“幾千名散布在全球各地的開發者們,利用業餘時間,僅僅是通過Internet這種脆弱的合作,就鬼斧神工般地造就了一個世界級的操作系統?我肯定想不到。”這是Eric S.Raymond在1999年出版的《大教堂與集市》一書中形容Linux系統的話。
這本書後來被譽為“開源運動的《聖經》,顛覆了傳統的軟件開發思路,影響了整個軟件開發領域”。
而讓他驚訝的Linux系統也一路成長,今天已是大多數計算機啟動時最先加載的程序之一,也是雲計算、物聯網的核心模塊。甚至可以說整個網絡計算機世界都運轉在這個最著名的開源軟件之上。
而書中Eric 總結的開源軟件的優勢,也成了Linux等開源軟件後來大獲成功的最好解釋:
“只要眼睛多,bug容易捉。”(given enough eyeballs, all bugs are shallow)
他在書中把封閉的開發形容為大教堂——自上而下,信息不透明,成本高昂;而開源軟件則聚集了不同的開發者從不同角度做貢獻,這些人帶着熱情鑽研每行代碼時,不僅效率高,也會更安全,更容易發現漏洞——就像熱鬧的集市那樣。
由此而推動的開源運動中,也對開源達成了許多定義,包括它最重要的特點是源代碼開放,最核心的原則之一就是不得對任何人或團體有差別待遇。
但是這種開放和互信精神一直在遭受着各種衝擊。微軟曾經被認為是打壓開源的代表,Linux的創始人林納斯·托瓦茲和微軟前副總裁克瑞格·蒙迪就曾有過一次著名的爭論,脾氣火爆的托瓦茲對蒙迪說:
“我不知道蒙迪是否聽說過艾薩克·牛頓爵士?他不僅因為創立了經典物理學而出名,也因為說過這樣一句話:‘我之所以能夠看得更遠,是因為我站在巨人肩膀上的緣故‘。我寧願聽牛頓的也不願聽蒙迪的。他(牛頓)雖然死了快300年了,卻也沒有讓房間這樣地臭氣熏天。”
後來的故事大家都知道了,微軟經過了各種事情后也變成擁抱開源的企業。Linux也已經存在於每個人的電子設備中。
但針對Linux和開源軟件的不信任,從沒消失——現在,輪到美國政府表達對開源的不信任了。
或者應該說,美國政府不太想站在那些非美國籍牛頓們的肩膀上了。
據MIT科技評論最新的一篇報道,美國國防高級研究計劃局(Defense Advanced Research Projects Agency,簡稱DARPA)開展了一個名為SocialCyber的項目。
在介紹這個項目的報告——《混合 AI 保護開源代碼的完整性》中寫道,使用開源雖然節省了成本,提高了可維護性,甚至吸引了開發人才,但也暴露了所用開源軟件的組成和路徑,使其更容易遭到攻擊。所以,他們覺得有必要全方位分析開源軟件,以防止惡意活動。
DARPA《混合 AI 保護開源代碼的完整性》
為此,DARPA成立了專門的項目組,打算花費18個月時間、數百萬美元做這件事。而且,項目組表示,在AI工具的協助下,不僅要分析開源軟件的源代碼(一般有數百萬甚至上千萬行),還要進行社會維度的分析。
據MIT科技評論報道,研究人員將分析開源社區內的互動,以識別擾亂性或傷害性的行為,然後進一步判斷社區成員的性質,比如,哪些值得信賴,哪些又需要警惕。
而DARPA選擇用這套方法“處理”的第一個開源軟件,正是Linux。
Linux已經是當前最著名的開源軟件。應用Linux的計算機之多,遠遠超出其他任何操作系統:
我們熟悉的所有互聯網終端,手機、平板電腦、路由器、電視和電子遊戲機等等,其嵌入式系統都建構在Linux之上。
Linux也是服務器所用的主要系統,是公共互聯網服務器上最常用的操作系統。
從數據庫 MySQL到大數據處理工具 Hadoop、Spark,只要你能想象到的技術領域,幾乎都能找到 Linux 的身影。
可以說,我們每時每刻都在使用着Linux,雖然很多人並不知道。
影響力如此之大的開源軟件,其正常運行自然也是建構在整個互聯網的協助之上的。如果有人統計Linux內核的貢獻者,會發現這約等於寫一本全球IT廠商點名冊:英特爾、Google、IBM、英偉達、Red Hat……
然而,很多人不知道的是,在這些Linux內核的貢獻者中,華為的排名已經攀升到了第一。去年7月份,Linux發布了有史以來最大的發行版之一,Linux Kernel 5.8,當時Linux內核貢獻排行統計顯示:
華為在代碼修改行(line changed)位列第一,佔比 27.8%,是第二名的3倍以上;代碼貢獻(changesets)位列第二名,佔比 8.6%,僅次於Intel。
圖源:網絡
華為貢獻的 1399 個補丁,涵蓋了ARM64 SPE perf event、ACPI CPPC 支持 ARM64 CPU 超頻、虛化熱遷移頁標臟優化、CPU 休眠調控器默認可根據場景調整等系統特性,以及網絡、文件系統、perf 調測、安全等關鍵子系統的 bugfix 補丁,均為 Linux 能夠正常運行所需的基礎功能,對於 Linux 非常重要。
眾所周知,華為近些年一直是美國政府的重點管制對象。於是在對社區成員的性質分析時,DARPA進行了重點研究,並對華為的貢獻再次進行了“肯定”。
負責其項目的研究機構聲稱:他們發現華為目前是Linux內核的最大貢獻者。不過,“肯定”的目的當然不是為了表揚,因為研究機構接下來說的是:另外,與華為一樣受到美國制裁的俄羅斯網絡安全公司Positive Technologies,也對Linux內核做出過貢獻。
“受到美國制裁的”這個形容詞,基本解釋了上文“需要警惕的”指向的群體。有評論就指出,DARPA這個項目所謂的分析Linux,真正目的更像是要“審查Linux的開發者”:
聽起來他們不像對維護感興趣,而是對提交代碼的“受制裁實體”更感興趣。
另一方面,和DARPA《混合 AI 保護開源代碼的完整性》中暗示的、人們對於Linux似乎“只用不維護”恰恰相反,為了維護好nux,互聯網巨頭們一直出人、出錢、出力。
微軟曾發布面向Linux通用的微軟防禦高級威脅保護(ATP),以保護Linux服務器免受服務器和網絡威脅。
Google一直熱衷於參與開源應用的安全維護,它甚至在2021年資助了兩名人員,讓他們專職開發和維護Linux內核安全。
Linux基金會也在2021年10月宣布,與其他行業領導者一起籌資1000萬美元,用於識別和修復開源軟件中的網絡安全漏洞,並開發改進的工具、培訓、研究和漏洞披露實踐。
不過,對修補平台漏洞貢獻最多的還是Linux平台上的開發者。截止發稿日,這個群體成員目前已經達到了13256人。
根據Google公司的研究項目 ,正是該平台的開發者努力修復漏洞,才讓Linux的安全性評級遠超 Windows 、macOS。
他們查看了 2019 年 1 月至 2021 年 12 月期間報告的已修復錯誤,發現開源程序員平均只需 25 天即可修復 Linux 問題,與此同時,蘋果平均用了大約 69 天、Google 為 44 天、Mozilla 大約為 46 天,微軟則是83天。
另外,Linux 開發者也一直在穩步減少修補安全漏洞所需的時間。早在 2019 年,這個數據就已經縮短至一個月,至現在,已經縮短到兩周左右。
也就是說,在DARPA介入之前,針對Linux的維護已卓有成效。且所有的系統維護都是針對代碼本身,從未牽扯到人的身份上。
DARPA要更進一步識別貢獻成員的這個操作,就引起了爭議——因為這看起來更像按照DARPA的“一家獨大”的思路把Linux這樣的開源軟件“控制”起來,由它根據美國的利益來決定誰是“值得信賴”的貢獻者。
事實上,美國其實早就習慣了把開源作為自己的控制範圍。比如前幾年,美國就將開源軟件納入了“出口管制”名單,為此,全球最大的開源軟件基金會Apache、全球最大的開源代碼託管平台Github不得不發布公告,稱受政策影響,服務可能受到影響:
Apache:“除非經美國政府正式授權,否則ASF軟件/技術數據不得直接或間接出口/再出口到受美國禁運或貿易制裁的任何目的地。”
Github:“GitHub.com,GitHub Enterprise Server以及您託管的開源項目可能受美國出口管制法律的約束,包括美國出口管理條例(EAR)。”
限制事件發生之後就出現不少反對的聲音。開發者們在GitHub創建了名為“github-do-not-ban-us”的項目進行抗議,還一度登上了GitHub熱榜第一。
而值得注意的是,本次“審查事件”的主人公Linux在當時就一直沒有發布相關公告,而且還在一年後,正式發布了一份中英文版白皮書《了解開源科技和美國出口管制》。
它在操作層面給出了繞過出口管制條例等問題的攻略,並且寫到:
“公開發布給全世界享用的開源技術是不受制於美國出口管制EAR,開源至今仍然是一個最為便利的全球協作的模式。”