本月早些时候，《开源状态会议》（State of Open Conference）称，如果政府和企业不采取措施确保生态系统在未来的弹性和可持续性，尽管开源已经“获胜”，但仍有可能失败。

　　OpenUK首席执行官Amanda Brock在开幕式上表示，过去五到十年来，数字化和开源技术的进步提升了工程师的地位，“使他们的地位达到了能够做出决定并成为影响者的水平”。

　　但开源的成功，以及对其安全性的担忧，也意味着来自政策制定者的更多关注，这意味着提出了新的法律和政府战略。

　　Brock说：“有些人担心风险负担可能会转移到哪里。”最近的《欧盟网络弹性法案》就是一个例子，人们担心它会将责任转嫁给项目的维护者和分销商。

　　生态系统失衡

　　Brock说，与此同时，生态系统也存在失衡，经常使用的组件往往由一个人或小团体维护。“这意味着维护者可能没有资源来正确、及时地更新和维护软件包，或者没有足够的资源来审查和保证代码的质量。代码也有可能无法维护。”

　　谷歌基础设施副总裁Eric Brewer与Brock讨论了他的开源项目“策展”模式。Brewer说：“我想说，基本上所有的开源软件都不如我们目前所信任的那样值得信赖。”

　　他说，有一个“根本性的”脱节，这导致了需要“策展”。

　　“每个人都知道开源是免费的。而免费软件让人们的工作效率大大提高……但它从字面上说，几乎每个文件都是‘按原样’使用，风险自负。”

　　这意味着，使用开源软件的组织，包括企业和政府，可能对维护人员的责任抱有错误的期望，例如，在提供漏洞修复方面。

　　他的模型设想“策展人”积极发现并修复漏洞：“你可以将策展人视为将采用‘原样’软件并将其转换为受支持的软件的团队。”

　　他补充道，这是Canonical或红帽等公司为其服务所扮演的角色，但这只适用于一小部分开源软件。“实际上，你需要对Apache web服务器、Log4J、Spring Java库和各种东西进行管理。”

　　他说，策展是唯一的出路。“我认为，如果你不知道如何为安全软件找到一条通向使用者的途径，这对开源来说是一种生存威胁。而不用说，哦，志愿者应该做更多。”

　　如果说策展是开源可持续发展的一部分，那么另一部分就是政府行动，特别是在增强安全性和弹性方面。欧盟目前正在制定其《网络弹性法案》，而英国刚刚启动了一项关于开源弹性和安全的咨询，白宫正在推进一项旨在确保软件供应链（包括开源）安全的网络战略。

　　白宫副国家网络总监Camille Stewart Gloster在会议上的一次小组讨论中表示：“特别是在国家网络总监办公室，我们一直非常关注如何向安全、有弹性和公平的数字生态系统发展。要做到这一点，不仅需要关注今天的事情，还需要在未来的背景下思考这些事情。我们如何建立未来的弹性？”

　　巨大的机会

　　在同一个小组讨论上，联合国政策、战略和治理司司长Salem Avan表示，开源提供了巨大的机会，特别是对发展中国家来说，可以释放创造力和创新，但法律和政策框架并不总是到位。

　　他说：“当我们真的开始考虑让联合国进入那种多边空间时，我认为它真的必须是区域性的。我们必须围绕具体的项目、具体的活动、具体的想法或机会建立伙伴关系，共同努力并实现。”这将包括私营部门和公共部门。

　　“如果我们能够达到这一目标，那么我认为我们可以开始构建需要的不同层次，以有意义的全球方式改进开源。也许从现在开始，我们可以在这些领域建立更大的动力、更大的联盟和更大的共识。”

　　他补充说，对许多国家来说，他们的直接关切更为发自内心，并集中于基本需求。对他们来说，开源“真的只是一个前沿。这是一个全新的东西，甚至没有那种对如何进入这一领域的理解。”

　　Public Digital的创始合伙人、前英国政府数字执行董事兼首席数据官Mike Bracken表示，英国的技术供应链过去实际上是寡头垄断，这与开源项目背道而驰。打破这一局面是一个发出“我们的意图”的问题。

　　他说，开源社区必须有“面对机构的信心”，并表示“无论是安全还是作为一个行业，我们都不会受到同样的标准的评判，因为以前的寻租技术公司已经瓜分了公共部门。”