再谈“开源软件供应链安全”
转载自:开源社KAIYUANSHE
作者:庄表伟
缘起
时代已经发生了变化
关于回报:如果我们扩展经济人假设,将回报,不仅仅局限于经济上的,金钱的,直接的回报。而是按照功利主义的定义:“效用最大化”。所谓效用,包括幸福、快乐、满足等等情感体验。通过获得经济收入,当然是一种方式。但是:社会地位的提升,甚至仅仅是在社区范围内的备受尊崇,也是一种方式。更有甚至,仅仅是创造一个从未存在过的事物,这种创造的喜悦,就足以回报那些黑客的全部投入。
关于未来:黑客、程序员,也许是最喜欢科幻小说的人群了吧。不仅仅是喜欢,而且他们甚至希望能够促成某种未来的早日实现。如果自己写的代码能够帮助这样的未来早日实现,如果与一群黑客一起努力,能够推动这样的世界早日降临,几乎每一个黑客都会愿意倾尽全力。
从“礼物文化”到“注意力兑换”
在礼物文化下,其成员通过送出礼物而竞争社会地位。
礼物文化并不是对物质稀缺的适应,而是对物质充裕的适应。充裕性会使命令关系难以维持,会使交换关系变成无意义的游戏。在礼物文化中,社会地位并不取决于你控制了什么,而是你给予了什么。
礼物的价值是客观存在的吗?是可以被客观、准确、以公认的方式判定的吗?
人们,注意这里的人们,到底是一百个人,还是一万个人?这些人的数量应该会有多少,他们如何达成共识?
所谓社会地位,到底是什么?尊重,礼让,还是某种“注目礼”?
首先应该是软件价值本身,一个加密软件,应该比一个加法软件,更有价值。
其次是这个软件究竟对多少人有价值?一个只对一百个人有用的软件,肯定不如对一百万人有用的软件,那么有价值。
然后就是争夺关注度的情况了,一款对一百万人有用的软件,现在只有一百个人知道,这个软件的价值说到底也不大。
兑换内心满足(有人用,我就很开心)
兑换社会地位(更高的社会评价)
兑换就业机会(跳槽到大厂)
兑换风险投资(有投资人看中这个开源软件)
兑换维护合同(有企业级用户使用,愿意找你维护)
供应链、责任链与利益链
软件吞噬世界:全世界都运行在软件之上
开源吞噬软件:几乎所有的软件,都有开源的成分,甚至完全就是开源
云计算吞噬开源:云计算靠开源赚到了钱,但是并没有分给开源
传统的供应链,是一级与一级之间,都签了合同的。 但是在软件,尤其是开源软件的供应链,每一级之间,都有免责条款。
一座冰山是“开源项目”,海面之上看得到的开源项目,只是开源世界里的极小部分
海面之下的开源项目,不仅重要,而且是海面上的开源项目,存在的基础
但是,海面之下的开源项目,几乎没有商业价值,也没有投资前景
另一种冰山是“开源贡献者”,海面之上的开源开发者,只是开源社区里的一小部分人
他们的确做出了极大的贡献,也因此享受到了“礼物文化”
海面之下的开发者,他们的贡献甚至被忽略了,社区的尊崇地位,几乎与他们无关
生态责任
结束语