我们与开源的距离

大家好，这里是安势信息。

作为一名开源圈或者与开源相关的从业者，我对开源这两个字并不陌生。但是之前我一直觉得“开源”这两个字离普通人很远。就像如果你问问身边非业内从业者的亲朋是否知道“开源”？那大概率你得到的回答会是“不清楚”、“不关心”诸如此类的答案。

但在前几天，无意中浏览到的一个新闻，让我觉得，原来我们与开源的距离，那么近...

后续对于该事件的发酵我在这里就不在赘述，大家如果有兴趣可以去自行搜索。

智能家居APP其实对于大家并不陌生了，现在各种冰箱、洗衣机、扫地机器人等等的智能家居，基本都需要你下载一个APP让你更加方便的操控、使用该产品，严格来说这并不是一件坏事，但是由于品牌的多样化，大部分普通人想要在自己的家里打造一套统一品牌的家电生态其实并不现实，所以我们的手机里会充斥着各种各样的智能家居APP......

打开个插座要开APP，冰箱调控要打开APP，扫地机要打开APP....这也就算了，每个App还要注册账号，完了布局和操控逻辑，也要再适应一遍......这确实很让人烦恼和无奈。

但是开源的存在，似乎让这一切有了转机，GitHub上有一个智能家居平台HomeAssistant（HA），可以把各家品牌的设备集合到一块地方，统一交互。就好比它手头有一大串钥匙，可以开启所有品牌的 “ 牢房 ” 。像某小破站就有UP主借助HA，把所有智能家居都集成到了苹果的家庭App里统一控制，这就是开源带来的“美妙”。

在我看到这条新闻的时候，第一次让我觉得开源离我们如此之近，它不再仅仅是那个远在天边的只有程序员才该关心的开源代码，而是近到直接影响我们家里扫地机器人，洗衣机加湿器等等家居的东西。由于开源的存在，能直接提升我们的生活体验。手机的安卓系统是开源的，可以说如果没有安卓系统的开源，就很难有今天各个品牌厂商们百花齐放的手机系统。很多直播工作者常用的一项直播工具OBS，也是能在Github上直接下载使用的开源软件。

开源的运作对于很多普罗大众来说是“透明的”，没什么存在感的，但是开源的存在的确为每一个像我这样非IT工作者的最终用户带来了很多的便利，更不用说对于开源有着巨大需求的软件、信息行业了。说夸张一点，现在这个时代，是全民享受开源的时代。

再回到智能家居APP这个切入点上，虽然Github上有HA这样的一个项目，但是仍然对于终端用户不够直接，作为最终使用者，在我看来其实最好的方式仍然需要各品牌厂商们合力推进其产品生态间的互通性。这是一个逐渐的过程，例如CSA（连接标准联盟）这个组织的目标就是要 “ 推动通用的开放物联网标准 ”，再比如2022年正式发布的matter协议标准，就是为了消除不同品牌设备和生态间的壁垒，支持matter协议的不同家电也能够互相兼容。标准定制组织也好，协议标准也好，其本质都是为了提升终端使用者的体验，开源生态的建立和普及是其中必不可缺的一个环节。

近年来新能源汽车势头突飞猛进，智能车联网是每一家OEM厂商都绕不过去的坎儿，很多时候我们吐槽汽车的车载系统难用、卡，不够智能，这其实也与开源有着密切的关系，因为很多车载系统也是基于Android开发的，畅想一下，随着开源生态的普及和建立，可能某一天你能自由选择你的车载系统是什么，甚至自定义你想要的车载系统。

当然，开源如此大范围的普及与运用带来的除了便利，也需要我们时刻注意一些隐患，最近的例子，例如今年3月份发生的XZ压缩库供应链攻击事件，此次攻击中编译的 XZ 压缩库（liblzma.so），在 debian、ubuntu、centos 等多个发行版中，用来处理XZ格式的压缩数据。因其在开源软件体系中被大量直接或间接引用，这些复杂的交叉引用互为依赖为该后门在 Linux生态体系中提供了难以想象的巨量攻击面，故影响了其供应链条上各种类型的行业，辐射范围较大。

诸如此类的针对软件供应链的攻击事件不胜枚举，这也是开源在给我们带来便利的同时所带来的风险。当然，这些攻击对于普通人来说似乎很远，甚至完全感觉不到，那是因为有离得更近的人为我们迅速处理并解决了这些风险。

再回到智能家居APP上，让我想起了去年看过的《爱死机》第二季某一集，就讲述了在未来时代，一个多功能的智能家居机器人居然因为一些原因而对房屋主人产生了攻击性甚至让使用者有生命危险，当然动漫里更多是想要探讨滥用AI的意味和自动化的讽刺，但可以想象如果有不怀好意的人通过开源中的漏洞和其他风险而能够恶意操控你的智能家具，也是让人不寒而栗了。

（该动图源于《爱，死亡与机器人第二季》第一集，侵删）

最后笔者想说的是，我们生活在这个离开源很“近”的时代。我们享受开源带来的便利，但在尊重开源文化，倡导开源精神的同时，还需要保障开源的安全，才能进一步促进开源的发展，这才是真正的“拥抱开源”。