“我曾认为开源是有钱闲人的游戏,不要试图快速从中变现” 对话《大教堂与集市》译者卫剑钒
宋林飞主编、受访嘉宾何淼、CSDN产品魏建凡(id:csdnnews),以及那些关注开源的人,必须非常熟悉大教堂和市场。随着本书中文版在中国的发行,译者魏剑凡逐渐被更多的人所认识。现在,开源圈的朋友们亲切地称他为魏先生。在这本书中,最初的eric s. raymond使用了许多抽象概念来告诉您关于开源运动的理论和实际应用。这些;晦涩难懂;他的英语也给魏剑凡的翻译工作带来了许多挑战,但他始终相信一句格言:“我相信你,我相信你,我相信你,我相信你。”;有一件宝藏陷入困境;。在无数个周末之后,我想;“更严重”;他最终将《大教堂与市场》的中文版完整而准确地呈现给读者,使许多热爱开源的中国人能够跨越语言障碍,欣赏所谓的开源运动;《圣经》;
的风格作为一名网络安全专家,由于工作性质,魏建凡没有太多机会参与开源项目,但他具体表现为"e;先生报价("e);个人博客和官方帐户上的所有人”;“人声”;在开源中解释许多抽象;“不知道该怎么办”;开源元素,如开源概念、开源许可证、热门开源事件等。。。就像世界上的专家一样。许多读者在阅读了他的文章后,对开源有了更深入的理解
古人说:“我认为,开源是一个非常重要的领域。”;旁观者看清楚了;,在本期的开源访谈中,cathedral and market的翻译人员和信息安全专家魏建凡应邀分享了他在;开源观察员&报价;从开源协议、开源安全和开源开发的角度;麻烦中隐藏着宝藏
CSDN:您已经将开源作品《cathedral and bazaar》翻译成中文,并且经常向每个人解释晦涩难懂的开源协议。这两件事并不容易。从你个人的成长经历来看,你为什么坚持做这样的事情
魏先生:这两件事有共同之处。它们都具有翻译的性质,都有翻译的困难。如果你读了原《大教堂和集市》,你就会知道它很难阅读和理解。开源许可证也具有此功能。如果你对开源、it或英语不太了解,你会发现很难直接阅读。我碰巧在IT领域工作,对开源有一定的了解,并且有足够的英语来翻译,所以我决定这样做。有一句谚语我很喜欢;有一件宝藏陷入困境;。对于一些简单的事情,我们可能有很多方法来获得解决方案。但更难和更有价值的知识需要流行的媒介,以便人们能够相对容易地接触、理解和掌握它。如果我一个人努力工作,我可以造福更多的人。这是我理解的开源精神
魏先生:我主要基于两个判断。首先,世界最终将走向数字化。我们应该能够感受到,近年来数字化趋势越来越明显,发展速度越来越快。在过去两年中一直在燃烧的元宇宙是假设,即未来人类将生活在数字世界中
另一方面,我相信未来的软件最终将被开源吞没,其中大多数将走向开源。如果封闭源代码软件和开放源代码软件的功能几乎相同,那么开放源代码软件必须更具竞争力,因为人们会更喜欢开放源代码软件。因此,年轻人参与编程和开源项目也是进入未来社会的早期准备。能力越强,未来的竞争就越激烈
开源协议是创作者和用户之间的合同和默认合同𞓜 CSDN:开源圈中的每个人都知道你擅长解释开源协议。为什么理解开源协议对我们如此重要
魏爵士:开源协议本质上是一个合同。开源项目的作者认真地以书面形式向用户提出了自己的要求,以提醒用户按照自己的要求使用。例如,我们应该保留作者的版权信息,不要因为使用引起的问题找到作者等。如果用户不注意这些明文要求,他们在使用过程中违反了开源许可,这可能会给自己带来麻烦。这可能会引起作者的愤怒和一些争议,也可能会导致诉讼。因此,作为一个开源用户,我们必须注意开源协议
CSDN中的要求:您能向开源新手介绍一些常见的开源协议及其特点吗?有什么区别?如果你想开放一个项目的源代码,如何从中选择
伟先生:最常用的开源协议包括BSD、MIT、Apache和GPL
简而言之,BSD和MIT是最简单、最宽松的协议,对用户的要求最低。Apache许可证不像MIT和BSD那么简单。它包含对专利的描述。这就是它更具创新性的地方。它的风格也比较严谨,考虑的因素也会比较全面。GPL的主要特点是它有"e;传染性"e;,如果您将开源代码与GPL协议一起使用,那么您的项目也必须是开源的
用户需要注意不同开源协议的特点,并根据自己的情况选择合适的协议。如果你编写了自己的小软件,具有玩彩票的性质,那么你可以使用MIT和BSD。你不必关注它。如果你是一个具有一定规模的开源软件,并考虑商业化,你可以考虑使用Apache协议。它将更加全面。它将考虑专利的许可;如果我们提倡自由软件的精神和概念,我们可以使用GPL系列协议
就个人而言,我更喜欢松散的协议。例如,麻省理工学院很简单,也很随意。因为他们都选择开源,所以最好更彻底地开放它。把一些东西放在公共领域也很好
“我曾认为开源是有钱闲人的游戏,不要试图快速从中变现” 对话《大教堂与集市》译者卫剑钒 CSDN:目前,国内没有关于开源软件的法律。开源软件协议是否具有法律效力?它是如何约束开源作者和用户的
魏先生:虽然中国没有与开源直接相关的法律,但开源协议可以被视为合同,受合同法的保护。虽然创建者和用户都没有签署协议,但作者附上了;“合同”;同时发布。一旦开发人员使用了作者发布的软件,他将默认接受合同。如果他不接受它,他就不会使用它。此外,开源软件本身拥有版权,因此它也受到版权法的保护。去年,中国发生了两起与GPL协议有关的著名案件。我们也可以看到法庭审判后的判决。我就此写了两篇文章。如果您感兴趣,可以看看
CSDN:最近,地缘政治冲突已经蔓延到开源世界。甚至GitHub等开源平台和一些开源社区也已停止应俄罗斯政府的要求或呼吁向俄罗斯提供某些服务。这是否意味着法律和政策凌驾于所有开源协议之上?开源有国界吗 魏先生:开源协议只是一个合同。显然,其法律效力大于开源协议。尤其是当开源协议与法律规定的内容发生冲突时,法律效力更高。GitHub的限制如下;在我们努力确保所有国家的开发人员都可以使用GitHub的同时,我们还继续确保所有人都可以获得免费的开源服务,包括俄罗斯开发人员。我们的法律团队已经彻底审查了这些权限,我们正在遵守不断发展的出口管制和贸易法规。这包括实施新的严格出口管制,旨在严格限制俄罗斯获得维持其侵略性军事能力所需的技术和其他物品。”;我们需要认识到,GitHub是一家被微软收购的公司。其所有行为仅代表受美国法律控制的美国公司的行为。因此,我们可以说开源程序、开源精神和开源社区没有国界,但每个开源开发者和开源公司都属于一个国家
维护开源安全需要多方共同努力𞓜 CSDN:一般企业使用开源软件的风险是什么?魏先生:企业使用开源软件的风险主要有两种类型,第风险是开源是否能被很好地使用。很好地利用开源并不容易。企业可以开发自己的代码,也可以从供应商处购买软件和代码。对于企业来说,如果技术能力不强,即使成功部署了开源软件,他们也可能不得不等待社区发布补丁来修复安全漏洞。但是,如果社区不能在短时间内提供支持,企业本身将无法修复(除非是技术实力雄厚的it企业),这对企业来说是风险
第二类是合规性,主要存在于那些有产出能力的企业中。需要检查输出的产品和代码,看看它们是否违反了开源许可证的要求。假设代码中使用了带有GPL协议的开放源代码,那么企业是否打开了源代码?否则,就会出现问题,即合规风险
CSDN:开源技术由于其开放性和无门槛,很容易受到黑客攻击。以前曾发生过许多由开源技术漏洞引起的安全事件。您如何从网络安全专家的角度看待开源安全
魏先生:开源的安全性与任何软件的安全性没有本质区别。只要软件是由人编写的,就会出现安全问题,这与它是否是开源无关。业内有一句广为流传的谚语:"e;只要有很多眼球,虫子就很容易被抓住;。由于开源的自然协作特性,开源的安全性应该更高。然而,事实上,很多安全漏洞都隐藏得很深,很多眼球都看不到。要发现此类漏洞,独特的安全技术和安全专业知识至关重要。而查找函数bug和安全bug的想法完全不同
“我曾认为开源是有钱闲人的游戏,不要试图快速从中变现” 对话《大教堂与集市》译者卫剑钒
开发者的思维和安全人员的思维完全相反。开发人员更关心的是实现功能和提高性能,而安全人员关心的是如何通过各种意外手段获取数据和权限。如何理解这两种思维之间的区别?您可以以最简单的用户名和密码函数为例。传统的测试只测试不同长度和类型的字符输入是否会导致程序崩溃和异常;安全测试人员将构造复杂的数据作为输入,例如SQL注入语句,或导致缓冲区溢出以执行恶意代码的数据,这在传统测试中是不考虑的。安全人员需要从一个无法想象的角度和路径找到那些隐藏得很深的安全漏洞。这些不是常规测试,而是安全测试
当然,我们建议开发人员应该有一定的安全思维和安全能力,但似乎有很多困难,开发人员通常不太关心安全性。专业培训会很有帮助。此外,安全过程(如devsecops)将嵌入整个软件生命周期,使人们能够制作更安全的软件
为了防止甚至消除开源软件的安全漏洞,除了提高开发人员的安全能力和加强过程控制外,我们还可以在更多的技术领域做出努力。在CPU、硬件架构、操作系统、编程语言、安全工具等方面可以有更多的安全创新和改进
一般来说,经过20多年的发展,无论是安全法规、安全理念、安全意识,还是安全技术、安全产品、安全生态、,整个环境比我第一次接触领域(2000年左右)时要好得多
我想看到开放源码吞噬世界的那一天𞓜 CSDN:目前中国一些开源产品和开源文化的发展情况如何?是否存在瓶颈? 卫Sir:据我所知,目前国内比较有名的开源产品发展得很好,但有更多的开源项目无法脱颖而出,没有进入大家的视野。 说到开源文化,我能感觉到每个人对开源的态度都比以前友好得多。大约十年前,许多人甚至对开源有一些错误的理解,认为开源是"坏"东西,是"别有用心"是的,现在看来简直不可思议。 现在我们逐渐从实用的角度看待开源,发现开源软件不仅可以解决自己的问题,还可以获得源代码,甚至商业化。我认为这些想法是自然的、正常的,是理性思考的结果,只要它们不违反开源许可证。 另一个进步是,人们普遍意识到开源可能带来的风险和合规性。经济实力雄厚的公司将购买商业版的开源软件和开源相关服务。IT值得称道的是,企业也开始贡献上游,开源内部软件,促进开源生态发展。 总的来说,我认为目前国内开源没有瓶颈,也没有突破。自由发展,自由竞争,自由使用,只要合规。 CSDN:你曾经专门写过文章讨论 faker.js 和 colors.js 这里重点讨论了开源程序员破库逃跑的故事"如何利用开源获取收入"另外,你认为开源开发者还面临哪些困难? 卫Sir:很长一段时间(我现在也这么认为个人项目),我认为开源是一个富人和闲人玩的游戏,你可以把它当作一种兴趣或乐趣。 如果你仍然面临食物和衣服的问题,我建议你先务实一点,找一份工作,可以得到薪水,不要试图快速从开源中实现。玩开源可以是为了乐趣,为了提高能力,获得声誉,为了满足存在感,但无论如何,在阶段,个人玩开源,不要指望直接赚钱。开源本身更多的是一种奉献精神,这是开源最重要的困境。 此外,许多人仍然希望得到他人的认可,发挥自己的价值,给社会带来一些有益的影响。但是,您的开源代码可能不会被关注、下载或使用,也可能不会产生您预期的效果和影响。创作者的一般困境是,当你的作品没有被关注或使用时,你会感到非常失落和容易放弃。因此,你所做的必须足够好,解决足够有趣和有价值的问题,你必须有足够的能力,甚至包括程序员稀缺的营销能力,以获得更多的关注和认可。 CSDN:你曾经说"免费"、“搭便车"等话题失去了讨论的意义,那么你长期最关心的开源圈还有哪些问题呢? 卫Sir:我更关心的是,当每个人都能使用开源桌面操作系统和开源时office软件,甚至人们使用的软件都是开源的?也就是说,开源什么时候才能真正吞噬世界? 这可能需要很长时间,甚至在某些领域也永远不会实现。例如,可以直接盈利的消费软件通常不会开源。然而,未来的世界真的很难想象。也许开源会以难以想象的方式吞噬世界。 此外,我们还谈到了个程序员因为拿不到收入而愤然删库跑路的例子,我们能找到让程序员进入自由编码状态的方法吗?不再需要考虑生计,题,也没有必要被雇佣。你可以通过写代码、参与开源项目或创建自己的项目轻松获得回报吗?这也是我长期关心的问题。 开源开发者因为赚不到钱而删库跑路不是个例,他们的代码使用量很大,但因为是免费的,没有任何经济回报的机制,开发者就无法因此致富。假如能有一种方式,只要代码被人使用了,产生价值了,就能得到收益,这对开源开发者而言就是非常理想的状态。目前看来Web3似乎是一条可行的道路,但也有人认为Web3并不靠谱。 一切都不清楚,但我很期待。 《开源访谈录》是一个专注于开源开发的访谈专栏。每周邀请一位具有代表性和影响力的开源专家讨论开源话题,从不同角度恢复开源圈的真实面貌。 END