编者按:在过去的24个月里,开发人员的数量从60万增加到220万。C/C 、Java等等是大厂常用的语言,现在Rust谷歌、亚马逊等公司也逐渐崭露头角Rust是的。随着开发人员的激增,社区贡献的志愿者越来越多,未来Rust会向最流行的行列靠拢吗?
原文链接: https://thestack.technology/rust-language-explosive-growth-challenges-rust-governance/
根据SlashData根据开发者2021年报告的数据,**使用Rust在过去的24个月里,编程开发人员增长了两倍,达到了220万。**在行业内,Rust语言也获得了许多领先的语言CISO企业对(首席信息安全官)的支持也在不断提高,比如Canonical、Chef、Cloudflare、Deliveroo等公司都在用Rust。(只列出少数公司)
C和C 它们分别诞生于1972年和1983年,作为许多现代软件的构建模块,它们无处不在。但使用C和C 关于内存安全的问题仍然容易出现,导致下游严重的安全漏洞。(在Rust编译器扮演守门员的角色,可以拒绝编译包括并发性错误在内的错误代码。
当然,对于一些为了美观编写整齐的代码的码农来说,这并不值得太过于担忧。谷歌的Project Zero在上个月的分析中,安全研究团队发现,**在2021年发现的58个零日漏洞中,67%是内存损伤漏洞。内存安全问题往往会导致网络安全问题。**很这方面很容易找到很多例子。例如,微软的微软CVE大约70%是内存安全问题。三分之二Linux核泄漏也来自安全问题。
多而杂的事情需要基金会来处理
**诞生于2006年的Rust,是Graydon Hoare在Mozilla副业项目。维护人员作为开源项目,主要作为志愿者独立工作。**自2015年Rust 1.自0推出以来,该项目一直独立运营——该版本有53个贡献者,主要由53个贡献者组成Brian Anderson和Patrick Walton与Hoare一起构建。
直到2020年,随着Rust基金会的成立结束了Rust没有独立组织管理的情况。因为赞助商Mozilla基金会进行了全面裁员最终才促使了Rust基金会的成立导致了社区中许多人的反对Rust社区面临的挑战逐渐凸显出对未来的担忧。(Rust共有6621名个人贡献者,平均有300人为最新版本做出贡献。)
Rust基金会本身规模不大,是由四人组成的非营利组织Rebecca Rumbul博士领导。
Rebecca Rumbul博士是一位经验丰富的非政府组织董事,也是广告标准局理事会成员Hansard该协会的受托人和隐私集体的英国代表索赔人。2021年11月,Rebecca Rumbul成为Rust基金会的CEO,她把工作描述为建立一个团队,坦率地说,
在今年早些时候的一篇博客中,她详细介绍了最近的工作,以确保Rust从美国以外的商标使用到创建、管理和组织Rust基金会赞助的社区支持项目的法律、财务和行政工作。 她在博客中指出,我们仍然需要在法律、安全和合规方面做很多工作。
并在与The Stack谈话中补充道:Rust是从Mozilla和Mozilla没有真正的长期管理计划。,例如,商标或一些非常罕见的法律问题。我们为项目的开发提供基础设施,所以我们需要负责遵守项目落地的地方法律。我们试图加强与项目社区在基金会内部的合作程序,甚至包括一些需要处理的小事情,如确保有人退出工作组过程,确保有合适的基础设施支持,确保及时发现空缺,如果有人在假期,可以安排合适的人更换,管理云计算计划等。管理复杂关系也存在一些问题。例如,4月的Rust根据基金会会议的记录,收到来自其他人的信息Sliver(赞助)成员公司的反馈,
一个赞助商甚至认为,成员公司很难影响Rust的发展。同时,不断壮大Rust维修队伍继续推进Rust例如,语言、库和编译团队最近都发布了他们的计划,Rust语言团队的目标时间是2024年,编译团队是2022年,而库团队没有指定具体时间。(但如果对库团队的计划有深入的了解,就能感受到复杂的挑战)
和许多开源项目一样,许多关键贡献者都是志愿者,尽管Rust谷歌、华为、Meta、微软和Mozilla等 "白金 "赞助商,这些大公司似乎还没有拨出大量资金来支持维修人员。然而,它始于2022年Rust基金会社区独立项目预算62.5万美元,并将提供四种类型的资金。
- Rust基金会奖学金:价值1000美元/月的一年期奖学金(共20个).;
- 项目资助:单项奖,用于支持1000美元至2000美元的独立作品;
- 活动支持补贴:单项奖金从100美元到500美元不等,支持活动开展;
- 困难奖金补贴:单项奖金从500美元到1500美元不等。
Rust的未来
随着企业对Rust兴趣不断增长,Rust如何更好地支持企业赞助商和基金会?Rust发展呢?Rust库团队负责人Mara Bos在与The Stack对话给出了答案。
“Rust发展取决于许多志愿者做他们喜欢的工作,做他们认为对项目最有利的事情。公司应该尽力支持这一点,而不仅仅是关注自己Rust最近的目标。许多公司会赞助很多钱来实现他们的特定新功能,但很少有公司会在没有具体任务的情况下提供赞助。
Mara Bos提到Go维护者Filippo Valsorda在最近的一篇文章中,为了成功地资助一个开源项目,公司需要资助维护人员,而且金额相当于他们作为高级工程师的收入。”另外,Mara Bos补充道:这种工作对项目非常重要,可以说比创建新功能更重要。因为这种工作让人焦头烂额,做一些保持项目健康发展所必需的基础工作。对我来说,
企业赞助商试图影响自己的利益Rust语言的发展方向,Mara Bos说:这不是我现在关心的。每一个Rust贡献者都有自己的目标,所以这个项目一直在处理许多潜在的冲突目标。如果每个参与决策的人都为同一家公司工作,公司一开始就管理和规划了这个项目,那么这个项目就像公司的一部分,而不是他们只是为之做出贡献的独立项目,这将成为一个问题。Rust领导层的每个人都非常关心项目的独立性,如果雇主试图强迫他们做一些不一致的事情Rust他们会反抗项目的最佳利益。如果一个人的下一个奖金或晋升和Rust当项目接受他们的新功能挂钩时,他可能会感到更大的压力,这可能会决策团队面临更大的压力。
即使团队中的大多数人同意,决策也不足以实施。决策团队团队的任何成员都不能反对永久性的变化,这样决策才能被接受。因此,影响对项目最有利的决策并不容易。Mara Bos补充电子邮件。
除了在基金会工作,其他人也在其他领域工作。例如,由由Ernest Kissiedu和Beni Issembert领导的DevX计划(最初由Concordium提供支持),旨在弥补从(F)OSS受益于这些工具的企业与建设和维护服务不足的社区之间的差距Rust Cryptography兴趣小组,而且支持Rust形式验证兴趣组,赞助Rust项目五名维修人员七个月。
Rust联合领导语言团队Josh Triplett(也是DevX赞助顾问)很高兴看到这里有各种各样的努力。赞助必须通过任何特定的组织或实体,这是不合理的,他说。许多公司都在赞助Rust例如,开发者已经领先了很长时间,Embark工作室、Ockam、Discord等等。DevX试图协调多家公司的关系,使其联合起来,以便更大规模地赞助。Rust基金会开始了自己的赞助,这一点非常重要”
Triplett补充说:“我们正在让Rust变得更加实用、把以前只在内部使用的工具带到更广泛的社区,以及推动Rust社区的扩展与合作。我们一直在思考,如果Rust要扩展到不止是两倍的用户,而是一百倍,他们都有自己的用例、目标和背景,那么Rust需要发展成什么样子。我认为2024年的路线图应该从这个方向开始。Rust走的是一条非常谨慎的路线,我们希望听到人们能够说他们能够感受到Rust的支持,因为它很稳定,而且让人相信其不会崩溃。”
在关于是否希望看到社区能够有更多的成就上,Triplett表示:”在实践和统一之间有一个连续的循环:我们尝试解决一类问题的方法,随着时间的推移,我们围绕共同的解决方案进行统一,作为未来工作的基础。”
“现在,我期待步调一致。例如,在标准库中标准化异步特征的工作让我感到很兴奋,因为人们可以编写异步代码,而不必担心他们应该使用哪个框架。我最期待的下一轮实验是基于能力的系统,比如I/O安全工作、Rustix库、WASI及其模块链接······”
与此同时,在Rust基金会,关于许可证的问题一直不断出现。“Rust主要是在MIT许可证和Apache许可证(2.0版)的条款下发布的,还有一部分是在各种类似BSD的许可证下发布的。”
Mara Bos说:“大部分的贡献者都认为这算不上挑战。Rust(以及几乎整个Rust生态系统)使用的是非常宽松的许可证…开源和资本主义不相容的方式并不是通过许可证来解决的,而是需要更大的文化变革。我不认为Rust的许可证会改变,即使做出改变可并非让人难以置信。也许我们只是需要对许可进行一些澄清,使其更清楚地了解哪些条款到底适用于哪些部分。”但实际上,Rust基金会表示,他们接到了许多企业用户要求澄清的电话。
正如Rebecca Rumbul所说的那样:“目前我的当务之急只是,做一个全面的审计。我们认识到缺乏清晰度是一个问题,我们每周都会收到几封电子邮件提到,‘你能告诉我,如果我们使用Y,是否可以做X?’我们非常幸运拥有很好的律师,所以能够回答出个别问题。**但如果Rust继续以这样的速度发展,这些问题将会接踵而至,变得难以管理。任重道远。**实际上,我想很多维护者社区参与到一种工作小组中来,在那里可以运用他们的专业知识,但是我也不清楚将会发生些什么。
“但其实Rust基金会对于维护社区没有控制权,我们的存在是为了尝试和管理语言,并且确保语言的持续发展和取得成功。但我们也必须确保我们与社区的需求保持一致,了解他们想要什么,以及他们想怎么做。一些开源项目有点陷入困境,因为开源社区有他们自己的想法,有自己的个人/竞争权力结构。如果我想强迫人们做一些事情,那么我就像是在为企业工作,不是吗?”