重新整理 | 唐小引
头图 | CSDN 浏览自 VCG
公司出品 | CSDN(ID:CSDNnews)
7 月 15 日,由我国开放源码应用领域软件大力推进国联(COPU)承办,安德里媒体、《应用领域软件和器件》报社联手协办,CSDN 独家代理现场直播的 2020 第十四届“开放源码我国开放源码当今世界”研讨会新浪网上隆重举行。
在开放源码应用领域微电子及应用领域上保有近 30 年实战经验的谷歌 Azure CTO 服务项目部执行官工程项目副总裁 Stephen R. Walli 深入细致说起了谷歌开放源码人文的重构,并撷取了 GitHub 这两年来的非常大高速成长。那时,开发人员们日常生活在两个开放源码的当今世界里,始终都在使用、钟爱开放源码。而谷歌为开发人员大部份,由其环境治理并为其服务项目,这是创办人(比尔·盖茨和 Paul Allen)的本意。
在被谷歌全面收购后,GitHub 的历史使命仍然是为开发人员构筑亚洲地区协同的网络平台,谷歌只是为一间活耀的高速成长中的矽谷秃鹰公司提供更多灵活性。在 2020 年,GitHub 上的开发者数目稳步增长至 5000 万,80% 的使用者及COBOL源自于美国以外,其中以我国最多。我国在 GitHub 上是两个更让人不可思议的朝气蓬勃的高速成长街道社区,在我国的注册登记数目已经开始稳步快速稳步增长,在往后两年里稳步增长了 37%。
下列为 Stephen R. Walli 的演说录:
我们好,我是谷歌 Azure CTO 服务项目部执行官工程项目副总裁 Stephen R. Walli,很开心也很自豪能再度和我们沟通交流,两年前我就曾与我们一同沟通交流过谷歌开放源码人文的演进,彼时还才刚正式发布谷歌全面收购 GitHub 的重要信息。
我努力把重点放在是人文而非策略这个观点上。我曾想回到这样一种观点,即谷歌由开发人员大部份,由其环境治理并为其服务项目,这是创办人(比尔·盖茨和 Paul Allen)的本意。当然,我们的第一任 CEO 本身就是开发人员,现任 CEO 也是一位开发人员。
我想通过这个故事来帮助我们理解,在这个历史节点上,开发人员始终都在使用开放源码,大部份的工具、工具链,开发人员就是日常生活在两个开放源码的当今世界里。
开发人员喜欢开放源码,而谷歌由开发人员大部份,由其环境治理并为其服务项目,在我们变得更好之前,我们明白如何参与到开放源码的当今世界之前,这只是时间问题。在我们明白如何参与到开放源码的世界之后不久,也就是两年前,谷歌加入了开放创新网络 OIN,也加入了 LOT Network,这是两个专利持有组织,旨在保护其关心的开放源码街道社区。
最近的一些事情再度证明了谷歌支持开放源码应用领域软件的人文态度,Brad Smith 是我们的总顾问,也是我们谷歌的总裁,而且在往后 20 年里,他始终担任法律总顾问,Brad 承认了 20 年前公司在开放源码应用领域软件方面站在了历史潮流的对立面。不过,正如他所说,好消息是生命足够长,你可以学习,你也需要改变,我非常喜欢这句话。
The good news is that life is long enough, you can learn…that you need to change.所以那时,在这个简短的介绍之后,我想接着和我们谈谈,谷歌已经开始稳步发展自己的开放源码人文。我想从下列三个方面进行讨论:
谷歌对 Kubernetes 工程项目的参与,以及我们如何在 Azure 上的 AKS 服务项目中使用它;
GitHub 的最新情况,尤其是在我国的进展;
还有一些新举措,是谷歌和其他一些供应商开始合作,以确保开放源码应用领域软件供应链安全的新举措。
风靡的 Kubernetes
首先,我们来说说 Kubernetes 和 AKS。那时,大部份人都在运行容器化应用领域程序。据 Gartner 预测,到 2022 年,亚洲地区超过 75% 的组织将运行容器化应用领域和生产。
Kubernetes 是容器编排(Container Orchestration)的核心,它是两个非常成功的开放源码应用领域软件工程项目街道社区,无论衡量方式如何,Kubernetes 都是 GitHub 头号工程项目。
Kubernetes 已经发展几年,谷歌也成为该街道社区一部分好几年了,我们是云原生计算机基金会的铂金会员,Kubernetes 是 Linux 基金会的一部分,围绕着支持 Kubernetes 及其相关开放源码工程项目。我们是技术监督委员会、管理委员会的一部分,也是工程项目内 Kubernetes 指导委员会的一部分、Linux 基金会的董事会成员。
多年来,我们始终是这个街道社区的一部分,也是这个街道社区中不断高速成长的一部分。
Kubernetes 的高速成长更让人欣喜,因为它得到了广泛的使用,并且独立于供应商,得到了街道社区支持,这个工程项目很顺利,有众多源自不同公司和行业的COBOL。不仅仅是供应商在做贡献,你可以看到许多不同的COBOL,源自当今世界各地。其中一些是客户和专家,而用户其中一些是学者,你会发现这是两个非常活耀的街道社区。
同时,谷歌不仅参与了 Kubernetes 开放源码街道社区工程项目,还继续围绕 Kubernetes 工程项目创建和参与不少其他工程项目,它们都与云原生部署、云原生应用领域程序打包、如何思考在 Kubernetes 上运营和管理大规模部署有关。
这些工程项目都是我们自己继续正式发布开放源码许可证并围绕这些工程项目建立街道社区的。
Kubernetes 本身仍然只是容器编排的核心工程项目,不能单独使用 Kubernetes,需要向 Kubernetes 添加一些东西,才能真正为应用领域程序部署创建完整的网络平台。
我们知道大部份大型云服务项目提供更多商都把 Kubernetes 作为两个街道社区中的认证网络平台,然后将其引入自己的网络平台,开始创造丰富的客户体验。它们以多种不同的方式进行,因为要增加安全性和应用领域程序环境治理,数据集环境治理以及身份管理网络平台,我们会始终在自己的服务项目中的大部份不同集成中看到这一点。
谷歌集成 Kubernetes 的方式不同于亚马逊将 Kubernetes 或 Google 与其 Kubernetes 产品集成的方式。
Azure 上的 Kubernetes 是第一方 Azure 服务项目,我们通过 AKS 来进行大部份的东西,都具有面向客户的托管服务项目,这些实践为它提供更多了支持。涉及到围绕它的全面企业支持的这些安全的多层次也提供更多了支持,并且具有完整的统一管理实战经验。
开放源码工程项目是组件,公司会采用这些组件,和面向客户的旧产品和服务项目,这就是企业使用开放源码的方式。他们希望以这种方式使用开放源码,回馈这些工程项目,以及大部份为了保持工程项目健康活力,以供我们使用而做的改变。
GitHub 与我国
现在我想和我们谈谈 GitHub。
当我在两年前发言的时候,谷歌才刚宣布一项 GitHub 交易已经完成。根据美国商业法,除了非常简单的公开声明,我不能再多说,声明称我们期待合作,这是很好的。我想和我们聊一聊这两年来 GitHub 非常大的高速成长。
GitHub 的历史使命仍然是为开发人员协同构筑亚洲地区网络平台,我们将 GitHub 作为其自己的组织运行。事实上,谷歌只是为一间活耀的高速成长中矽谷秃鹰公司提供更多灵活性,它现已稳定下来,成为面向开发人员和客户的谷歌公司的一部分。
因此,尽管我们仍在继续运行它,GitHub 也在自行运行,它自己的部门在不断发展壮大。
这只是一些疯狂的数字,我不会两个两个地讲,但是确实存在这种丰富的环境,在 2020 年,GitHub 上的开发人员数目稳步增长到 5000 万,我们 80% 的使用者位于美国以外,而在排名前十的国家和地区中,美国仍然是最大的市场,不过我国紧随其后,其次是印度、英国、巴西、俄罗斯和加拿大等。
我国是 GitHub 上两个更让人不可思议的朝气蓬勃的高速成长街道社区。我们已经有超过 200 万学生在 GitHub 上查阅和学习代码,这对人们来说,是很好的学习体验。我们继续帮助满足当今世界上更多开发人员的需求,并向他们传授开放源码知识。
我们继续提供更多企业网络平台,目前亚洲地区财富 50 强企业中,有 32 家企业已经开始 GitHub 上构筑应用领域软件,这是两个非常稳定的合作企业质量环境。
而 GitHub 在我国这两年稳步发展壮大,我国是 GitHub 在亚太地区最大的市场,也是亚洲地区第二大市场。在我国的注册登记数目稳步快速稳步增长,在往后两年中稳步增长了 37%,比美国的稳步增长速度还要快。比如说,我国的企业云账户也在稳步稳步增长。
在我国,开放源码本身仍然是朝气蓬勃的技术发展机会,随着人们继续合作,撷取工作,相互学习,GitHub 网络平台仍然是实现这一目标的绝佳场所。
因此,很开心看到开放源码在我国的发展,看到 GitHub 在我国的连锁反应。
来看看我国有多少人在学习开发并成为开发人员,可以看到,在我国,GitHub 教育也在以 8% 的速度发展。
如何保护开放源码应用领域软件供应链?
是如何考虑保护食品供应链的,我们知道食物源自农场,通过买家通过经销商再到客户手中,如果有问题,我们可以追溯回去,就像人们希望从应用领域软件供应链的角度来考虑这个问题一样。
从开放源码开发人员把代码放入 GitHub 存储库,然后,由应用领域程序开发人员持有,用于支持公司中的终端使用者,或者用于构筑产品并将其销售给终端使用者。
同样是这种意义上的应用领域软件供应链,和我们如何追踪问题。不幸的是,应用领域软件供应链并不像食品供应链那样简单,这是因为有太多的依赖关系开始互相回滚,人们总是使用更多的组件来构筑更大的组件,这些都是应用领域软件供应链规则,因此当我们开始弄清楚它时,这是两个更为复杂的问题。
而当你踏入这个领域,真的就像我们一开始说的,开发人员喜欢开放源码系统和开放源码开发人员问题,大部份在这种环境下工作的开发人员都是这样。
当遇到两个已发现的关键漏洞,突然之间,两个漏洞可以接触到人们所依赖的许多不同的关键应用领域软件包,所以 Visual Studio Code Atom Slack 和 Discord 会使用 Electron。
Electron 中的 CVE 影响了全当今世界许多使用者,但问题比这更严重,因为随着应用领域软件变得越来越复杂,越来越多的人在开放源码当今世界中工作、协作和共享,我们的依赖链越来越长。VS Code 依赖于 Electron,Electron 依赖于 Chromium,而并非当前版本的 Chromium,它依赖于旧版本的 Chromium,不能简单地重新网络平台化,Chromium 则依赖于 FFmpeg,奇怪的是 FFmpeg 依赖于 FreeType,继续这样下去,FreeType 中的漏洞可能会通过 Electron 迅速影响,然后就会看到它扩展到很多其他方面。
所以,这项工作是为了验证,我们确实比较了解食品供应链是如何运作的,我们正设法把这个想法应用领域到应用领域软件供应链上。
我们正努力通过应用领域软件物料清单和策略来进行,这可以让我们考虑诸如开发人员、生产者身份、产品识别等因素。正是这个应用领域软件集合,正逐步进入构筑过程完整性,我们怎么知道这源自于两个可靠的网站,但没有经过限制和许可,我们怎么知道这个应用领域软件包及其大部份依赖关系都正确符合其许可要求。
同样地,创造是否意味着我作为客户的要求,如果我是航空飞机制造商,我可能对我已经开始使用的应用领域软件有非常不同的要求。
最后是材料,我们对我们创造的应用领域软件组件有信心吗?这是开始考虑构筑材料和应用领域软件以及如何对其应用领域策略的大部份要素。
早期的项目之一为这里的一些思想提供更多了基础,这个工程项目就是 SPDX(Software Package Data Exchange),即应用领域软件包数据交换,这个工程项目是 Linux 基金会旗下的工程项目,用于许可证合规性工作,它基本上提供更多了 XML 格式标记系统,可以帮助快速识别清单中应用领域软件组件的关联关系。
包开放的组件时,可以在整个供应链中进行真正的策略追溯和证明,所以现在这个领域有很多工作要做。
我们的目的是,要在整个复杂的应用领域软件供应链中,能有我们都认可的应用领域软件物料清单,这些应用领域软件供应链的不同部分连接在一同,因此组件基于组件。当有很长的依赖关系链时,以及各个部分如何组合在一同,实际上可以跨大部份这些网络站点进行验证,这就是目前已经开始进行的工作。
有更多的讨论,但这是两个挑战,需要在亚洲地区范围内很多人一同努力,我认为在接下来的几年里,我们会不断加以应对,我们再度在街道社区中集体合作,以确保开放源码应用领域软件供应链的安全。
总结
最后,我想给我们撷取两个观点,两年前我和我们沟通交流时,我从 CEO 萨提亚·纳德拉那里了解到这个观点,通过我们的行动,最近采取的行动、以及那时和未来的行动来判断我们。我想请我们在 2020 年继续以我们的行动,以我们在这个代表开放源码当今世界的活跃亚洲地区应用领域软件街道社区中的参与来做判断,感谢我们抽出时间,很自豪能在我国进行演说,我非常非常期待在不久的将来再度访问北京。
我国首家苹果零售店重开业,苹果CEO库克发文揭幕;“携号转网”服务项目使用者破千万;GitHub 完成北极源代码存档|极客头条
点撷取
