From 38d99d67f6102318749ba88a07e5a054000f287a Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 15:26:21 +0800 Subject: [PATCH 1/7] Create CRA --- content/post/apache-blog/CRA | 92 ++++++++++++++++++++++++++++++++++++ 1 file changed, 92 insertions(+) create mode 100644 content/post/apache-blog/CRA diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA new file mode 100644 index 00000000..3491be85 --- /dev/null +++ b/content/post/apache-blog/CRA @@ -0,0 +1,92 @@ +--- +categories: +- 开源 +- Apache Way +- 博客 +- 传播 +date: 2020-05-25T16:06:05+08:00 +description: "Apache 之道的异步通信,是否在疫情发生的非常时期能够凸显出其优势了呢?还是只是没有被影响到罢了?让我们来听听 ASF 的名誉会员怎么讲。" +keywords: +- Open Source +- Culture +- Reading +- News +- Blog +tags: +- Apache blog +title: "【Apache 博客】之 冠状病毒肆虐之下的远程协作" +url: "" +authors: +- Marvin Humphrey +translater: +- ALC Beijing +--- + +## ALC Beijing 引言 + +2020年,对于世界上所有的人都是一场灾难,在刚刚开完的两会,国家希望通过地摊经济来复苏中华大地的经济繁荣,当然这在日常的小商品、食物等方面还可以,那么信息经济下,过去一直都在一个屋檐下工作的人,突然变成了在线会议的方式,一定会出现一定不适应,甚至会出现效率低下。这个时候,最应该考虑的就是开源的协作模式!当然,ASF 以其独特的完全虚拟享誉全球!值得学习的地方实在是太多了。 + +![](https://codeahoy.com/assets/images/featured/corona_virus.jpg) + +## 前序 + +我(Marvin Humphrey)是在2005年”抵达“ ASF (Apache 软件基金会的简称,下同) 的,起因是我对 Apache Lucene 的一个Bug有了严重的不满情绪,之所以使用“抵达”这个词汇,就像是我找到了某种归属,因为自从那时发起了第一封邮件之后,在接下来的15年里,我发送了数以万计的邮件,可想而知我在ASF花了多长时间,这几乎是我的第二个家。由于 ASF 一直以来都没有实际的“物理”办公室,所以也就免去了很多现实中的麻烦,比如是否穿戴得体、肢体语言是否合规等等,其实就那个Bug 来讲,我当时不满的原因是:Doug Cutting (Hadoop创始人 ——译者注),当时还是Lucene 项目的贡献者,认为他非常没有耐心。 + +让我们回到本文的主题上了,因为Apache 这20多年来没有实际的办公室,大家均是基于互联网这个虚拟的线上共同体而工作在一起,所以新冠病毒发生以来,其实对于 Apache 的成员和贡献者们的影响是微乎其微的,尽管对于每位贡献者的个人生活上是确确实实受到了影响,但是就ASF的整体而言,并没有出现什么不适应之类的。 + +但是 ASF 之外仍然有很多的人,他们未必有这样的一套机制和习惯,世界各地的人们都在为抗争疫情而努力,尤其是“社交距离”的约定,原有的公司章程等均可为此而进行修订,另外让人痛心不已的是,有些人根本都没有机会来进行改变,直接破产倒闭,人已经失业了。 + +然而,决定改变的人们遭遇到了一些窘境,是将大量的工作采用了远程的方式来做,但是进展缓慢;突然而至的远程工作,人们措手不及。那么我们是不是可以如此的积极思考了呢?加快并简化向远程协作的过渡,那么可以节省不少的精力,并可以提高效率。这里可能需要加上一点创造力,面对疫情之下的“新常态”,是可以做到比原来更加高效的,而且也不需要花多久就可以适应。 + +请问你是开源贡献者吗?如果是的话,那么贡献你,你已经具备了当前全球复杂经济面前的急需的远程工作的能力和知识,接下来就让我们来聊聊我们所知道的以及或许可以帮助到你的一些内容。 + +## 互联网将人们变成了“怪物” + +在互联网,人们彼此的交流大多是通过对着电脑屏幕敲打键盘完成的,这区别于我们现实中面对面的语言交流。作为社会性的人类,我们可以通过他人的面部表情、语气、肢体语言等反馈来对自己进行相应的校准,并作出适当的反应。当时,当所有的沟通和交流都通过击打键盘来完成的时候,就没有了面对面那种反馈机制,这对于人来说是及其难以适应的事情,往往会产生一些不好的效果,尤其是带有情绪的词汇。 + +那么,过往一直以来都是在办公室交流的人们,突然转移到了Slack、电子邮件、以及其它以文本的方式交流的方式和渠道,有一定的不适应是较为正常的,但是通过文本来进行沟通是有难度的,需要训练自身的同理心来获得提升,个人建议去观看“Jimmy Kimmel Show” 当中的[“名人阅读Tweets”](https://www.youtube.com/playlist?list=PLs4hTtftqnlAkiQNdWn6bbKUr-P1wuSm0)节目, 可以有效提升自己对于一些词语的敏感度。 + +世界是动态演变的,只要开源共同体仍然有存在的意义,那么它就必须在每一天都要和这些不便进行斗争。随着时间的流逝,“阴谋”的人身攻击由于其潜在的腐蚀作用而逐渐成为禁忌。这就成就了我们在文化上的共识:**应该去评判那些想法,而不是人本身。** + +随着越来越多的共同体采用“行为准则”,辩护变得越来越正式和复杂。这些明文的文档,主要目的是防止骚扰,以及其它严重的不当行为,这些文档通常包含有关共同体成员应如何彼此相待的颇为理想的建议,因为在鱼龙混杂的环境下特别容易产生一些严重的不当行为。 + +无论如何,各位看官,你自身所在的组织是否采用了行为准则,自觉的提高职员们对来自网络的攻击性的警觉意识,是上佳选择。基于此之上,职员们才能有效的识别言辞,设身处地的为他人着想,从而使每个人都能够采用更具建设性的沟通方式。 + +## 知会大家 + +不过话说回来了,即使是在同一个办公室内,人与人之间的协调依然是件充满挑战的事情。当然,在远程这样的形势中,协调的难度更是加大了不少,需要付出更多的精力,这个时候最需要建立的就是公开透明的“知会大家”文化,否则,团队将变得碎片化,每个人也将变得孤立。 + +在ASF,这样的情形可谓是极端化了,因为 Apache 的在线共同体遍布全球各个角落。由于牵扯到的时区实在过多,一般情况下是无法召集到全部的利益相关者在一起开会的,即使是在线视频会议也难以成行,另外,还有一个因素,那就是不是所有的贡献者都是专门针对 apache 项目进行的,大多时候是业余时间进行的。 + +面对面,视频聊天,电话,文本聊天等“同步”通信渠道非常适合快速启动迭代和提炼想法,但实际上却将任何不实时关注的人排除在外。即使捕获了对话(例如通过AV录制的实时会议或记录的文本聊天),它的效率也很低,并且常常使事后回顾事情的发展变得混乱。 + +面对如此的情形,ASF 采用的策略就是所有有实际意义的项目都需要在 **单个、异步沟通渠道**中进行。 + +* 这个频道必须要严肃对待起来,从而能够让所有的参与者都信任该频道,即使是人们没有来得及观看和参与所有的消息,但是重要的内容不会被错过。 +* 沟通渠道必须是异步的,从而确保一些资源受限的参与者的权益。 + +另外,关于同步的活动是可以在此频道之外进行的,再强调一点,同步有其自身的优点,同步的沟通对于迭代想法非常的有效,但是,身处共同体的人还是希望此类的会议能够被记录摘要,并将之发布到刚才提到的沟通渠道,从而使得所有的利益相关者有机会发表各自的看法。 + +在 ASF,这个严肃而正式的异步通信渠道就是邮件列表,但这不代表什么,其它也有非常好的工具:对于某些非技术性的任务,可以是 Asana ,也可以是 Wiki,甚至是一个电子表格,都是可以的。过度追求技术上是没有太多意义的,最为关键的仍然是亮点:1)正式 2)异步。 + +## 做出决策 + +在办公室,决策者可以通过获得各种各样的信息:如通过不经意的偷听、一起吃工作午餐、即兴的协作等等,然而在不期而至的远程工作中,这些渠道统统不复存在,只有经过人们深思熟虑的信息,是唯一的决策依据。 + +但是,一个正式的异步通信渠道在某种程度上可以对这样的情形进行一定的补偿,这样的方式有效的提高了透明度,所有的工作及其进度、成员的合作状态,都是一目了然的,即使哪怕是工作是独立完成的,也是众人皆知的。而恰恰是通过正确的使用异步沟通渠道获得信息,而不是混乱而冗长的实时的信息交换,这样就可以有一个从高处观看的视角来洞察整个全局的情况,另外,正式的沟通渠道还有一个至为重要的能力,那就是可以衡量大家达成的共识,还保持所有的记录。 + +``懒人共识法``(Lazy consensus)是一种蛮有效率的确认方式,例如某位成员将提案发布出来,如果在某个时间范围内(ASF为72小时)没有异议,则该提案被认为是隐式同意的。通过对沟通渠道进行积极的监督,将那些有缺陷的提案标记出来,``懒人共识法`` 是鼓励积极主动者颇为强大的工具,这也是远程参与者非常宝贵的个人品质。 + +## 总结 + +冠状病毒疫情肆虐之下,人类的组织正在以各式各样的方式抵抗和对付这场灾难。 + +在开放源代码的世界,二十多年来,已经有不计其数的优秀的项目在基于互联网的方式下运作,可以说是在远程协作方面积累了非常丰厚的经验,当然也走过很多的弯路。或许我们这些开源界的人,可以帮助到面对突如其来面临远程协作的团队,帮助其在艰难的时刻找到自己的方式。就让我们帮助他们做到最好吧,这也是我们的初衷之一。 + +## 关于作者 + +Marvin Humphrey 目前是Apache 软件基金会的名誉会员,在过去他担当过ASF 的很多主要角色:孵化器的VP、法律事务的VP 、以及董事会成员。目前则将主要精力放在了家庭上,偶尔出来做做咨询。 + +## 原文链接 + +[Success at Apache: Remote Collaboration in the Time of Coronavirus](https://blogs.apache.org/foundation/entry/success-at-apache-remote-collaboration) From e2aa99437ea050aa0ae8790a4d9ab7096ab81f0b Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 15:45:38 +0800 Subject: [PATCH 2/7] Update CRA -translation Update CRA -translation --- content/post/apache-blog/CRA | 75 +++++++++++++++--------------------- 1 file changed, 31 insertions(+), 44 deletions(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index 3491be85..1d59e1d0 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -4,8 +4,8 @@ categories: - Apache Way - 博客 - 传播 -date: 2020-05-25T16:06:05+08:00 -description: "Apache 之道的异步通信,是否在疫情发生的非常时期能够凸显出其优势了呢?还是只是没有被影响到罢了?让我们来听听 ASF 的名誉会员怎么讲。" +date: 2024-01-29T15:42:05+08:00 +description: "通过本文可以了解CRA(网络弹性法案)的最新进展及其对开源软件的影响。" keywords: - Open Source - Culture @@ -14,79 +14,66 @@ keywords: - Blog tags: - Apache blog -title: "【Apache 博客】之 冠状病毒肆虐之下的远程协作" +title: "【Apache 博客】之 关于欧盟软件法规的最新进展:诸多改进与利好消息" url: "" authors: -- Marvin Humphrey +- Dirk-Willem van Gulik translater: -- ALC Beijing +- 孙振华 田凌侠 校对 姜宁 --- -## ALC Beijing 引言 +## 关于欧盟软件法规的最新进展:诸多改进与利好消息 -2020年,对于世界上所有的人都是一场灾难,在刚刚开完的两会,国家希望通过地摊经济来复苏中华大地的经济繁荣,当然这在日常的小商品、食物等方面还可以,那么信息经济下,过去一直都在一个屋檐下工作的人,突然变成了在线会议的方式,一定会出现一定不适应,甚至会出现效率低下。这个时候,最应该考虑的就是开源的协作模式!当然,ASF 以其独特的完全虚拟享誉全球!值得学习的地方实在是太多了。 +在过去两年中,Apache 软件基金会(ASF)和许多其他开源组织对即将出台的软件监管总体提出了担忧,尤其是《网络弹性法案》(CRA)/《产品责任指令》(PLD)。 -![](https://codeahoy.com/assets/images/featured/corona_virus.jpg) +这两项法案都将对我们的软件行业产生巨大影响。总的来说,这意味着在互联网上发布、销售等的软件需要被认为是“适合其用途的”。它需要在合理的时间内确保安全。而这项法规推翻或废除了我们大多数人所喜爱的“如果出现问题,后果自负(if it breaks you get the pieces)”的免责声明。 -## 前序 +CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的法律文本,以及通常只是走个形式的批准程序。这是 ASF 和许多开源社区最关心的法案,其中也有不少好消息。 -我(Marvin Humphrey)是在2005年”抵达“ ASF (Apache 软件基金会的简称,下同) 的,起因是我对 Apache Lucene 的一个Bug有了严重的不满情绪,之所以使用“抵达”这个词汇,就像是我找到了某种归属,因为自从那时发起了第一封邮件之后,在接下来的15年里,我发送了数以万计的邮件,可想而知我在ASF花了多长时间,这几乎是我的第二个家。由于 ASF 一直以来都没有实际的“物理”办公室,所以也就免去了很多现实中的麻烦,比如是否穿戴得体、肢体语言是否合规等等,其实就那个Bug 来讲,我当时不满的原因是:Doug Cutting (Hadoop创始人 ——译者注),当时还是Lucene 项目的贡献者,认为他非常没有耐心。 +概括一下 2023 年夏季的情况:CRA 在欧洲议会(复杂流程的一部分)获得通过,同时提出了一系列要求。毫不夸张地说,这些要求并不适合开源,也几乎不适合互联网上的每一款软件。 -让我们回到本文的主题上了,因为Apache 这20多年来没有实际的办公室,大家均是基于互联网这个虚拟的线上共同体而工作在一起,所以新冠病毒发生以来,其实对于 Apache 的成员和贡献者们的影响是微乎其微的,尽管对于每位贡献者的个人生活上是确确实实受到了影响,但是就ASF的整体而言,并没有出现什么不适应之类的。 +这包括在供应链早期就进行复杂的认证,以及对发布和贡献提出不切实际的监管要求。大多数这些要求似乎更有可能降低整体软件安全和网络弹性水平,而不是实现 CRA 值得称赞的目标——使事情更加安全和可靠。 -但是 ASF 之外仍然有很多的人,他们未必有这样的一套机制和习惯,世界各地的人们都在为抗争疫情而努力,尤其是“社交距离”的约定,原有的公司章程等均可为此而进行修订,另外让人痛心不已的是,有些人根本都没有机会来进行改变,直接破产倒闭,人已经失业了。 +其中一个关键问题在于,当时的CRA(《欧盟网络安全法案》)并没有真正认识到,即管理良好的开源软件实质上构成了整个软件行业的基石(根据欧盟的数据,欧洲范围内该部分产值约为650亿欧元)。围绕开源进行协作也是我们行业中创新的主要驱动力(这一点也得到了欧盟的确认)。这些并不是微不足道的经济问题:尽管我们的行业规模较小,但对几乎所有其他行业都产生了巨大的影响。 -然而,决定改变的人们遭遇到了一些窘境,是将大量的工作采用了远程的方式来做,但是进展缓慢;突然而至的远程工作,人们措手不及。那么我们是不是可以如此的积极思考了呢?加快并简化向远程协作的过渡,那么可以节省不少的精力,并可以提高效率。这里可能需要加上一点创造力,面对疫情之下的“新常态”,是可以做到比原来更加高效的,而且也不需要花多久就可以适应。 +在过去的几个月里, ASF, Eclipse, FSF Europe, the Linux Foundation Europe, the Python folks, the Open Source Initiative, Mozilla, NLNet-labs, the Internet Society(以及其他无数组织),以及许多使用开源的工业团体,花费了大量的时间和精力与政策制定者、西班牙欧盟轮值主席国、欧洲议会、欧盟委员会以及 25 个左右的欧洲国家政府进行沟通。不仅要解释开源软件的影响,还要解释什么是开源——以及为什么它对行业的创新能力至关重要,是行业创新的核心。此外,由于我们的代码是许多其他软件的基础,因此对于 CRA(提高安全性)的目标来说,正确处理事情也很重要。 -请问你是开源贡献者吗?如果是的话,那么贡献你,你已经具备了当前全球复杂经济面前的急需的远程工作的能力和知识,接下来就让我们来聊聊我们所知道的以及或许可以帮助到你的一些内容。 +我们也花费大量时间来解释开源及其为何是一种独特且特殊的经济实体——几乎可以视为一种额外的生产要素(除了劳动力、土地、资本等)。就像知识一样,源代码可以被自由复制,而不会对贡献者造成损失或损害。然而,与知识不同的是,源代码既是事物的描述,又是事物本身。 -## 互联网将人们变成了“怪物” +这在几个方面都取得了回报。 -在互联网,人们彼此的交流大多是通过对着电脑屏幕敲打键盘完成的,这区别于我们现实中面对面的语言交流。作为社会性的人类,我们可以通过他人的面部表情、语气、肢体语言等反馈来对自己进行相应的校准,并作出适当的反应。当时,当所有的沟通和交流都通过击打键盘来完成的时候,就没有了面对面那种反馈机制,这对于人来说是及其难以适应的事情,往往会产生一些不好的效果,尤其是带有情绪的词汇。 +首先,政策制定者引入了一个全新的概念:“开源管理人”。本质上,他们为软件行业创造了一个全新的经济参与者类别,与“将软件投放市场”的参与者分开,CRA 则专注于后者。 -那么,过往一直以来都是在办公室交流的人们,突然转移到了Slack、电子邮件、以及其它以文本的方式交流的方式和渠道,有一定的不适应是较为正常的,但是通过文本来进行沟通是有难度的,需要训练自身的同理心来获得提升,个人建议去观看“Jimmy Kimmel Show” 当中的[“名人阅读Tweets”](https://www.youtube.com/playlist?list=PLs4hTtftqnlAkiQNdWn6bbKUr-P1wuSm0)节目, 可以有效提升自己对于一些词语的敏感度。 +其次,CRA 目前的形式与现代软件行业的实际结构更加一致。例如,它现在认识到,开发和分发平台不是“销售”产品的经济参与者,也不是真正参与将人们放在其平台上的任何东西投放到市场的参与者。同样,CRA 认识到有大量的人使用代码,甚至可能向其他人披露代码,但他们并不是真正将“产品”投放市场的“经济参与者”。 -世界是动态演变的,只要开源共同体仍然有存在的意义,那么它就必须在每一天都要和这些不便进行斗争。随着时间的流逝,“阴谋”的人身攻击由于其潜在的腐蚀作用而逐渐成为禁忌。这就成就了我们在文化上的共识:**应该去评判那些想法,而不是人本身。** +因此,总的来说,这对使用开源软件运行和创新的志愿者来说大多是好消息。或者,更准确地说,比我们大多数人去年夏末想象的要好得多。 -随着越来越多的共同体采用“行为准则”,辩护变得越来越正式和复杂。这些明文的文档,主要目的是防止骚扰,以及其它严重的不当行为,这些文档通常包含有关共同体成员应如何彼此相待的颇为理想的建议,因为在鱼龙混杂的环境下特别容易产生一些严重的不当行为。 +话虽如此,这里需要注意的是,政治家和政策制定者并没有以任何方式削弱 CRA,也没有放弃 CRA 的目标:提高社会的弹性和当前(令人遗憾的)软件安全状态。CRA 的这一部分没有改变——在欧洲市场上提供的软件将受到监管——并且必须满足最低(在“关键软件”的情况下相当广泛)的安全标准。 -无论如何,各位看官,你自身所在的组织是否采用了行为准则,自觉的提高职员们对来自网络的攻击性的警觉意识,是上佳选择。基于此之上,职员们才能有效的识别言辞,设身处地的为他人着想,从而使每个人都能够采用更具建设性的沟通方式。 +因此,CRA(PLD 和许多其他法律,如数据法案、DSA、DORA、NIS2 及其金融变体、互操作性和 SEP 法规)将对软件行业产生巨大影响。整个行业都将不得不学习如何成为一个受监管的行业。我们将需要学习如何遵守 CE 法规和标志。这是一项艰巨的工作:影响分析估计额外的开发成本约为 30%(与早期法规(如 MDD/MDR)非常一致)。 -## 知会大家 +这将对我们开源社区产生的影响,其程度可能不亚于对商业参与者的影响。因为在最终分析中,通常有超过90%的商业公司投放市场的任何软件包都依赖于开源。很多时候,这些是公司并不十分了解的开源软件——它们的核心知识在于自己编写的那10%顶层代码,即实际实现部分。但底部的90%对他们来说更像是一个黑箱。然而,这家公司仍需要为整个100%的软件获得CE认证标记。 -不过话说回来了,即使是在同一个办公室内,人与人之间的协调依然是件充满挑战的事情。当然,在远程这样的形势中,协调的难度更是加大了不少,需要付出更多的精力,这个时候最需要建立的就是公开透明的“知会大家”文化,否则,团队将变得碎片化,每个人也将变得孤立。 +因此,可以公平地预期,我们社区中几乎每个人都将在面临类似严峻挑战的公司工作。而一旦掌握了这个挑战,就意味着你可以进入欧洲市场,但你不会从中获得任何竞争优势。 -在ASF,这样的情形可谓是极端化了,因为 Apache 的在线共同体遍布全球各个角落。由于牵扯到的时区实在过多,一般情况下是无法召集到全部的利益相关者在一起开会的,即使是在线视频会议也难以成行,另外,还有一个因素,那就是不是所有的贡献者都是专门针对 apache 项目进行的,大多时候是业余时间进行的。 +似乎很可能,这些问题将再次在开源社区内集体解决。因为这对所有相关方来说都是双赢的。我预计,不久我们不仅会看到发布说明、文档和已修复 CVE 列表成为我们发布的一部分,而且一些社区将集体创建和维护一些基本的构建块,然后他们可以在自己的公司中单独使用这些构建块来保护公司的产品。我们可以用典型的开源协作方式做到这一点。 -面对面,视频聊天,电话,文本聊天等“同步”通信渠道非常适合快速启动迭代和提炼想法,但实际上却将任何不实时关注的人排除在外。即使捕获了对话(例如通过AV录制的实时会议或记录的文本聊天),它的效率也很低,并且常常使事后回顾事情的发展变得混乱。 +我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,所有这些还将包括制定所有国际标准(约四十多个),与国际标准机构合作,其流程对于志愿者主导的开源项目来说并不总是容易有效参与的。 -面对如此的情形,ASF 采用的策略就是所有有实际意义的项目都需要在 **单个、异步沟通渠道**中进行。 +在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。这里的难题是,从表面上看,一旦你深入堆栈并触及基本的开源构建块,这一类别可能相当广泛。例如,像 APR 或一些 LDAP 连接器这样晦涩难懂的 C 可移植性库是否属于这一类? -* 这个频道必须要严肃对待起来,从而能够让所有的参与者都信任该频道,即使是人们没有来得及观看和参与所有的消息,但是重要的内容不会被错过。 -* 沟通渠道必须是异步的,从而确保一些资源受限的参与者的权益。 +这很重要:因为这些关键产品在进入市场时(即您获得实际安全修复的时间点)所需的认证级别需要大量工作。易于获取修复措施、降低社区创建优质修复措施的摩擦力并确保足够的技能参与,以及快速获得充分认证之间,需要找到一个艰难的平衡点。协助国际标准组织应对这一挑战将至关重要。 -另外,关于同步的活动是可以在此频道之外进行的,再强调一点,同步有其自身的优点,同步的沟通对于迭代想法非常的有效,但是,身处共同体的人还是希望此类的会议能够被记录摘要,并将之发布到刚才提到的沟通渠道,从而使得所有的利益相关者有机会发表各自的看法。 +关于这一切的另一个好消息是,实施期限已经延长了一年,CRA的所有方面都将在2027年初全面生效。 -在 ASF,这个严肃而正式的异步通信渠道就是邮件列表,但这不代表什么,其它也有非常好的工具:对于某些非技术性的任务,可以是 Asana ,也可以是 Wiki,甚至是一个电子表格,都是可以的。过度追求技术上是没有太多意义的,最为关键的仍然是亮点:1)正式 2)异步。 +这一好消息的许多感谢和功劳都应该归功于所有的开源基金会(以及Open Forum Europe的大量帮助和协调)、行业参与者,也归功于所有在国家和欧盟层面保持开放心态并真正试图理解开源并解决问题的政策制定者和政治家。 -## 做出决策 - -在办公室,决策者可以通过获得各种各样的信息:如通过不经意的偷听、一起吃工作午餐、即兴的协作等等,然而在不期而至的远程工作中,这些渠道统统不复存在,只有经过人们深思熟虑的信息,是唯一的决策依据。 - -但是,一个正式的异步通信渠道在某种程度上可以对这样的情形进行一定的补偿,这样的方式有效的提高了透明度,所有的工作及其进度、成员的合作状态,都是一目了然的,即使哪怕是工作是独立完成的,也是众人皆知的。而恰恰是通过正确的使用异步沟通渠道获得信息,而不是混乱而冗长的实时的信息交换,这样就可以有一个从高处观看的视角来洞察整个全局的情况,另外,正式的沟通渠道还有一个至为重要的能力,那就是可以衡量大家达成的共识,还保持所有的记录。 - -``懒人共识法``(Lazy consensus)是一种蛮有效率的确认方式,例如某位成员将提案发布出来,如果在某个时间范围内(ASF为72小时)没有异议,则该提案被认为是隐式同意的。通过对沟通渠道进行积极的监督,将那些有缺陷的提案标记出来,``懒人共识法`` 是鼓励积极主动者颇为强大的工具,这也是远程参与者非常宝贵的个人品质。 - -## 总结 - -冠状病毒疫情肆虐之下,人类的组织正在以各式各样的方式抵抗和对付这场灾难。 - -在开放源代码的世界,二十多年来,已经有不计其数的优秀的项目在基于互联网的方式下运作,可以说是在远程协作方面积累了非常丰厚的经验,当然也走过很多的弯路。或许我们这些开源界的人,可以帮助到面对突如其来面临远程协作的团队,帮助其在艰难的时刻找到自己的方式。就让我们帮助他们做到最好吧,这也是我们的初衷之一。 +如果您感兴趣的话,接下来最好的信息来源将是下月初举行的权威的FOSDEM大会的政策研讨环节。期待在那里与您相见! ## 关于作者 -Marvin Humphrey 目前是Apache 软件基金会的名誉会员,在过去他担当过ASF 的很多主要角色:孵化器的VP、法律事务的VP 、以及董事会成员。目前则将主要精力放在了家庭上,偶尔出来做做咨询。 +Dirk-Willem van Gulik, VP Public Affairs, Apache Software Foundation。 ## 原文链接 -[Success at Apache: Remote Collaboration in the Time of Coronavirus](https://blogs.apache.org/foundation/entry/success-at-apache-remote-collaboration) +[UPDATE ON EU SOFTWARE REGULATION: LOTS OF IMPROVEMENTS & GOOD NEWS](https://news.apache.org/foundation/entry/update-on-eu-software-regulation-lots-of-improvements-good-news) From b9e1b875addf14b4570dd00acc27a5d8f6195a85 Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 15:46:13 +0800 Subject: [PATCH 3/7] Update CRA --- content/post/apache-blog/CRA | 3 ++- 1 file changed, 2 insertions(+), 1 deletion(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index 1d59e1d0..3941249e 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -19,7 +19,8 @@ url: "" authors: - Dirk-Willem van Gulik translater: -- 孙振华 田凌侠 校对 姜宁 +- 孙振华 田凌侠 + 校对 姜宁 --- ## 关于欧盟软件法规的最新进展:诸多改进与利好消息 From f504cb559f67c5255b95987bf356f37ad55a749b Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 16:02:02 +0800 Subject: [PATCH 4/7] Update CRA --- content/post/apache-blog/CRA | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index 3941249e..f289002d 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -35,7 +35,7 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 这包括在供应链早期就进行复杂的认证,以及对发布和贡献提出不切实际的监管要求。大多数这些要求似乎更有可能降低整体软件安全和网络弹性水平,而不是实现 CRA 值得称赞的目标——使事情更加安全和可靠。 -其中一个关键问题在于,当时的CRA(《欧盟网络安全法案》)并没有真正认识到,即管理良好的开源软件实质上构成了整个软件行业的基石(根据欧盟的数据,欧洲范围内该部分产值约为650亿欧元)。围绕开源进行协作也是我们行业中创新的主要驱动力(这一点也得到了欧盟的确认)。这些并不是微不足道的经济问题:尽管我们的行业规模较小,但对几乎所有其他行业都产生了巨大的影响。 +其中一个关键问题在于,当时的CRA(《欧盟弹性法案》)并没有真正认识到,即管理良好的开源软件实质上构成了整个软件行业的基石(根据欧盟的数据,欧洲范围内该部分产值约为650亿欧元)。围绕开源进行协作也是我们行业中创新的主要驱动力(这一点也得到了欧盟的确认)。这些并不是微不足道的经济问题:尽管我们的行业规模较小,但对几乎所有其他行业都产生了巨大的影响。 在过去的几个月里, ASF, Eclipse, FSF Europe, the Linux Foundation Europe, the Python folks, the Open Source Initiative, Mozilla, NLNet-labs, the Internet Society(以及其他无数组织),以及许多使用开源的工业团体,花费了大量的时间和精力与政策制定者、西班牙欧盟轮值主席国、欧洲议会、欧盟委员会以及 25 个左右的欧洲国家政府进行沟通。不仅要解释开源软件的影响,还要解释什么是开源——以及为什么它对行业的创新能力至关重要,是行业创新的核心。此外,由于我们的代码是许多其他软件的基础,因此对于 CRA(提高安全性)的目标来说,正确处理事情也很重要。 From 66436c181bb0c38c34e11e8bbdd26930f68fca24 Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 16:07:36 +0800 Subject: [PATCH 5/7] Update CRA --- content/post/apache-blog/CRA | 6 +++--- 1 file changed, 3 insertions(+), 3 deletions(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index f289002d..e901dcc0 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -35,7 +35,7 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 这包括在供应链早期就进行复杂的认证,以及对发布和贡献提出不切实际的监管要求。大多数这些要求似乎更有可能降低整体软件安全和网络弹性水平,而不是实现 CRA 值得称赞的目标——使事情更加安全和可靠。 -其中一个关键问题在于,当时的CRA(《欧盟弹性法案》)并没有真正认识到,即管理良好的开源软件实质上构成了整个软件行业的基石(根据欧盟的数据,欧洲范围内该部分产值约为650亿欧元)。围绕开源进行协作也是我们行业中创新的主要驱动力(这一点也得到了欧盟的确认)。这些并不是微不足道的经济问题:尽管我们的行业规模较小,但对几乎所有其他行业都产生了巨大的影响。 +其中一个关键问题在于,当时的CRA(《网络弹性法案》)并没有真正认识到,即管理良好的开源软件实质上构成了整个软件行业的基石(根据欧盟的数据,欧洲范围内该部分产值约为650亿欧元)。围绕开源进行协作也是我们行业中创新的主要驱动力(这一点也得到了欧盟的确认)。这些并不是微不足道的经济问题:尽管我们的行业规模较小,但对几乎所有其他行业都产生了巨大的影响。 在过去的几个月里, ASF, Eclipse, FSF Europe, the Linux Foundation Europe, the Python folks, the Open Source Initiative, Mozilla, NLNet-labs, the Internet Society(以及其他无数组织),以及许多使用开源的工业团体,花费了大量的时间和精力与政策制定者、西班牙欧盟轮值主席国、欧洲议会、欧盟委员会以及 25 个左右的欧洲国家政府进行沟通。不仅要解释开源软件的影响,还要解释什么是开源——以及为什么它对行业的创新能力至关重要,是行业创新的核心。此外,由于我们的代码是许多其他软件的基础,因此对于 CRA(提高安全性)的目标来说,正确处理事情也很重要。 @@ -59,9 +59,9 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 似乎很可能,这些问题将再次在开源社区内集体解决。因为这对所有相关方来说都是双赢的。我预计,不久我们不仅会看到发布说明、文档和已修复 CVE 列表成为我们发布的一部分,而且一些社区将集体创建和维护一些基本的构建块,然后他们可以在自己的公司中单独使用这些构建块来保护公司的产品。我们可以用典型的开源协作方式做到这一点。 -我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,所有这些还将包括制定所有国际标准(约四十多个),与国际标准机构合作,其流程对于志愿者主导的开源项目来说并不总是容易有效参与的。 +我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人(open source stewards)”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,所有这些还将包括制定所有国际标准(约四十多个),与国际标准机构合作,其流程对于志愿者主导的开源项目来说并不总是容易有效参与的。 -在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。这里的难题是,从表面上看,一旦你深入堆栈并触及基本的开源构建块,这一类别可能相当广泛。例如,像 APR 或一些 LDAP 连接器这样晦涩难懂的 C 可移植性库是否属于这一类? +在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。这里的难题是,从表面上看,一旦你深入软件栈并触及基本的开源构建块,这一类别可能相当广泛。例如,像 APR 或一些 LDAP 连接器这样晦涩难懂的 C 可移植性库是否属于这一类? 这很重要:因为这些关键产品在进入市场时(即您获得实际安全修复的时间点)所需的认证级别需要大量工作。易于获取修复措施、降低社区创建优质修复措施的摩擦力并确保足够的技能参与,以及快速获得充分认证之间,需要找到一个艰难的平衡点。协助国际标准组织应对这一挑战将至关重要。 From 08cb0a9a7c5fc7ec7b4834af56a2cd72080bdb6d Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 16:11:59 +0800 Subject: [PATCH 6/7] Update CRA --- content/post/apache-blog/CRA | 4 ++-- 1 file changed, 2 insertions(+), 2 deletions(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index e901dcc0..04e0fdcd 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -43,7 +43,7 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 这在几个方面都取得了回报。 -首先,政策制定者引入了一个全新的概念:“开源管理人”。本质上,他们为软件行业创造了一个全新的经济参与者类别,与“将软件投放市场”的参与者分开,CRA 则专注于后者。 +首先,政策制定者引入了一个全新的概念:“开源管理人(open source stewards)”。本质上,他们为软件行业创造了一个全新的经济参与者类别,与“将软件投放市场(place software onto the market)”的参与者分开,CRA 则专注于后者。 其次,CRA 目前的形式与现代软件行业的实际结构更加一致。例如,它现在认识到,开发和分发平台不是“销售”产品的经济参与者,也不是真正参与将人们放在其平台上的任何东西投放到市场的参与者。同样,CRA 认识到有大量的人使用代码,甚至可能向其他人披露代码,但他们并不是真正将“产品”投放市场的“经济参与者”。 @@ -59,7 +59,7 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 似乎很可能,这些问题将再次在开源社区内集体解决。因为这对所有相关方来说都是双赢的。我预计,不久我们不仅会看到发布说明、文档和已修复 CVE 列表成为我们发布的一部分,而且一些社区将集体创建和维护一些基本的构建块,然后他们可以在自己的公司中单独使用这些构建块来保护公司的产品。我们可以用典型的开源协作方式做到这一点。 -我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人(open source stewards)”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,所有这些还将包括制定所有国际标准(约四十多个),与国际标准机构合作,其流程对于志愿者主导的开源项目来说并不总是容易有效参与的。 +我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人(open source stewards)”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,还需要在国际标准组织中参与制定四十多项国际标准,而这些组织的流程对于由志愿者领导的开源项目来说,并不总是易于有效参与。 在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。这里的难题是,从表面上看,一旦你深入软件栈并触及基本的开源构建块,这一类别可能相当广泛。例如,像 APR 或一些 LDAP 连接器这样晦涩难懂的 C 可移植性库是否属于这一类? From cdcc82e5d33ae6011b2b6ee65ec2bdaf743649e2 Mon Sep 17 00:00:00 2001 From: leotian07 <152459421+leotian07@users.noreply.github.com> Date: Mon, 29 Jan 2024 16:51:24 +0800 Subject: [PATCH 7/7] Update CRA --- content/post/apache-blog/CRA | 20 ++++++++++++++------ 1 file changed, 14 insertions(+), 6 deletions(-) diff --git a/content/post/apache-blog/CRA b/content/post/apache-blog/CRA index 04e0fdcd..ea052140 100644 --- a/content/post/apache-blog/CRA +++ b/content/post/apache-blog/CRA @@ -45,15 +45,15 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 首先,政策制定者引入了一个全新的概念:“开源管理人(open source stewards)”。本质上,他们为软件行业创造了一个全新的经济参与者类别,与“将软件投放市场(place software onto the market)”的参与者分开,CRA 则专注于后者。 -其次,CRA 目前的形式与现代软件行业的实际结构更加一致。例如,它现在认识到,开发和分发平台不是“销售”产品的经济参与者,也不是真正参与将人们放在其平台上的任何东西投放到市场的参与者。同样,CRA 认识到有大量的人使用代码,甚至可能向其他人披露代码,但他们并不是真正将“产品”投放市场的“经济参与者”。 +其次,CRA 目前的形式与现代软件行业的实际结构更加一致。例如,它现在认识到,开发和分发平台不是“销售(sell)”产品的经济参与者,也不是真正参与将人们放在其平台上的任何东西投放到市场的参与者。同样,CRA也承认存在着大量从事代码工作的人员,他们甚至可能将代码披露给他人,但他们并不完全是“将产品投放(place a product)”市场的“经济运营者(economic actors)”。 -因此,总的来说,这对使用开源软件运行和创新的志愿者来说大多是好消息。或者,更准确地说,比我们大多数人去年夏末想象的要好得多。 +因此,总的来说,这对运行开源软件和在开源软件基础上进行创新的志愿者来说大多是好消息。或者,更准确地说,比我们大多数人去年夏末想象的要好得多。 -话虽如此,这里需要注意的是,政治家和政策制定者并没有以任何方式削弱 CRA,也没有放弃 CRA 的目标:提高社会的弹性和当前(令人遗憾的)软件安全状态。CRA 的这一部分没有改变——在欧洲市场上提供的软件将受到监管——并且必须满足最低(在“关键软件”的情况下相当广泛)的安全标准。 +话虽如此,这里需要注意的是,政治家和政策制定者并没有以任何方式削弱 CRA,也没有放弃 CRA 的目标:提升网络正常运转(improving the resilience of society)和当前(令人遗憾的)软件安全状态。CRA 的这一部分没有改变——在欧洲市场上提供的软件将受到监管——并且必须满足最低(在“关键软件”的情况下相当广泛)的安全标准。 -因此,CRA(PLD 和许多其他法律,如数据法案、DSA、DORA、NIS2 及其金融变体、互操作性和 SEP 法规)将对软件行业产生巨大影响。整个行业都将不得不学习如何成为一个受监管的行业。我们将需要学习如何遵守 CE 法规和标志。这是一项艰巨的工作:影响分析估计额外的开发成本约为 30%(与早期法规(如 MDD/MDR)非常一致)。 +因此,CRA(PLD 和许多其他法律,如数据法案、DSA*注1、DORA*注2、NIS2及其金融变体*注3、互操作性和 SEP 法规*注4)将对软件行业产生巨大影响。整个行业都将不得不学习如何成为一个受监管的行业。我们将需要学习如何遵守 CE 法规和标志*注5。这是一项艰巨的工作:影响分析估计额外的开发成本约为 30%(与早期法规(如 MDD/MDR,欧盟医疗器械指令/欧盟医疗器械法规)非常一致)。 -这将对我们开源社区产生的影响,其程度可能不亚于对商业参与者的影响。因为在最终分析中,通常有超过90%的商业公司投放市场的任何软件包都依赖于开源。很多时候,这些是公司并不十分了解的开源软件——它们的核心知识在于自己编写的那10%顶层代码,即实际实现部分。但底部的90%对他们来说更像是一个黑箱。然而,这家公司仍需要为整个100%的软件获得CE认证标记。 +这将对我们开源社区产生的影响,其程度可能不亚于对商业参与者的影响。因为在最终分析中,通常有超过90%的商业公司投放市场的所有软件包都依赖于开源。很多时候,这些是公司并不十分了解的开源软件——它们的领域知识在于自己编写的那10%顶层代码,即实际实现部分。但底部的90%对他们来说更像是一个黑箱。然而,这家公司仍需要为整个100%的软件获得CE认证标记。 因此,可以公平地预期,我们社区中几乎每个人都将在面临类似严峻挑战的公司工作。而一旦掌握了这个挑战,就意味着你可以进入欧洲市场,但你不会从中获得任何竞争优势。 @@ -61,7 +61,7 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 我们开源社区还有很多工作要直接与政策制定者合作。首先,“开源管理人(open source stewards)”的概念是全新的(他们确实试图避免让单一供应商、企业而非社区主导的“开源”获得免费通行证)。这种管理将需要大量的工作来实际定义。除此之外,还需要在国际标准组织中参与制定四十多项国际标准,而这些组织的流程对于由志愿者领导的开源项目来说,并不总是易于有效参与。 -在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。这里的难题是,从表面上看,一旦你深入软件栈并触及基本的开源构建块,这一类别可能相当广泛。例如,像 APR 或一些 LDAP 连接器这样晦涩难懂的 C 可移植性库是否属于这一类? +在“关键软件”周围还有一个复杂的领域,也没有什么好消息。这适用于防火墙、(硬件)安全模块、低级内核和单点登录系统等应用程序。也就是非常暴露且非常关键的软件,存在潜在的系统性风险和影响。问题在于,从表面上看,一旦你深入软件栈并触及开源的基本构建模块时,关键软件下应用的场景可能相当广泛。例如,像APR这样较为晦涩难懂的C语言可移植性库,或是某些LDAP连接器,是否会被归入此类别呢? 这很重要:因为这些关键产品在进入市场时(即您获得实际安全修复的时间点)所需的认证级别需要大量工作。易于获取修复措施、降低社区创建优质修复措施的摩擦力并确保足够的技能参与,以及快速获得充分认证之间,需要找到一个艰难的平衡点。协助国际标准组织应对这一挑战将至关重要。 @@ -71,6 +71,14 @@ CRA 现在基本上已经定稿,只剩下将其翻译成 24 种官方语言的 如果您感兴趣的话,接下来最好的信息来源将是下月初举行的权威的FOSDEM大会的政策研讨环节。期待在那里与您相见! + +【为便于读者理解,文中注释为译者标注】: +*注1: DSA,数字服务法案(Digital Services Act),是欧盟为了更新互联网平台规则而提出的一系列措施,以确保在线环境的安全与透明度,并打击非法内容和不良行为。 +*注2:DORA,数字运营韧性法案(Digital Operational Resilience Act),旨在增强金融服务行业对于网络风险的抵御能力,并确保金融机构能够应对日益严重的网络安全威胁。 +*注3: NIS2,修订后的网络与信息系统安全指令(Network and Information Systems Directive 2),是对原有NIS指令的升级版,进一步加强了关键基础设施运营商和服务提供商的信息系统安全要求。 +*注4: SEP,标准必要专利(Standard Essential Patents,SEP)相关法规,这可能是指规范SEP许可和执行机制的法规,旨在确保SEP所有者以公平、合理和无歧视(FRAND)条款授权其专利。 +*注5::在欧盟市场“CE”标志属强制性认证标志,不论是欧盟内部企业生产的产品,还是其他国家生产的产品,要想在欧盟市场上自由流通,就必须加贴“CE”标志,以表明产品符合欧盟《技术协调与标准化新方法》指令的基本要求,https://single-market-economy.ec.europa.eu/single-market/ce-marking_en。 + ## 关于作者 Dirk-Willem van Gulik, VP Public Affairs, Apache Software Foundation。