中国的火星车、空间站等航天器使用麒麟操作系统

据报道，麒麟操作系统是我国自主研发操作系统，“天问一号”成功着陆火星使用的就是该系统。如今，麒麟已经在中国空间站、北斗等领域得到广泛应用，为国家重大项目贡献了“中国大脑”。

如今看来，中国航天也得益于开源软件，下一步希望不仅仅是采用开源软件，而是真正拥抱开源。

Linux 5.14 将为仅售 10 美元的开源操纵杆添加驱动程序

Linux 5.14 将带来一个新的输入设备驱动，以支持一个开源的操纵杆。SparkFun Qwiic 操纵杆几乎从头到尾都开源，包括从硬件设计文件到固件都可以任意取得，其外形类似于旧的索尼 PlayStation 2 控制器上的拇指杆，也可以花大约10美元购买。

虽然这个游戏杆很便宜、很不起眼，但是它可是从硬件到软件都是开源的。

世界银行拒绝帮助萨尔瓦多

本月早些时候，中美洲国家萨尔瓦多国会投票通过决定，在 90 天内将比特币认定为美元之外该国另一法定货币，成为全世界首个将比特币合法化的国家。萨尔瓦多表示正寻求世界银行和国际货币基金组织的技术援助去实现普及比特币的金融基础设施。世界银行则对此断然拒绝。

向世界银行求助那不是与虎谋皮吗？

5 月 29 日，阿里云开发者大会上，阿里云宣布开源云原生数据库能力，开源关系型数据库 PolarDB for PostgreSQL，将阿里内部沉淀多年的技术分享出来，服务于百万开发者。目前，该项目已在阿里云官网及 Github 上发布，后续将引入分布式事务、单机高性能等能力。

阿里云数据库负责人李飞飞表示：

“我们希望将阿里云在数据库技术上积累的丰富经验，通过标准技术组件和系统的方式开放出来，共建开源数据库生态。”

数据库是基础软件中的刚需，与芯片、操作系统并列为“全球技术三大件”。开源模式广受数据库用户欢迎，被认为是互联网场景的标配。

PolarDB 是阿里云自研的数据库产品家族，采用存储计算分离、软硬一体化设计，既拥有分布式设计的低成本优势，又具有集中式的易用性，可满足大规模应用场景需求。计算能力最高可扩展至 1000 核以上，存储容量最高可达 100TB，集群版单库最多可扩展到 16 个节点，性能比 MySQL 高 6 倍。PolarDB 系列产品已连续多年稳定支撑天猫双 11，处理峰值高达创纪录的 1.4亿次/秒。

为满足用户多样化的需求，PolarDB 针对不同的数据库协议开发了不同的兼容版本，包括兼容 MySQL、PostgreSQL 和 Oracle 的版本，及每个版本的分布式形态。

此次阿里云开源的是 PolarDB for PostgreSQL 分布式版，包括数据库内核、相关插件、工具脚本、测试用例以及设计文档，适用于中大型企业核心业务场景。本次开源遵循 Apache 2.0 许可证，以全共享并尊重原作者著作权的模式开源，代码可以修改和再发布。

这让我想起来前一段时间 MariaDB 宣布了将它的分布式 SQL 引擎 Xpand 作为其 DBaaS 服务的 SkySQL 系统引擎之一，然而 Xpand 是一个专有的软件。这引起了业界对开源服务之上的专有服务的隐忧，因为这失去了开源的重要优势 —— 避免供应商锁定。

在业界，开源数据库众多，但是能将分布式能力也开源出来的罕有，而能形成产品级的、可以利用现有数据库基础设施的开源产品更是不多。因此，PolarDB for PostgreSQL 的这次开源可谓是不但给 PostgreSQL 注入了一剂强心针，而且也与 Xpand 这种开源引擎之上的专有服务形成了鲜明对比。

在对李飞飞的采访中，他谈到了为什么要开源 PolarDB：

“我们开源的目的是非常纯粹的，我们在开源这一部分没有任何商业化的目的，就是要把开发者的生态做起来。”

而且，他认为没有必要重新建立一个新的生态，在原本非常繁荣的 PostgreSQL 生态上“助力一把火，让它烧得更旺。我们希望让开发者可以在现有的 PostgreSQL 上做的更好。本质上就是把我们在 PostgreSQL 上积累多年的能力开源出来，回馈给社区，而且以插件的方式。”

而且，为了鼓励社区能参与进来，阿里云也体现了极大的诚意，采用了更加宽松、自由的开源许可证 Apache 2.0，“你可以再开发，你可以商用，都没有问题，我们完全鼓励。”

为什么这样做呢，李飞飞谈到：“通过这样把开发者生态建立起来以后，我们从中获得了什么？我们获得的是开发者对 PostgreSQL 整个大生态的持续的关注和投入，然后最终我们也会从中受益，因为我们会从开发者贡献的代码里面去汲取对我们有用的部分，我相信其他的厂商不管是云厂商数据库厂商可能也会因此受益。但没关系，我们认为水涨船高，只要整个的社区做起来，我们阿里云还一定会是领导者，我们有自信，所以我们愿意去做这件事。”

李飞飞认为：

“我个人认为开源是建立生态的非常关键的一个抓手，非常关键的抓手。它和商业化一定要非常好的平衡，但绝对不是说天然的就是矛盾的两面，矛盾的地方绝对有，不然的话大家不会这么纠结，但是我个人认为要处理好平衡，是需要有非常强的定力和判断力，但你一旦处理好，它并不一定就一定会发展成矛盾体，这是我个人的一个观点。”

我想，这应该就是阿里云坚定开源战略的主要原因之一。

但是同时他也表示，不要走到另外一个极端：

“大家千万不要落到另外一个陷阱里面去，认为‘开源就是灵丹灵丹妙药，开源就能解决问题了’。我个人也是非常反对这个观点，关键还是看你后续社区的运营，是不是真的用心在做这个社区，是不是真的有高质量的贡献出来，让大家真正的从里面能够受益。我觉得这个是后面的挑战。”

根据披露的 PolarDB for PostgreSQL 开源路线图，阿里云是有计划、有步骤的将主要的、完备的部分向社区开放。我想，这将揭幕云原生数据库的新时代。

微软发布其官方的包管理器 WinGet 1.0

微软在昨天（2021年5月27日）发布了 WinGet Cli 的 1.0 版本，该版本可以实现在 Windows 命令行中安装、更新、卸载软件等操作。

微软为 Windows 配置包管理器是一个很「Linux」的事情，Windows 的软件安装方式太过多元化不一定适合每一个场景。而 winget 这种官方的工具，想来要比 Chocolatey 之类的第三方工具获得更好的发展。

长期工作每年导致数十万人死亡

世界卫生组织和世界劳工组织的一项新研究表明，长时间工作每年导致数十万人死亡。2016年，每周工作超过55小时的带薪工作导致74.5万人死亡，高于2000年的59万人。2016年，约39.8万人死于中风，34.7万人死于心脏病。作者认为，生理应激反应和行为改变（如不健康饮食、睡眠不良和体力活动减少）都是长时间工作对健康产生负面影响的“可想而知”原因。每周工作超过55小时是危险的。与每周工作35-40小时相比，它与中风风险和心脏病风险分别高出35%和17%相关。

对于我们每一个人来说，奋斗是必要的，但身体是最重要的，切不可丢了西瓜，捡了芝麻。

HaveIBeenPwned 服务开源

HaveIBeenPwned 是一个可以帮助你查询你的邮箱、手机号及相关密码是否泄漏的服务。其创始人 Troy Hunt 将 HaveIBeenPwned 源代码开放在 Github 上。

近年来的数据安全泄漏事故频发。HaveIBeenPwned的出现可以让我们检测自己是否有密码泄漏；除了 Have I Been Pwned ，你还可以试试 Mozila 推出的 Firefox Monitor。

Python 之父要在 Python 3.11 中将速度翻倍

在本周的美国 PyCon 语言峰会上，Python 之父 Guido 发布的一份文件，详细介绍了他要使 Python 成为一种更快的语言的野心，他承诺在 Python 3.11 中使其速度翻倍。

不过，Guido 也不敢保证一定能达成目标，只是乐观地感觉有希望。如果真的能实现，主要受益者将是那些运行 CPU 密集型纯 Python 代码的人。而对于已经用 C 语言编写的代码，如 NumPy 和TensorFlow，I/O 绑定的代码、多线程代码，以及算法效率低下的代码，不会有太大的好处。

我们真的需要更快的 Python 吗？需要更快处理的数据科学和人工智能项目，都依赖于 GPU，所以 CPU 上跑起来快不快真的没那么重要。

祝融号成功着陆火星

5 月 15 日，天问一号着陆巡视器成功着陆于火星乌托邦平原南部预选着陆区，我国首次火星探测任务着陆火星取得圆满成功。着陆巡视器与环绕器分离后，环绕器升轨返回停泊轨道，为着陆巡视器提供中继通信。着陆巡视器包括“祝融号”火星车及进入舱。后续，“祝融号”火星车将依次开展对着陆点全局成像、自检、驶离着陆平台并开展巡视探测。

恭喜我国航天航空事业取得新成就！上午有朋友问我，祝融号是否采用了开源技术？从目前公开的信息看，我们尚不知道“祝融号”所采用的技术是什么，是否涉及开源技术也不得而知。

美国政府发布行政命令，要求加强开源软件安全

5 月 12 日，美国拜登政府发布行政命令，以加强美联邦政府的网络防御，要求“在初步准则公布后的 90 天内……应发布指南，确定加强软件供应链安全的做法。”并特别提到开源软件，要求美国政府必须确保“在可行的范围内，确保产品任何部分所使用的开源软件的完整性和出处”。即提供一个软件材料清单，包含了用于构建软件的各种组件的细节和供应链关系。

Linux 基金会已经发起了诸多项目和基金会，着力于改善日益严重的开源软件安全问题。

与《星球大战》一起成长的过程中，我学到了很多关于开源的知识。

让我们先说清楚一件事：在现实生活中，《 星球大战 Star Wars 》特许经营权没有任何开放性（尽管其所有者确实发布了 一些开源代码）。《星球大战》是一个严格控制的资产，没有任何东西是在自由文化许可证下出版的。抛开任何关于 文化形象应该成为伴随它们成长的人们的财产 的争论，本文邀请你走进《星球大战》的世界，想象你是很久以前的一个电脑用户，在一个遥远的星系里……

机器人

“但我还要去 托西站 Tosche Station 弄些电力转换器呢。” —— 卢克•天行者

在 乔治•卢卡斯 George Lucas 拍摄他的第一部《星球大战》电影之前，他导演了一部名为《 美国涂鸦 American Graffiti 》的电影，这是一部以上世纪 60 年代为背景的成长电影。这部电影的部分背景是 改装车 hot-rod 和街头赛车文化，一群机械修理工在车库里花了好几个小时，无休止地改装他们的汽车。今天仍然可以这样做，但大多数汽车爱好者会告诉你，“经典”汽车改装起来容易得多，因为它们主要使用机械部件而不是技术部件，而且它们以一种可预测的方式使用普通部件。

我一直把卢克和他的朋友们看作是对同样怀旧的科幻小说诠释。当然，花哨的新战斗堡垒是高科技，可以摧毁整个星球，但当 防爆门不能正确打开 或监禁层的垃圾压实机开始压扁人时，你会怎么做？如果你没有一个备用的 R2 机器人与主机对接，你就没辙了。卢克对修理和维护“机器人”的热情以及他在修理蒸发器和 X 翼飞机方面的天赋从第一部电影中就可以看出。

看到塔图因星球对待技术的态度，我不禁相信，大多数常用设备都是大众的技术。卢克并没有为 C-3PO 或 R2-D2 签订最终用户许可协议。当他让 C-3PO 在热油浴中放松时，或者当楚巴卡在兰多的云城重新组装他时，并没有使他的保修失效。同样，汉•索罗和楚巴卡从来没有把千年隼带到经销商那里去购买经批准的零件。

我无法证明这都是开源技术。鉴于电影中大量的终端用户维修和定制，我相信在星战世界中，技术是开放的，用户是有拥有和维修的常识的。

加密和隐写术

“帮助我，欧比旺•克诺比。你是我唯一的希望。” —— 莱亚公主

诚然，《星球大战》世界中的数字身份认证很难理解，但如果有一点是明确的，加密和隐写术对叛军的成功至关重要。而当你身处叛军时，你就不能依靠公司的标准，怀疑它们是由你正在斗争的邪恶帝国批准的。当 R2-D2 隐瞒莱娅公主绝望的求救时，它的记忆库中没有任何后门，而叛军在潜入敌方领土时努力获得认证凭证（这是一个旧的口令，但它通过检查了）。

加密不仅仅是一个技术问题。它是一种通信形式，在历史上有这样的例子。当政府试图取缔加密时，就是在努力取缔社区。我想这也是“叛乱”本应抵制的一部分。

光剑

“我看到你已经打造了新的光剑，你的技能现在已经完成了。” —— 达斯•维德

在《帝国反击战》中，天行者卢克失去了他标志性的蓝色光剑，同时他的手也被邪恶霸主达斯•维德砍断。在下一部电影《绝地归来》中，卢克展示了他自己打造的绿色光剑 —— 每一个粉丝都为之着迷。

虽然没有明确说明绝地武士的激光剑的技术规格是开源的，但有一定的暗指。例如，没有迹象表明卢克在制造他的武器之前必须从拥有版权的公司获得设计许可。他没有与一家高科技工厂签订合同来生产他的剑。

他自己打造了它，作为一种成年仪式。也许制造如此强大的武器的方法是绝地武士团所守护的秘密；再者，也许这只是描述开源的另一种方式。我所知道的所有编码知识都是从值得信赖的导师、某些互联网 UP 主、精心撰写的博客文章和技术讲座中学到的。

严密保护的秘密？还是对任何寻求知识的人开放的信息？

根据我在原三部曲中看到的绝地武士秩序，我选择相信后者。

伊沃克文化

“Yub nub！” —— 伊沃克人

恩多的伊沃克人与帝国其他地区的文化形成了鲜明的对比。他们热衷于集体生活、分享饮食和故事到深夜。他们自己制作武器、陷阱和安全防火墙，还有他们自己的树顶村庄。作为象征意义上的弱者，他们不可能摆脱帝国的占领。他们通过咨询礼仪机器人做了研究，汇集了他们的资源，并在关键时刻发挥了作用。当陌生人进入他们的家时，他们并没有拒绝他们。相反，他们帮助他们（在确定他们毕竟不是食物之后）。当他们面对令人恐惧的技术时，他们就参与其中并从中学习。

伊沃克人是《星球大战》世界中开放文化和开源的庆典。他们是我们应该努力的社区：分享信息、分享知识、接受陌生人和进步的技术，以及维护捍卫正义的决心。

原力

“原力将与你同在，永远。” —— 欧比旺•克诺比

在最初的电影中，甚至在新生的衍生宇宙中（最初的衍生宇宙小说，也是我个人的最爱，是《心灵之眼的碎片》，其中卢克从一个叫哈拉的女人那里学到了更多关于原力的知识），原力只是：一种任何人都可以学习使用的力量。它不是一种与生俱来的天赋，而是一门需要掌握的强大学科。

相比之下，邪恶的西斯人对他们的知识是保护性的，只邀请少数人加入他们的行列。他们可能认为自己有一个群体，但这正是看似随意的排他性的模式。

我不知道对开源和开放文化还有什么更好的比喻。永远存在被认为是排他的危险，因为爱好者似乎总是在“人群中”。但现实是，每个人都可以加入这些邀请，而且任何人都可以回到源头（字面意思是源代码或资产）。

愿源与你同在

作为一个社区，我们的任务是要问，我们如何能让人明白，无论我们拥有什么知识，都不是为了成为特权信息，而是一种任何人都可以学习使用的力量，以改善他们的世界。

套用欧比旺•克诺比的不朽名言：“使用源”。

via: https://opensource.com/article/21/5/open-source-star-wars

作者：Seth Kenlon 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

共同作者：Curtis Franklin, Jr

开源软件通常被认为比专有软件更安全、更有保障，因为如果用户愿意，他们可以从源代码编译软件。他们知道在他们环境中运行的代码的来源。在他们的环境中运行的代码每个部分都可以被审查，也可以追溯每段代码的开发者。

然而，用户和提供者们正在逐渐远离完全控制软件所带来的复杂性，而在转而追求软件的便捷和易用。

VMware 副总裁兼首席开源官 Dirk Hohndel 说：“当我看到在一个有关网络安全和隐私的讲座中，演讲者运行 docker run 命令来安装和运行一些从互联网上下载的随机二进制文件时，我经常会大吃一惊。这两件事似乎有点相左。”

软件供应链，即将应用程序从编码、打包、分发到最终用户的过程是相当复杂的。如果其中有一环出现错误，可能会导致软件存在潜在的风险，特别是对于开源软件。一个恶意行为者可以访问后端，并在用户不知情或不受控的情况下向其插入任何可能的恶意代码。

这样的问题不单单存在于云原生领域，在现代应用开发中很常见，这包括 JavaScript、NPM、PyPI、RubyGems 等等。甚至连 Mac 上的 Homebrew 过去也是通过源代码提供，由用户自己编译。

“如今，你只需要下载二进制文件并安装它，并期望其源代码并没有被恶意修改过。”Hohndel 说，“作为一个行业，我们需要更加关注我们的开源代码供应。这对我来说是非常重要的事，我正努力让更多的人意识到其重要性。”

然而，这不仅仅是一个二进制与源代码的关系。只运行一个二进制文件，而不必从源代码构建所有东西有着巨大的优势。当软件开发需求发生转变时候，这种运行方式允许开发人员在过程中更加灵活和响应更快。通过重用一些二进制文件，他们可以在新的开发和部署中快速地循环。

Hohndel 说：“如果有办法向这些软件添加签名，并建立一个‘即时’验证机制，让用户知道他们可以信任此软件，那就更好了。”

Linux 发行版解决了这个问题，因为发行版充当了看门人的角色，负责检查进入受支持的软件存储库的软件包的完整性。

“像通过 Debian 等发行版提供的软件包都使用了密钥签名。要确保它确实是发行版中应包含的软件，需要进行大量工作。开发者们通过这种方式解决了开源供应链问题。”Hohndel 说。

但是，即使在 Linux 发行版上，人们也希望简化事情，并以正确性和安全性换取速度。现在，诸如 AppImage、Snap 和 Flatpack 之类的项目已经采用了二进制方式，从而将开源供应链信任问题带入了 Linux 发行版。这和 Docker 容器的问题如出一辙。

“理想的解决方案是为开源社区找到一种设计信任系统的方法，该系统可以确保如果二进制文件是用受信任网络中的密钥签名的，那么它就可以被信任，并允许我们可靠地返回源头并进行审核，” Hohndel 建议。

但是，所有这些额外的步骤都会产生成本，大多数项目开发者要么不愿意，或无力承担。一些项目正在尝试寻找解决该问题的方法。例如，NPM 已开始鼓励提交软件包的用户正确认证和保护其账户安全，以提高平台的可信度。

开源社区善于解决问题

Hohndel 致力于解决开源供应链问题，并正试图让更多开发者意识到其重要性。去年，VMware 收购了 Bitnami，这为管理由 VMware 所签名的开源软件提供了一个良机。

“我们正在与各种上游开源社区进行交流，以提高对此的认识。我们还在讨论技术解决方案，这些方案将使这些社区更容易解决潜在的开源供应链问题。” Hohndel 说。

开源社区历来致力于确保软件质量，这其中也包括安全性和隐私性。不过，Hohndel 说：“我最担心的是，在对下一个新事物感到兴奋时，我们经常忽略了需要的基础工程原则。”

最终，Hohndel 认为答案将来自开源社区本身。 “开源是一种工程方法论，是一种社会实验。开源就是人们之间相互信任、相互合作、跨国界和公司之间以及竞争对手之间的合作，以我们以前从未有过的方式。”他解释说。

via: https://www.linux.com/articles/open-source-supply-chain-a-matter-of-trust/

作者：Swapnil Bhartiya 选题：lujun9972 译者：Kevin3599 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出