点击上方“开源社”关注我们

| 作者：庄表伟

| 编辑：钱英宇

| 设计：谭嘉露

| 责编：王玥敏

1

供应链与断供

隐喻会帮助人，也会误导人。

当我们谈到“供应链”时，会产生哪些联想？环环相扣？缺一不可？掉链子？当我们这样去思考软件供应链，或者开源软件供应链时，同样的“意象”也会出现在我们的脑海里。

一条从不知名的远处延伸到我们面前的链条，这个链条的最后一环，是一款我们看得见、用得上的软件。

这个链条当中，有很多环节都是别人（美国）提供的。也许有一天，美国（人）一旦决定，拿回他的那一环。我们就断供了，延伸到我们面前的链条就断掉了，我们手中正在使用的软件，就消失了。

这就被称为————“断供”。

2

物质断供

当一个链条是由物质构成的时候，这个“意象”并不是幻想，而是实实在在的现实。比如：芯片断供，手机缺货。GPU断供，显卡涨价。

当我们想要把这个情况，引申到软件、甚至开源软件领域的时候，我们必须重新定义“断供”。

这就带来了各种“乱象”。

3

• 无法下载

从中国，无法下载到美国（Github）上的开源代码。或者无法及时下载到最新的源代码

• 无法参与上游

一个开源社区，用规则或潜规则，拒绝中国开发者，导致中国开发者被排除在外。我们的开发者被禁止向上游提交代码，无法参与、回馈社区

• 修改License之一：闭源

在某个版本之后，该软件不再提供开源代码

• 修改License之二：排除特定类型用户

基于某种License（不允许商业使用、不允许邪恶用途、不允许特定国家使用）

• 生态限制

开源本身不断供，但是开源所依赖的服务，无法使用

• 代码托管平台断供

整个Github不允许你使用

• 开源软件安全风险

具体某一款开源软件的某一个版本，存在安全漏洞，需要修复（或替换）

• 项目缺少投入，无法继续发展（感谢 @Donald@CNCF@LFAPAC 的补充）

一款无人维护的开源软件（维护不及时，不到位），比如曾经的OpenSSL，就是一种值得关注的风险

4

《技术的本质》与其不足之处

首先推荐一本非常了不起的著作《技术的本质》（布莱恩·阿瑟），在这本书中，布莱恩提出了一些极其深刻的洞见。例如：技术的本质是对现象的驾驭。以及：技术是组合与递归的。

我想继续引申这个观点。类似于我们在做软件开发时，通常会定义的一个依赖文件。一款软件，会依赖一组其他软件（包），而这些软件（包）又会进一步的依赖某些其他的软件（包）。但是，随着包依赖描述的不断改进，我们会区分：开发期（Dev)依赖与执行期(Running)依赖。

在更加广泛的技术领域，我们也会发现类似的现象。我们发明一种新技术时（开发期），会依赖一组其他已有的技术。但是，当我们基于这个新技术，生产某一个产品时，会依赖另外一组技术（编译期），当我们的产品被实际使用时，还会依赖其他一些技术（执行期）。

当我们泛泛的分析技术时，可以发现其中的组合与递归结构。而当我们更加深入的分析技术的依赖关系时，会发现不同的依赖与递归结构。

5