Apache APISIX通过可信开源项目评估,探寻Apache APISIX的开源之路
当前开源项目数量庞大,如何做到开源合规和开源安全是开源项目面临的主要问题,标准化的流程配合工具测试是解决这些问题的有效途径。
10月16日,2020云计算开源产业大会以线上直播的方式隆重开幕,本次会议由中国信息通信研究院主办,云计算标准和开源推进委员会承办,云计算开源产业联盟、金融行业开源技术应用社区支持。
大会隆重发布了2020可信开源项目评估结果:Apache APISIX社区版开源项目顺利通过由中国信息通信研究院开展的可信开源项目评估,本项评估以《开源项目选型参考框架》标准为依据,考察社区版开源项目的许可证合规性、许可证安全性、项目活跃度、软件成熟度、服务支持力、软件兼容性。
评测单位:中国信息通信研究院
中国信息通信研究院云计算与大数据研究所所长何宝宏博士为Apache APISIX授牌:
何宝宏博士(左一)为Apache APISIX(左二)授牌
此次我们采访到了支流科技联合创始人&CEO,Apache APISIX 项目 VP,Apache Skywalking committer,腾讯云TVP,《OpenResty从入门到实战》专栏作者温铭来一起谈谈本次可信开源项目评估和Apache APISIX背后的那些事。
Q
Qustions&
A
Answers
Q
老师您好,请介绍一下您和您的企业,以及此次参与评估的项目。
A:我是温铭,Apache 基金会顶级项目 APISIX 的项目 VP,支流科技联合创始人 & CEO。
支流科技是一家开源商业化公司,以 Apache APISIX 为基础提供 API 网关、k8s ingress controller 和服务网格产品,安全和快速的处理 API 和微服务等业务流量,帮助企业的数字化转型。和很多软件公司不同的是,支流科技的全部员工都是 Apache 顶级项目的 PMC 成员和 committer,对于开源的热爱让大家走在了一起。
Apache APISIX 是一个动态、实时、高性能的 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等七层流量管理功能。
Apache APISIX 由以下三个部分组成:
1. 数据平面:使用 Lua 和 Nginx 动态控制请求流量,通过插件机制来实现各种流量处理和分发的功能:限流限速、日志记录、安全检测、故障注入等,同时支持用户编写自定义插件来对数据面进行扩充。
2. 控制平面:使用 etcd 来存储和同步网关的配置数据,管理员通过 admin API 或者 dashboard 可以在毫秒级别内通知到所有的数据面节点,同时 etcd 集群也保证了系统的高可用。
3. 智能平面:开发者可以使用 DAG(有向无环图)对插件进行编排,通过决策树对请求流量进行实时分析和处理。
Q
恭喜贵单位通过可信开源项目评估,您的感受是怎样的?
A:感谢信通院组织的这次可信开源项目评估,这不仅让开源项目有了一个更全面和清晰的自我评估,也让更多的企业认识到开源项目背后的知识产权、开源治理等代码之外的风险。让开源项目的开发者和使用者都对开源治理有了更深层次的认识,这是非常有意义的事情。
开源,并不是开放源代码这么简单,它背后涉及到license、商标、专利、代码归属、社区活跃度等多个非技术因素,如果企业没有专门的开源委员会或者开源办公室来审核和管理的话,很可能会引入巨大的风险。
而信通院推出的可信开源项目评估,就是企业使用开源项目的定心丸。企业选择通过了评估的开源项目,就不会有上面各种风险的担忧。
Q
可信开源项目是针对社区版开源项目做的评估,可以分享一下开源项目培育过程和社区运营成功之道吗?
A:Apache APISIX 是中国最快毕业的 Apache 顶级项目,在 2019 年 10 月进入 Apache 孵化器,2020 年 7 月毕业成为顶级项目。在这个过程中,保持了每一个月一个版本的迭代速度,代码贡献者从 20 位增长到现在的近 130 位。
快速成长的秘诀其实很简单,就是遵循 Apache Way 来运营社区:
社区大于代码,通过 meetup、大会、文章、视频等各种方式来吸引贡献者加入;
在邮件列表、github 中公开透明的讨论问题;
给予贡献者快速的反馈和认可;
快速发布和频繁发布,让问题尽快的暴露。
Q
通过可信开源项目评估带给企业和团队哪些变化?
A:可信开源项目的评估,让我们更系统和全面的给 Apache APISIX 做了一次“体检”,也让我们这些开源项目的开发者能够站在企业的视角来看待和审视Apache APISIX,我觉得是一个非常好的机会。
Q
在可信开源项目评估过程中的困难与解决办法,可以分享一下吗?
A:其实比较顺利,Apache APISIX 在最开始创建和成长过程中,就是按照世界顶级项目的标准来要求自己的,包括在 Apache 孵化器中也是如此。可信开源项目评估很专业,里面评估的很多内容,和 Apache 基金会对于项目毕业成为顶级项目的要求是一致的,所以整个评估过程中,我们都觉得很顺畅。
Q
对于开源治理工作的开展,下一步计划有几方面?
A:社区大于代码,这是 Apache 文化的核心,也是 Apache APISIX 一直以为笃定的方向。Apache APISIX 后面在开源治理工作方面,有以下计划:
重点发力 Apache APISIX 的全球化和多样化。APISIX 是 Apache 基金会的顶级项目,有 NASA、欧盟数字工厂都海外的不少重量级用户,而且也经过了中国大流量的考验,逐步变得稳定,是时候开始在海外做推广,让全球的企业使用,同时也吸引更多的贡献者加入;
除了 API 网关之外,Apache APISIX 还会把基于 APISIX 的 ingress controller 贡献给 Apache 软件基金会,以及对应的服务网格方案。形成全流量的 API 分析和处理平台。
Q
对于开源治理的未来发展方向,您有何看法?
A:软件吞噬硬件,开源软件吞噬世界,这已经不是未来的趋势,而是云原生时代的现状。而在其中,开源治理是至关重要的一环。未来的发展,不仅需要工程师的代码贡献和步道师的传播,更需要法律、市场、资本、基金会、政府等多方面的参与和共同努力,我觉得信通院可以在其中扮演更重要的角色。
可信开源项目评估介绍及评估报名
可信开源项目评估:评估对象为社区版的开源项目,以《开源项目选型参考框架》标准为依据,重点考察开源项目在许可证合规性、软件安全性、软件活跃度、技术成熟度、服务支持力和软件兼容性六个方面的能力,全面衡量社区版开源项目的健康程度,为开源项目使用方提供选型的参考依据。
《开源项目选型参考框架》框架图
即日起,中国信息通信研究院将启动新一轮可信开源项目评估,现接受可信开源项目评估报名,如有意向参与评估,请与相关人员联系。
联系人:俊哲 junzhe@caict.ac.cn
精彩内容推荐