聲明:本文來自於微信公眾號CSDN（ID:CSDNnews）)，作者:范冰，授權站長之傢轉載發佈。

“我期望的未來是能夠在共同的項目上進行全球合作，能夠在未來找到一種不受語言、時區、政治等障礙影響的方法，共同協作。”2022年，CSDN《新程序員》采訪 Apache 之父 & OpenSSF 基金會總經理 Brian Behlendorf，這句話正是他在最後吐露的最真摯且崇高的開源理想。

時過境遷，Brian 現在已經是 OpenSSF 基金會的首席技術官，他帶領基金會成為連接一百傢企業的龐大組織，將安全的保護散步開源領域的每一處，預防下一次“Log4j2危機”爆發。在他的“排兵佈陣”下，分佈在世界各地的 OpenSSF 工作組各司其職，不同國傢、不同時區、不同公司的人達成共識，貫徹開源精神實現著全球化的安全治理。

時間同樣改變全球最熱切的話題，ChatGPT 的問世讓 AI 席卷各大領域，吸引包括科技巨頭、企業領袖和創業傢在內的人們的關註。當馬斯克和黃仁勛在人工智能相關新聞上出盡風頭的同時，深耕開源領域的 Brian 同樣將目光放在火爆的大模型上:在他看來，AI 模型最後的“大贏傢”將會是開源模型，風靡一時的 ChatGPT 正如當年不可一世的 Windows98，但最終全世界的電子設備幾乎都選用同時代的開源操作系統 Linux。

本期《近匠》，Brian Behlendorf 來到中國面對面對話 CSDN &《新程序員》首席內容顧問鄒欣，他不僅會聊 OpenSSF 在疫情期間的應對經驗，還會帶來自己對人工智能的獨到觀點以及給學生、程序員和廣大開發者的寶貴建議。

ChatGPT 就像當年的 Win98，

但 Linux 成為眾多領域的支柱

鄒欣:近半年 ChatGPT 的爆火讓 OpenAI 的成功大受矚目，你如何看待此事?

Brian:我不知道 OpenAI 現在有多開放，但它無疑利用現存的所有開源工具訓練大量的數據，將 GPT-1迭代到 GPT-4。從某些角度來看， OpenAI 的成功有些類似於當年微軟推出的 Windows98，它象征著微軟某一時期的成果總結。ChatGPT 扮演著平臺的角色，為初創公司提供機會，也是時代變遷中的一個重要節點。當我們審視這個轉折點時，有一點值得銘記:當 Windows98發佈時，Linux 還未為人所知。Linux 如今已成為眾多領域的支柱，大多數電子設備都基於 Linux 運行。最初被視為慈善甚至學術研究的 Linux，發展成支撐70% 到90% 技術品牌的核心。

開源的力量不容忽視，在目睹 ChatGPT 和其他大語言模型嶄露頭角之後，我們也見證開源大語言模型領域的蓬勃發展。一些企業如 HuggingFace，在這一領域取得持續進展。開源模型的影響力正在逐漸增大，與 ChatGPT 的差距也在迅速縮小。這些開源模型將經過更加高效的訓練，融合更多的模式。我堅信，到今年年底，開源模型將能夠與閉源模型平分秋色。Windows98和 ChatGPT 由單一公司、單一產品主導，這種模式雖然高效且專註，能夠創造出許多令人驚嘆的成果，但我認為開發者普遍渴望未來的軟件模式更加傾向於去中心化，渴望在多人參與的模式下構建一個更加開源開放的開發環境。

長期以來，Linux 基金會設有針對收集大數據的工具和策略，成立 LF AI & Data 基金會，這對構建大模型至關重要。華為，ZTE，阿裡、CSDN 的加入使這些模型更加可靠。另外，LF AI & Data 最近成立 Generative AI 工作組，專職開源大模型方面的項目，預計9月在深圳發佈。

鄒欣:IT 領域已經在歷史上證明過多人開發往往能帶來更好的結果。期待未來有更好的開源大模型，讓不同的公司可以利用它們自由地探索不一樣的應用模式。此外，今年6月，OpenAI CEO Sam Altman 在一次演講中呼籲全球的安全合作，在你看來全球協作最大的障礙是什麼?

Brian:Linux 其實並不比 Windows 更安全，但人們對 Linux 的信任源於其開源的特性。相信自己能夠發現潛在的安全漏洞並進行修復，這使得 Linux 更加透明且更容易被審查。正是因為開源軟件能夠被許多人審查、改進和分享，更加安全的代碼才能誕生。

和開源軟件類似，人工智能模型也可能受益於更多的合作、改進和共享。人們對人工智能的擔憂和疑慮可能會隨著更多人的參與和直接合作而得到解答。通過與模型的合作、重新組合、改進和整合，人工智能也可能變得更加透明和可信，從而解決人們對其發展方向的擔憂。

消除時區和文化差異的全球協作，或許要靠 AI

鄒欣:這是你在疫情後首次來中國，OpenSSF 是個怎樣的組織?過去三年它經歷哪些變化?

Brian:去年年底，Linux 基金會內部為 OpenSSF 定制一系列不同的策略，目標是改善開源軟件的原始安全狀態，並解決一些軟件供應鏈上的缺陷。這些項目很快被社區主導，我當時是牽頭人。

在此之前，我已經在 Linux 基金會的開源項目 Hyperledger 擔任5年的執行董事，後來從 Hyperledger 轉向更具規模的基金會事業。由於 Log4j2、SolarWinds 這些著名的安全事故引發廣泛關註，OpenSSF 得以成立。如今我是 OpenSSF 的 CTO。

我用三年時間讓 OpenSSF 成為一個連接100傢公司的組織，包含不少大企業，比如華為、騰訊、阿裡還有很多中國的公司。為查明開源軟件及其代碼的安全漏洞，我們發起一系列的項目，測量開源軟件的風險、讓軟件通過訓練 Dev 並變得更安全、編寫更安全的代碼、查看特定於供應鏈的工具（比如通過軟件工程的簽名給出一個框架來描述軟件的安全級別）等等。我們的使命就是封鎖這些漏洞。

鄒欣:開源供應鏈是開源生態系統的重要組成部分，你在很多演講場合都強調這一點。什麼是開源供應鏈?它為何如此重要?

Brian:開源軟件與互聯網密不可分。在互聯網發展的初期，我們能輕松地給任何人發郵件，甚至偽造白宮的名義發總統信函，惡作劇騙人。在 TLS 普及之前，每個人對互聯網上的內容有著極高的信任度。但隨著人們深入開源軟件領域，逐漸學會關註項目在其網站上發佈構建包時的監管鏈，解從 GitHub 倉庫到軟件包發佈網站再到個人設備的整個過程，解哪些環節可能存在不適當的幹擾。在復雜的企業環境中，供應鏈變得日益復。

因此，OpenSSF 推出兩項技術，以防止下一次 Log4j2或 SolarWinds 事故。首先是SIGSTOR，這是一個簽名平臺，類似於 Let's Encrypt（一個熟知的 TLS 證書頒發機構）。SIGSTOR 允許開發者輕松地對發佈版本和構建壓縮包進行簽名。這使得代碼通過系統時，可以在倉庫驗證開發者的身份，從而增強供應鏈完整性。

其次是SLSA，即“SupplychainLevels forSoftwareArtifacts”（軟件工件的供應鏈級別）。SLSA 提供一種標準或規范，即在供應鏈中流動的軟件工件是在何種條件下制造的。這涵蓋使用可信硬件的情況、發佈源代碼壓縮包時是否有多人簽名確認等。這是一種自我驗證的方法，基於谷歌內部開發的技術，已經成為開源項目，被用於管理軟件供應鏈中的風險。

鄒欣:OpenSSF 基金會有六個指定的安全相關工作組。為什麼是六個?他們是如何協作的?

Brian:其實我們準備將工作組的數量增加至九個。

在 OpenSSF 成立之初，社區內就已經湧現出各種不同的想法和項目。於是組織開始按主題將各種項目進行分類，最終，OpenSSF 的活動被分類到不同工作組中。有人關註供應鏈的、測量軟件風險的工具開發，還有人編寫代碼的最佳實踐，提供工具、文檔和指南。最近我們成立一支新的工作組，計劃從銀行和醫療保健公司的角度出發，幫助用戶將工具有機地結合在一起使用。

工作組的設立是一種擴展的方式，目前我們正在啟動一個專註於人工智能和機器學習的工作組，試圖探索如何利用人工智能來提升軟件的安全性，並關註人工智能本身的安全問題，並找到方法來協調不同的活動，使它們真正創造價值。

鄒欣:工作組的成員分佈在世界各地，OpenSSF 如何讓不同國傢、不同時區、不同公司的人達成共識，並實行有效的工作模式?

Brian:這確實是開源項目長期以來的挑戰。我從希臘的二頭政治（diarchy）中獲取靈感，讓擁有不同動機、優先事項和技能的人能夠協同工作。

在開源項目組裡，每個人都有自己的優先事項，有好想法並不意味著別人就會去跟隨。因此，關鍵在於如何建立一種框架，使人們不僅有好的想法，還願意付諸實際行動，提交拉取請求或提供文檔。也就是說，我們需要在工作組中塑造一種文化。在開源項目中，人們需要頻繁地溝通、保持開放、避免內訌。這就是建立社區的藝術，我從 Linux 基金會的案例中已經學會如何做到這一點，而且做得很出色。

在考慮構建全球團隊時，時區問題是我最擔心的。在我參與開發 Apache 時，一切都以電子郵件為主，基本原則是:如果一件事沒有在電子郵件列表上發生，那麼它就沒有發生。因為電子郵件沒有時區限制，在這種工作環境下，就算隔幾個小時才回復郵件，也沒有關系。然而，在 Zoom 或 Slack 上的實時通話中，合作可能會變得困難。現在許多開源項目都非常註重實時聊天和視頻會議。這確實是件好事，人們尋求幫助變得更容易，人面對面交流的時候合作也會變得更加順暢。但這些工具確實讓不同時區的參與者的合作變得困難，這點是不可忽視的。

因此，我們一直在考慮是否將一些會議安排在亞太地區的工作時間。在中國的 Hyperledger 項目中，我們創建一個專註於支持本地開發者的中國本地社區，並提供翻譯等支持。當有人想要做出貢獻時，我們會成為連接全球社區的橋梁。OpenSSF 也在推進類似的工作，並將許多 OpenSSF 網站、文檔翻譯成中文，通過微信頻道分享，卻仍然面臨著如何將更多中國人引入項目的挑戰。

鄒欣:我發現你的竅門，那就是先解決本地的問題。

Brian:是的。開發者在涉足任何開源項目時都會面臨一個學習曲線，有時候可能會缺少文檔，我們必須幫助開發者理解項目的運作方式。如果你的開發人員不懂英語，這無疑會帶來一些挑戰。哪怕是當今最好的機器翻譯，也沒法徹底解決這個問題。我認為未來最壞的情況就是每個問題都在兩個不同的開源項目中得到解決，比方說一個在中國，另一個在美國。我真的希望能夠共同構建通用的技術解決方案，也許未來的人工智能翻譯可以解決這個問題。

我們必須創造出應對時區差異和文化差異的方法。正是因此，我才行至中國，Linux 基金會也在中國舉辦活動。即使在過去最困難的時刻，我們仍然與世界各地的開源開發者緊密合作，持續不斷地努力著。

安全問題不應亡羊補牢，而是防患於未然

鄒欣:在軟件開發過程中，安全性往往被人們忽視。通常人們先有創意，開發到後面才開始考慮安全性。但我認為現在全球開發者已經有一些進步，特別是在開源領域。對於一些小公司或項目來說，可能會擔心自己沒有能力考慮到這麼重要的安全性問題。你對此有什麼建議呢?

Brian:學習如何重構別人的代碼是有技巧的，這是一項開源開發者需要學習的技能。一個已經存在一段時間、有很多貢獻者的項目，往往比隻有一個人的年輕項目更加安全。

理想情況下，檢查的人越多，錯誤就會越少。OpenSSF 開展一個名為安全評分卡的項目，它涵蓋一百多種不同的啟發式方法，通過自動化檢查軟件的表現，為開源軟件庫（如 GitHub 或其他庫）中的項目評估風險。目前已經對超過100萬個 GitHub 代碼庫進行評估，並生成一份開源代碼的信用評分。可將其視為開源代碼的信用報告，用來評估代碼的可靠性和潛在的漏洞風險。我希望將其整合到開發者工具中。如此一來，開發者可以在需要某個功能時，快速查看不同選項的分數，從風險角度決定是否選擇風險最小的選項。你甚至會看到保險公司在審核企業時，根據這個分數來評估數據源的風險，從而決定是否收取更高的網絡安全保險費。風險評估是至關重要的。

此外，提高軟件安全性的成本並不高昂。我們在 OpenSSF 的最佳實踐工作小組中開發一個課程，名為“編寫安全軟件”，課程包含約16個小時的內容，匯集一些常見的不良編程案例，可以幫助新人開發者避免最常見的漏洞。即使是 Log4j 的開發人員也可以通過學習這門課程，意識到代碼中存在的風險，因為其中一個重要的建議就是不要輕信用戶輸入和解析格式化字符串，而這恰恰是 Log4j 的做法。我希望軟件開發者——即使是使用 ChatGPT 或 Copilot 這樣工具的開發者，也能從這門課程受益。你可以通過 Linux 基金會獲得認證，而且這門課程是免費的。

鄒欣:這門課程適合大學生學習嗎?

Brian:這不是一門很深的技術課程。在學習這門課程之前，最好至少已經學過一門編程語言。可以是 Python 或者 Go，當然也可以是 C。

這門課程將幫助學生在職業生涯中更好地理解和應用軟件安全的基本原則，打下堅實的基礎。也能幫助人們意識到安全問題並不是亡羊補牢，而是可以防患於未然。如果把安全性問題留到最後，它可能永遠都不會得到解決。通過學習這些技術，開發者會在編寫代碼的過程中采取一些措施來提高代碼的安全性，而不是等到最後才來考慮。

不懂開源，別想學好計算機科學

鄒欣:如今，許多中國的年輕人在大學甚至高中就開始學習 IT 相關的專業，開源可能不是他們最關心的問題之一。你認為高中生加入開源項目是否合適?

Brian:這或許是我的偏見，但我認為在當今的計算機科學教育中，即使是高中生，也應該優先接觸開源軟件。在美國，有一門非常受歡迎的編程語言叫做 Scratch，教簡單的編程概念，它適用於不同年齡層，特別適合初學者。通過可視化的方式，用戶可以創建交互式項目，分享代碼，並解如何閱讀、改進他人的代碼。

在 Scratch 平臺上，我可以看到人們制造自己的無人機軟件、年輕的孩子們參與機器人軟件的開發，這些項目一開始就是開源的。在我上大學那會兒，芯片架構課程教的都是閉源架構。而如今，越來越多的人開始學習 RISC-V 架構。另外，人們在學習操作系統時，也不會學習閉源的 MacOS 內核，而是一開始就去學 Linux 內核或其他開源內核。

因此，現在的學生如果不解開源知識，就不可能學好計算機科學。

不少年輕人早就覺得開源是計算機科學中理所當然的一部分。這就好比如果你對魚解釋水有多麼重要，魚可能根本不懂為什麼你要強調水的重要性，因為對它們來說，水（開源）的存在理所當然。

鄒欣:開源社區的用戶對開源的認知仍然存在差異，有些單純享受著免費的源代碼;有些則積極參與貢獻;還有一些想要參與貢獻但不知如何著手;另外一些未入局的學生認為開源意味著免費，從中無法盈利，因而質疑其意義。你能為我們解開這個謎團嗎?

Brian:那些不知如何著手的人往往隻是看不出代碼中的問題。當軟件開發者遇到問題時，他們解這個問題是 bug 還是代碼本身缺失的功能嗎?如何找到合適的人問這個問題?怎麼在開源項目中聰明地提問?這些技巧鮮有人指出。所以，未來應該在計算機科學教育中設立一門新課程:如何與開源項目進行交互。讓軟件開發者能夠分辨一個問題的性質，然後提供修復甚至創造新的功能。希望每位計算機科學專業的大學生都能明白如何參與項目，如何與人溝通，最終從中受益。

如果 AI 能幫助所有人成為10x 開發者，那就來吧!

鄒欣:人工智能最近在編寫代碼方面取得驚人的進展，信息技術專業的大學生開始擔心人工智能會取代自己的工作。你對他們有什麼建議?

Brian:每一次技術浪潮都會顛覆一些東西，我們沒有理由害怕這些技術。歸根結底，這些技術已經成為增強能力的工具。讓我們看看汽車，自動變速箱在問世之年也曾被視為“魔法”，但它沒有讓人們突然失業，反而讓駕駛變得更加容易。人們不會面臨失業，而是會轉變自己的角色。我認為學生現在應該專註於學習如何使用這些工具，思考如何利用它們來解決實際問題，而不僅僅是用 AI 完成作業，在未來的工作中才會更具競爭力。

鄒欣:比如，用 AI 編寫一個排序功能。

Brian:期望開發者一遍又一遍地編寫排序函數是很荒謬的。解函數的原理固然有趣，但沒人會真的重復編寫排序函數。AI 工具將幫助開發者提高效率，加速工作進程。大多數開發者都覺得自己沒有足夠的時間來處理所有任務，如果 AI 真的能幫助所有人成為10x 開發者，那就來吧!說實話，學習軟件開發的人沒理由不使用這些工具。

鄒欣:敏捷軟件開發的倡導者肯特·貝克（Kent Beck）曾經在推特上寫道:“我很不情願地用 AI 試著寫代碼，然後發現它可以讓我的90% 技能被取代，並讓我剩餘的10% 技能放大一千倍。”

Brian:沒錯，那些被取代的部分，我們會找到新的方法來填補，毫無疑問，AI 會幫助我們實現這一點。

鄒欣:在 AI 時代，對於學生、專業人士，特別是軟件領域的從業者來說，最關鍵的核心技能是什麼?如果人工智能可以自動完成“CRUD”，即創建、檢索、更新、刪除這些工作，我們還能做些什麼?

Brian:在我看來，出色的開發者通常具備的關鍵特質就是舉一反三。當有人提出需要軟件實現某些新功能時，優秀的開發者會先思考:這個軟件是否真的需要新功能?也許這個軟件還有其他潛在功能，或者能夠為創新過程提供價值，比如考慮用戶界面和用戶體驗等。開發人員將更加專註於產品設計，正確引導產品的發展，而不是過於糾結於構建算法或調試低級應用程序接口，這有助於減少錯誤，提升工作效率，也會帶來更多樂趣。

“我希望為女兒創造一個更好的世界”

鄒欣:未來兩三年，您有什麼預期?是樂觀地預計不同組織和國傢之間將有更多合作?還是為世界上不同的地緣政治沖突而悲觀?開發者該如何讓軟件和生態系統更加安全?

Brian:我天生是個樂觀主義者!當前的地緣政治局勢雖然看起來很復雜，但最終還是會向好的方向發展。我已經年過半百，也經歷過上世紀美俄關系緊張，時好時壞，明白世事不斷變遷的道理。我希望在這不穩定的局勢中創造一個更好的世界，也堅信人類最終將能夠克服分歧，共同合作，解決一些系統性問題——比如氣候變化、貧困和可持續發展目標。我有一個七歲的女兒，希望能留給她一個更美好的世界。

隨著全世界更關註安全問題，美國和歐洲等地區開始推出旨在提高軟件安全性的新法規，我最擔心的是政治因素可能會導致某些國傢被警告不要使用中國開發的軟件，也在努力抵制這種趨勢，強調軟件的來源並不重要，真正重要的是教育人們如何編寫安全的代碼。

人工智能會朝著更有益於人類、更安全的方向發展，對保障代碼的安全產生積極影響。我也對未來充滿期待，現在正是激動人心的轉折時刻。