的 告里表示:是很多不同的情况导致了这场危机,因此希望像 OpenSSF 这样的开源安全基金会越来越多。OpenSSF 被那份政府 告引用了 29 次。在我看来,至少在过去几年里,国家安全委员会不再会在修复漏洞的问题上对我们发表意见,所以基金会能取得如今这样的成果和地位,不仅是非常令人满意的,也是非常令人生畏的。开源安全是摆在我们面前的一项艰巨的任务, 会依赖它来运转,就像依赖桥梁、高速公路、电 或 会的其他部分一样,我们的生活不能没有它。
《新程序员》:2021 年 10 月,Linux 基金会宣布筹集 1000 万美元新投资,以扩展和支持开源安全基金会( OpenSSF ),保护开源供应链。为什么开源供应链如此重要在开源的发展中占据什么位置/strong>
Brian:供应链代表着一切,可以说我们所生活的世界就是由供应链组成的,现在我的电脑旁边能有一只鼠标存在,都是因为供应链的存在。而软件自然也不例外,很少有哪个软件是由一个人写成,然后直接把它发送给终端用户的,因为开源软件就是离不开供应链的存在。
《新程序员》:你认为开源软件的安全性目前面临的最大挑战是什么/strong>
Brian:现在的开发者经常忽视一个问题,那就是平台的选择。比如,当我需要添加一个功能时,一般会在现有库的基础上进行构建,构建的过程中就需要平台的帮助,但我们从来都是默认了一个平台并且依赖它,没有去思考深层的安全性问题。你可以认为这是因为大部分程序员都很“高效”,但其实也是一种“懒惰”。所有人在开发过程中都给予 GitHub 这样的中心组织很大的信任,甚至从未质疑它们。
当然,我希望 GitHub 永远不会被黑客入侵,一旦 GitHub 被入侵了,很多人都会遭殃。到目前为止,GitHub 做得很好,但我们真的应该把所有的信任都交给一个组织吗/p>
我也不清楚这个问题的答案。我们在 OpenSSF 中有一个名为 Sigstore 的项目,它使用了非常轻量的 Let’s Encrypt 方式来用密钥对研发流程中的制品进行签名,以便将其嵌入到每个人用来进行构建和发布的工具中。这就像我们生活中随处可见的配料表:如果你拿起一瓶番茄酱,那么制造商必须告诉你瓶子里装的是什么,以免有的人过敏。总之,开发者现在还需要更好的软件工具来促进开源安全。
Apache Way 是更安全的协作方式
《新程序员》:作为 Apache 软件基金会的创始成员,你对著名的“ Apache Way ”的理解是什么种开源的运作方式如何保障开源软件的安全/strong>
《新程序员》:那关于“Apache Way”还有你们的工作方式,你有哪些趣闻可以分享吗/strong>
Brian:我很喜欢用电子邮件来进行工作交流,我喜欢这种以异步方式在线协作的感觉,电子邮件也包容了我们时间上的差异、文化差异还有语言差异等等。至于趣闻,其实我们的 Apache Web 服务器项目就是一个例子,我们的项目里有一个叫 Alexico 的人,他在服务器项目建立后的3年里,大部分时间都对我们提供了不少实用的帮助。他不仅是帮忙写了一些代码,他还会帮助项目里的其他人写代码,并且协助审查他人的代码,甚至还帮我们回答用户的问题。不得不说,他真的是一个优秀的 区构建者。
但是那时候还不流行视频会议,我们也没有很多面对面的机会,所以我没有见过他本人,所以我唯一知道的就是这位 Alexico 的电子邮件地址。直到有一天,他给 Apache Web 服务器的开发者邮件列表发了一条消息,说:“嗨,伙计们,我有一些消息要告诉你们。我以后可能没法给项目带来那么多贡献,也没法经常上线了;因为我今年秋天就要上大学了。”
他作为一名高中生一直在参与这个开源项目,与所有其他专业软件开发人员进行交流!当时我们项目的所有人,都为他的勤奋、智慧以及纯正的开源精神而震惊不已,而我们后来在许多不同国家的人们之间也看到了这份精神。所以我认为,Apache Way 可以帮助那些英语不是母语的人使用电子邮件进行交流,这比使用视频或电话或其他方式要好得多,因为使用电子邮件能保证信息被更准确地传达。
文章知识点与官方知识档案匹配,可进一步学习相关知识Java技能树首页概览92024 人正在系统学习中
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!