开源预测:Rust将爆发,SBOM将成为哑弹

Posted on by Sun, Rock

Rust、jj 和 uv 凸显了社区持续的创新,而 SBOM、公平源代码和服务器端 Wasm 则提醒我们,并非所有趋势都能成功。

译自 Rust Will Explode, SBOMs Will Be Duds: Open Source Predictions,作者 Dan Lorenc。

随着2025年的临近,现在是反思我们过去所走过的道路以及未来方向的理想时机。以下是我对来年的一些想法、预测和看法,涵盖了我最看好的方面以及我预见到的停滞或挫折。

Rust 在内核中的决定性一年

Rust 融入 Linux 内核 已经酝酿已久。早在 2021 年 4 月,我在 Google 工作期间,与 ISRG 合作,通过为Miguel Ojeda 提供一份合同,让他全职从事该项目和其他内存安全工作,从而正式支持Rust for Linux

我坚信资助这类工作是不够的;你需要像 Ojeda 这样经验丰富的工程师的全职投入才能取得成功。这项投资得到了回报:2024 年是Rust 在内核中最终走向主流的一年。驱动程序现在正在用 Rust 编写,其势头不可阻挡。

展望未来,2025 年可能会看到 Rust 在内核开发中的应用爆炸式增长。Rust 关注内存安全、性能及其现代编程模型,使其成为新一代内核程序员的理想选择。

内存安全一项就能防止无数漏洞,这是低级系统编程中一个长期存在的问题。Linux 社区已经开始接受 Rust 的潜力,Google 也正在尝试在关键项目中使用 Rust,因此随着他们认识到将 Rust 集成到其软件堆栈中的好处,我们应该期待更多组织效仿。

jj 和 uv:两个值得关注的双字母工具

我对 2025 年感到兴奋的两个新兴工具是 jj 和 uv。两者都有望重新定义各自的领域。

Jujutsu (jj) 是一种新的版本控制系统,它巧妙地平衡了与 git 的兼容性,同时引入了更直观的思维模型来处理分支、更改和差异。我一直是 git 的支持者,它的主导地位对社区来说非常棒,但其陡峭的学习曲线和深奥的概念,如有向无环图 (DAG) 和 Merkle 树,可能会让许多开发者望而却步。

Jujutsu 以更简单、更用户友好的方式重新构想版本控制。习惯使用 git 的开发者会欣赏 jj 的互操作性,而新手会发现它更容易学习和使用。到 2025 年底,我预测 jj 由于其对那些对 git 的复杂性感到沮丧的团队的吸引力,可能会占据 git 使用率的两位数份额。

统一的 Python 包管理 (uv) 统一了所有现有Python 工具的最佳部分。Python 开发人员长期以来一直苦于支离破碎的包管理器、虚拟环境和依赖项工具生态系统。uv 将这些不同的解决方案统一到一个单一的、连贯的体验中,可以无缝地管理虚拟环境、包依赖项、工具甚至 Python 版本。

仅仅在第一年,uv 就已经在开发者中获得了显著的吸引力,为 pip、venv 和 pyenv 等工具提供了一个急需的现代替代品。我敢打赌,uv 将在 2025 年实现 40% 的采用率,从而改变 Python 项目的管理方式,并为更流畅的工作流程铺平道路。

SBOM、公平源和 Wasm:不会发生

虽然我对开源的许多方面都持乐观态度,但我认为明年有一些趋势不会获得发展。

  • 软件物料清单 (SBOM) 将继续处于监管困境。SBOM 持续成为网络安全政策中的热门话题,但其实际影响仍然有限。尽管监管措施不断推进,SBOM 往往感觉像是走过场的合规练习,对实际漏洞管理几乎没有增值作用。除非美国政府和其他利益相关者将重点转向更有影响力的举措,否则 SBOM 在 2025 年不太可能获得任何显著的采用。
  • 公平源(Fair source)许可模式将无法在开源社区获得成功。公平源许可模式对商业用途施加限制,可能会在转向传统开源的企业中获得关注。但是,它不太可能促进有意义的社区参与或大型项目的采用。公平源与开源的理念根本不符,我认为它在 2025 年不会获得显著的势头。
  • 服务器端 Wasm 设计过度且炒作过度。虽然 WebAssembly (Wasm) 在基于浏览器的和插件用例中显示出前景,但其在服务器端的采用仍然缺乏生气。对 WASI 组件模型的反对以及 Bytecode Alliance 内部的治理问题阻碍了进展。容器和无服务器平台仍然是大多数开发人员的首选,我认为服务器端 Wasm 在 2025 年不会达到临界规模。

开源的韧性

今年还会发生什么?当我们经历另一起类似 xz utils 的安全事件时,没有人应该感到惊讶。在广泛使用的实用程序(如 xz utils)中发现漏洞,提醒我们开源固有的风险。不幸的是,随着开源项目的攻击面不断扩大,类似事件几乎不可避免。这就是为什么今年,公司将继续投资于软件供应链安全。

我们一次又一次地看到开源生态系统具有韧性。面对攻击,尽管关于可持续性的争论仍在继续,但开源并没有消失。虽然持不同意见者总是会对公司利用免费软件获利表示担忧,但 2025 年将成为开源的又一个充满活力的年份。

Rust、jjuv 的兴起突显了社区持续的创新,而对 SBOM、公平源和服务器端 Wasm 的预期有所降低,这提醒我们并非所有趋势都能成功。

有一点是肯定的:开源将继续成为技术发展的驱动力,在未来数年塑造软件开发的未来。

相关文章:

  1. 开源世界的年度盘点:Kubernetes、Rust、Linux和DOS?
  2. Python Linter Ruff是开源和Rust的胜利
  3. 携手社区驱动开源共建未来
  4. 加密货币能否解决开源开发者薪酬问题?
  5. 开源人工智能定义已发布

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注