本次演讲将探讨开源软件安全的现状，特别是 Apache 软件基金会（ASF）如何应对日益增长的威胁。 ASF 从第一个项目——一个运行在开源操作系统上的 Web 服务器——起步。自那时起，该组织基于开放性、协作性和公共利益的原则，建立了数百个社区。 如今，开源被认为是大多数商业软件项目的主要组成部分，约占所有商业代码的 90%，估计价值达 88 亿美元。 随着开源软件的兴起，恶意行为者找到了利用漏洞谋取经济利益的方法。 本次演讲将讨论影响开源系统的实际场景，以及缓解攻击的策略。 开源软件在帮助防止攻击方面发挥着特定作用。开源管理者负责遵循既定流程来处理安全漏洞。大多数开源基金会都具备担任管理者的资格。 ASF 致力于与其他开源基金会和政府实体合作，继续为公共利益构建开源且安全的软件，以供广泛采用。

讲师:

Craig 于 2005 年作为孵化中的 JDO 项目的提交者加入 Apache，并于 2007 年成为 Apache 成员。他于 2009 年被任命为助理秘书，并于 2010 年担任秘书，直至 2019 年。他于 2019 年当选为董事会董事，并担任了四届董事。

最初，Apache 的治理方式吸引了我，即由实际工作的人决定项目的方向。这与大多数公司的工作方式截然相反，在大多数公司中，“房间里最聪明的人（经理和高管）”会做出决策。

一旦我自己的项目被 Apache 接受，我就会环顾四周，看看我还能为其他什么项目做出贡献，并加入了一些我可以提供帮助的项目。我还开始研究贡献的许可和最终产品的许可的知识产权模式。这促使我开始为秘书角色做出贡献，处理向基金会授予知识产权的“文书工作”。

最近，我注意到人们认为基金会“规则太多”，这与人们所追求的自由表达相悖。深入探究这个问题后，我发现有一些共同的主题，如果更好地理解这些主题，可以使体验更加顺畅。