文章图片
整理 | 彭慧中开源正以迅雷不及掩耳之势吞噬着整个世界,然而开源技术在带来便利的同时也隐藏着诸多风险,近些年来,随着各种乱象逐渐暴露在人们面前,“开源治理”这个概念也逐渐进入了人们的视野。但对于开源治理的正确方式,仍众说纷纭,开源治理会限制开源的发展么?开源治理应该由谁来推进?如何正确治理才行之有效?
出品 | CSDN(ID:CSDNnews)
本期《开源圆桌派》以「开源应该野蛮生长,还是开放治理?」为主题,邀请到华为计算产品线副总裁、开放原子开源基金会TOC主席堵俊平,华东师范大学数据科学与工程学院研究员王伟、 开源之道主创适兕、中国信通院云大所开源和软件安全部副主任郭雪,在栏目策划者何苗的主持之下共同探讨以上开源治理相关问题。
文章图片
扫码查看回放
文章图片
文章图片
野蛮生长的开源,是时候该治理了
何苗:什么是开源治理?具体包括哪些方面?
堵俊平:开放治理或者开源治理一般我们会叫Open Governance。我认为可以分为三个层次,最初的层次甚至还不能叫开源,而是称为Source Available(可访问源代码),表明这个代码可以被访问,但没有规定具体的权利,也不一定符合开源界的相关的准则。
第二个层次是Open Source,一般有代码开源的许可证来保证你的权利,并规定了使用者的义务以及合规的使用方式。
第三个层次则是Open Governance,该阶段已经不仅仅是代码开源,而是形成了开源共同体,在开源共同体中,大家遵从着一定的模式共同来参与开源,这就是开源治理,Open Governance。Open Governance的范畴很大,涉及社区、企业、高校科研机构等各类开源参与体。
王伟:谈开源治理需要考虑语境,即:在什么场景下,谁去治理什么事情。
我个人认为,开源治理的场景大概有三块:
第一个场景是企业端。很多企业都在进行数字化转型,怎样去使用开源项目,同时去贡献甚至发起开源项目,这其中都离不开管理和运营工作,在这一过程中就会涉及到开源治理。
【开源|“讳疾忌医”的开源走不远】第二个场景是社区端。由于社区跟社区的不同,治理模式也不尽相同。目前不仅有单项目社区,即仅包含一个开源项目的社区,还有项目群社区,例如基金会。而不同的基金会开源治理的模式其实也不一样。
第三个场景是高校。高校去参与开源治理也涉及2个层面。第一个层面,高校作为使用方。目前高校也在做数字化转型,越来越多地使用数字产品,在这过程中会涉及到很多开源治理的问题。第二个层面,高校作为开源贡献方。例如在美国,其开源生态的繁荣离不开高校的创新力,很多明星项目都源于高校。而高校在做这些开源项目时,也会涉及各方面的开源治理内容。
因此,在谈开源治理的时候,要针对具体的情形、具体的语境、甚至具体的项目去谈开源治理才会有一个更加细的可操作的方法。
郭雪:大家对开源治理的理解差异比较大,而我认为可以从下面几个角度来说:
第一,从实施主体的角度来说,关于谁去落实开源治理这个问题,可以分为企业侧、社区侧等方面。
第二,从治理所聚焦的领域来说,可以分为开源安全治理、开源合规治理,开源供应链治理,开源的风险治理等。安全和合规方面的治理可能是目前大家认知度比较高的。
尽管大家许多人对开源治理理解的偏差较大,但我觉得最终目标是基本归一的,即推动整个生态的健康发展。
何苗:我们为什么需要开源治理?它可以解决什么问题?
适兕:我们经常会听到“删库跑路”的一些案例,其实开源开发者偶尔也会产生倦怠或者是厌烦的情绪,尤其是受到不公正的待遇,或者付出没有得到应有的回报的时候。
作为开源开发者,当他贡献了一个很好的库,下载量很大却没有得到任何收益,也没有人帮助其运营时,渐渐事情可能会走向极端。
我们的社会是分工的,有人的专长是写代码,但也需要其他社会力量来配合,而开源治理就是从这个角度来出发的,为的是让组织中的每一个个体发挥所长,共同促进开源的良性发展。
堵俊平:我认为不管从个人的角度,还是从企业的角度、社区的角度,如何能够形成一个合力,确保项目中的大家各方都能够走向成功,我认为是一个比较值得大家重点探讨的话题。
早期的开源是个人带着一些英雄主义的色彩去做的,但如今开源历经了二三十年的发展,其实已经进入产业化、商业化的时代。虽然个人非常重要,但也需要结合时代的发展与集体的力量。作为个人发起的项目,有责任让这个社区得到更好的发展。
从这个角度来说,一个项目从初创阶段走向了一个发展阶段或者走向鼎盛阶段时,就要重新考虑它的治理架构。原来的个人项目,当这个模式走到一定程度时,就要走向开放、走向开源治理的模式。开源治理模式需要将很多规则显性化。包括社区的哪些人拥有哪些权限、如何进行合作、用什么样的流程进行合作等,都要有很明确的规定。这样一来,个人力量就会变成集体力量。我认为这是从个人项目走向集体项目,走向开放的生态、开放的发展的一个重要的步骤,也是开源治理的关键所在。
郭雪:需要治理一定是因为有乱象。开源发展到了一定阶段,已经涌现出各类乱象,所以我们才需要制定规则。
读各个技术的发展史时就能了解到,当技术发展处于初级阶段时,其实不需要去干预它,反而需要它“野蛮生长”。但发展到一定规模之后,一定会有各类现象发生,这时就要想办法去治理。通过制定规则为我们下一步标准化、规模化的发展做铺垫。也只有突破了这个瓶颈,新的技术才能够进一步发展。
王伟:从GitHub上的仓库来看,其实95%以上的开源项目不需要太多治理,因为这些开源项目实际上是个人项目或小团队项目,仅仅基于自身兴趣,也没有太多目的和诉求,因此不需要治理。
而当一个项目有非常强的诉求和目的,例如需要做商业化的发展;又或者是它作为开源生态中非常重要的安全基础设施需要去演进的时候,那么就需要去做开源治理了。
至于开源治理的事情谁来做,开源社区可以去做一个共识性的判断,有的可以把治理的事情让渡给基金会,而有的可能是企业项目,就由企业来统筹去做开源治理的这些事情。甚至可能也会发展出一些第三方专业的开源治理的服务,而现在其实已经涌现出了一些商业的开源治理的工具。
尽管从数据上来说,只有很小一部分项目需要去做治理,但随着越来越多的关键性基础设施都是由开源项目所支撑,总的体量一直在增加。正因如此,开源治理迫在眉睫,甚至需要全球集思广益、共同参与。这是一件全球化的事情,因为开源逐渐渗透到整个人类数字化基础设施当中,治理起来挑战也非常之大。
文章图片
开源治理,从何处下手?
何苗:从企业入手展开开源治理比较靠谱,还是由政府成立专门的开源治理机构更靠谱?又或者是交由第三方机构来治理呢?
郭雪:首先,从企业侧展开一定是更落地的,因为他目标明确,所以企业侧的治理是最显效的,但与此同时也存在一个问题,那就是开源治理其实很难靠一家企业或单个组织去推动的。因为它涉及很多是公共类、共识类的知识。
企业侧做治理,可能会涉及一些模型选型,或者评价各类开源项目等方面的内容,单个企业很难独立完成,它一定是需要公共的支持和规则来支持的。在这个过程中,会需要各类横向的组织,例如我们信通院或者基金会等来参与,首先是需要制定公共的规则,其次是需要积累公共的知识储备。这对于整个产业发展来说是至关重要的。
王伟:我补充一下,基金会其实在公共类的服务方面承担着一个非常核心的工作。基金会不仅是一个公益组织,同时也是一个专业组织。做开源治理其实是非常需要专业度的事情,而基金会通常会把开源治理的问题共性化,甚至是用开源项目的形式将其工具化。不同的基金会有不同的定位,而基金会的多样性对于开源生态来说也是非常重要的,它可以满足不同开源项目的治理的需求。有的基金会可能仅涉及简单的指导;有的可能会制定行业标准;有的甚至会有专业的服务服务;还有的可能会提供治理工具。
现阶段,我们更多还是用国际上的开源工具、服务,和标准。但随着中国数字化进程的不断推进,我们肯定会有自己创新,并形成我国特有的开源治理特色。而这些特色经验之后或许还会通过基金会带到全球的开源经验库里去,而基金会在其中承担着这样一个“中介”的角色,我觉得是很好的。
何苗:非营利组织和政府在开源治理方面主要起到了哪些作用?
郭雪:作为信通院来说,我认为起到了两个方面的作用。
第一,我们会给顶层设计出主意,尽管最终的顶层设计不由我们主导,但我们会参与出谋划策。
第二,做行业平台的拉通,与大家互通有无。所以回到开源上,我觉得可能就非盈利组织和政府可能会做这几个方面:做政府智库、制定规则、制定标准、储备知识,建公共平台,布道等这些都是非盈利组织或者政府可以去做的事。
文章图片
开源治理经验之谈
何苗:全球有哪些开源治理的成熟经验可借鉴?
王伟:我了解到,近几年欧盟在开源治理方面投入了很多,他们有一个开源自己的框架,叫做Open Source With Good Governance。
他们通过中介的方式,并通过政府参与,自上而下地去做开源治理。并且他们将开源治理拔高到“数字主权”的地位。那么为什么要拔高到“数字主权”的问题上呢?其实也是跟现在的世界格局有关,估计是欧盟在这方面感受到了相关压力。全球化1.0其实一直都是美国所主导的,不仅包括整个开源生态的建设,还有基础设施、基金会等,这些都源于美国。
如果对数字化过于依赖,越来越多的开源相关的安全性事件也会时刻牵动着大家的心弦,例如GitHub上面以反战为名的投毒事件也给大家带来了不小的影响。因此,欧洲近几年在做一些自己的尝试,这对于我们来说也是一个非常好的一个借鉴。一方面我们要积极的参与全球的开源生态的建设;另一方面也需要建设中国特色的开源治理模式?
何苗:制定标准是否会在一定程度上限制开源的发展?
王伟:制定标准或许乍一听会被认为要对开源做出各种各样的限制。实际上并非如此,我们其实在做开源标准的时候已经形成了共识。首先就是要克制,要充分地考虑开源的特点。我们甚至会在标准里特地明确什么方面不需要去做限制。其他的标准可能更多地是在约束和规范,但开源的标准反倒是要给予一个宽松的环境才是更加符合开源特性的。
郭雪:我的感受有两方面:
第一,标准和开源的建立都是共识的过程。标准建立的过程会经过“三稿三审”,跟整个开源项目从孵化到毕业的过程非常类似,是逐渐形成的。另外,做标准一定有会议纪要,所有的讨论都会形成文字记录,符合开源的公开透明原则,同时可查可追溯,所以在我看来,标准和开源的本质是一样的,只是达成的结果不同。
尽管标准可能相对更封闭一些,个人可能无法参与标准的制定。这是因为本身标准的参与主体多为企业单位,而像一些ISO的标准,是以国家为单位参与的。而开源更多是个人作为代表。所以在组织形式上略有不同,它所代表的主体是不太一样的。
第二,这两年标准和开源在打通,就像Linux基金会的OpenChain和SPDX,在ISO的标准中都有绿色通道。即本身标准建立本身有一套“三稿三审”的流程,但ISO提供了绿色通道可以加速建立,基金会的项目相对成熟之后,就可以加速走ISO流程。
同时,我也见到很多已经应用较广的开源项目来找我做标准。即也有先做项目后做标准化的案例,这种方式其实也是在规范这个行业快速落地并应用,所以标准和开源是可以有效互通的。
何苗:如何组建开源治理的体系,目前有哪些标准?
王伟:很多标准其实还在制定当中,现在已经有的就是木兰的系列标准协议。
标准院目前在做的标准是非常基础性的,因此会耗费比较多的时间。具体包括企业端的开源治理标准,社区端的开源治理标准,以及整个框架等,总体来说还在不断迭代的过程当中。国际上目前的进展正如刚才郭雪老师提到的,是标准和开源项目正在打通并加速推进。特别是美国的这一套体系,其内部非常注重协同发展。那么,当我们去学习这些重要经验的时,也需要从自身的角度去出发,站在接下来全球化2.0的大背景下去思考该如何建设开源治理体系,甚至有没有机会去做一些引领性的工作。
堵俊平:开源中的标准一般都是事实标准,即并非由标准化组织制定的,而是一种已经获得大众接受,或是已有市场主导地位的标准。但事实上,开源是可以制定官方标准的,海外的基金会已经在做相应的一些探索,譬如Linux基金会旗下的OpenChain等,Linux基金会布局早、实力强,它拥有很强的法律的能力、营销能力、研发能力、社区运营能力等。
在国内我们也在推进开源治理,这里包括两部分工作,第一部分是信通院相关,共同在做可信社区的标准,即开源社区做到了哪些事情,就能被认为这个社区是可以信赖。
第二个部分是跟标准四院一起合作的,在做开源定义方面的相关标准。这部分可以对照国际OSI组织定义的开源10十大原则,即只要符合该组织的10点开放源代码定义,OSI就可提供正式开放源代码授权。在当前情况下,我们也在推动与国际接轨的工作,我们在中国的开源定义肯定要跟国际的定义在兼容的基础上再进行拓展。
文章图片
开源人才观
何苗:开源治理需要什么样的人才?
王伟:开源人才的培养比较困难,这和我们传统的教育模式、教育氛围是有关系的。且开源教育一定要和社区进行联动。但是我现在其实还挺乐观的,因为目前一方面,大家对开源教育这件事情开始重视。另一方面,开源教育对人的综合素质要求非常高。这要求高就意味着它对人才综合能力的锻炼也是非常大的。
开源的人才培养需要设计包括课程、培养体系等。目前国内也有各种各样的方式和机会可以让学生来参与,例如国内的开源软件供应链“点亮计划”,高校内的开源实验研究等。而这在十几二十年前我们那个年代是很少有这样的机会的,因此我还是比较乐观和有信心的。
以上是 4 位开源嘉宾在《开源圆桌派》的分享,他们对开源治理的深刻剖析相信能给大家带来全新的思考。未来,我们还需要更多的开源人才参与到开源的贡献和治理当中来,也希望更多的人关注我们后续的《开源圆桌派》系列访谈。
推荐阅读
- 开源资讯|4年后,Debian终夺回“debian.community“ 域名!
- 开源|议程速递 | 7月27日分论坛议程一览
- 开源资讯|Apache 基金会 2021 财年年度报告出炉,全球性活动中国最活跃
- 人工智能|华为首席开源联络官任旭东(深耕基础软件开源,协同打造数字世界根技术)
- 新程序员|对话MySQL之父(一个优秀程序员可抵5个普通程序员)
- 高度关注!2022 开放原子开源峰会最新议程一览( 时间调整为 7 月 27—29 日举办)
- 直播预告 | 7 月 22 日《开源安全治理模型和工具》线上研讨会
- 开源|Google 为造芯再掀“抢人大战”,英特尔 17 年老将加入
- 第三方开源库地址