與開放原始碼社群的合作是相當值得的,過去數年來,Wind River Linux團隊已協助數以百計的客戶進入開放原始碼的創新領域。Wind River在本月推出Wind River Linux 9,這是我們最新的努力成果,它整合了最重要的開放原始碼項目、最新的技術以及最新的代碼,能為客戶提供無縫支援並降低了風險;Wind River Linux 9 包含了技術的更新,採用Yocto Project 2.2版本,使用4.8內核以及6.2版本的工具鏈,此一新版本的代碼還包括了vmapped stacks以及MPK(Memory Protection Key,記憶體保護金鑰)的支援和安全性的提升。對我們的客戶來說,可立即使用所有的功能,無須擔心如何把新功能遷移到舊的內核中,也無須自行維護開放原始碼社群已過時的套裝程式,因此更能充分享受到開放原始碼社群的”規模經濟效應”。
Andreea Volosincu, Wind River
過去數年裡,開放原始碼的格局發生了很大的變化。但我們仍會一如既往地與Linux社群緊密合作,實現新功能、提供關鍵需求並加快產品開發的步伐。
我們一直在不斷調整,以適應開放原始碼社群的新變化。以下是直接從開放原始碼論壇上或者郵件中所摘錄的一些例子:
修補安全缺陷,防止0-Day攻擊(Protection against security vulnerabilities and zero-day attacks)
“我們正在使用的Yocto版本是eglibc-2.19-svnr25243。請問這個版本有沒有CVE-2015-7547中所描述的缺陷?如果有缺陷的話,請問有沒有修補此問題的Patch?”
(原文: We are using eglibc-2.19-svnr25243 within Yocto .Is this version vulnerable by CVE-2015-7547? If yes ,is there a patch available for this issue?)
在新的安全隱患被公佈後,諸如此類的問題在社群論壇上不斷出現,但時間永遠是解決問題的關鍵,而我們的策略性解決方案是持續監控。Wind River Linux版本中所有的原始程式碼都受到嚴密監控,確保其不存在安全的缺陷。在最新版本中,我們應用了一個新的,可查詢的Wind River安全缺陷資料庫(Wind River security vulnerabilities database)。您不僅可以搜索特定缺陷,還可以獲得相應的Patch。這對於每年根據報告會產出6000多個缺陷的環境來說,在使用上會相當方便。 Wind River會監控和修補所有與公司產品有關的Linux缺陷,以此來協助我們的客戶,讓他們無需四處尋找Patch,並確保安全無虞。
遵守開放原始碼軟體許可證(Open Source License Compliance)
“...我的備選軟體清單中,有的是GPL3+許可證,有的許可證是這個:https://github.com/rafalmiel/glmark2-wl/blob/master/COPYING.SGI,後面這個許可證又不包括下面這個:https://wiki.yoctoproject.org/wiki/License_Infrastructure_Interest_Group#Licenses。最後這個許可證怎麼使用?真搞不懂怎麼填我的備選軟體表上的許可證欄目!”
(原文 “…the recipe is partly GPL3+, and partly under this license https://github.com/rafalmiel/glmark2-wl/blob/master/COPYING.SGI, which is not in this list: https://wiki.yoctoproject.org/wiki/License_Infrastructure_Interest_Group#Licenses. Is there any way to deal with that license? What should I put in the LICENSE field in my recipe?” )
對於Yocto專案使用者而言,位於meta/files/common-licenses目錄下的通用許可證清單相當複雜。如果一個套裝程式使用了某個不在通用許可證列表中的許可證怎麼辦?先搜索再添加?你如何保證你所使用的是正確的許可證版本?
遵守許可證依此使用軟體是被強制要求的。如果不能確保所使用軟體的正當合法性,那麼對於下游的客戶而言,代價將非常高昂和痛苦,因為這會讓將客戶暴露於罰款、業務停擺、甚至訴訟的風險之中。對於許可證問題,目前流行的趨勢是簡化,把所有問題集中在一個環節全部解決。Wind River的產品均支援統一的授權管理,讓供應鏈上的每個合作夥伴安心無憂。
開放原始碼Package的維護(Open Source Package Maintenance)
“有沒有對於sstate-cache的dpkg-native bug的更新?”
(原文 “Is there a fix for a bug with dpkg-native with sstate-cache?”)
近年來,很多缺陷等著被修補,很多新特性等著被添加,而很多客戶等待著產品新的功能,如果想要為一款商用產品建立一個形象,並且把需要的所有應用都安裝上去,那麼,總會需要調整Linux元件。問題是:你想要獨自解決問題,還是想依賴一套可靠穩定的修補流程?開放原始碼社群發展得很快,經常是用戶還沒有完全弄明白舊的版本,新的版本又發佈了,在開放原始碼社群的快速發展和商業穩定平臺之間,Wind River扮演了橋樑的角色。在每年發佈新版本的基礎上,Wind River每個月都會推出產品的更新,以此讓Wind River平臺緊跟著潮流,可以支援最新的硬體。
開放原始碼軟體的發佈頻率非常快。新的Linux內核大約每70天更新一次,並且伴隨新的功能和增強功能的推出。要使用這些增強功能,意味著你要麼使用最新的代碼,要不斷向舊版本backporting。每個專案管理者都承認,這種工作是最困難的。因此,與可信賴的供應商合作,可為客戶的專案獲得穩定的升級,並避免很多風險和麻煩。
建議你經常上開放原始碼論壇,看看大家都在討論哪些問題,這是一個好辦法。我們會和開放原始碼社群合作,及時解決這些問題。此外,最新發佈的Wind River Linux 9是我們如期推出的新版本,包含了最新代碼和安全更新。如果你想瞭解更多資訊,請透過網站與我們聯繫。或可撥打我們的專線電話1-800-545-WIND預約面對面的交流。如果你已經是Wind River的客戶,可以從以下連結獲取產品的最新更新。
