I am not a supplier (2022)
a year ago
- #Open Source
- #FOSS
- #Software Supply Chain
- 软件供应链的概念因LeftPad事件和广泛使用库中的安全漏洞等事故而受到关注。
- 自由开源软件(FOSS)通过库实现了广泛的代码复用,这得益于包管理器和宽松的许可协议的支持。
- 制造业的供应链模式涉及与供应商的深度关系以防止中断,这与FOSS生态系统不同。
- 公司依赖FOSS库面临风险,包括安全漏洞、恶意代码和维护者的政治决策等。
- FOSS维护者并非供应商;他们自愿提供代码,与用户之间不存在业务关系或义务。
- 许多关键的FOSS库面临资金困境,正如Nadia Eghbal的《道路与桥梁》报告中所强调的。
- FOSS许可协议明确声明软件按“原样”提供,作者不承担任何担保或责任。
- 作者强调FOSS维护者不是供应商,并拒绝在无补偿的情况下强加供应链规则。
- 文章最后重申了FOSS的“原样”性质以及缺乏供应商关系的事实。