Rust將會爆發,SBOM將會失效:開源預測

2025-04-22 02:27 21CTO

導讀:Rust、jj 和 uv 彰顯了社群中正在進行的創新,而 SBOM、公平源和伺服器端 Wasm 提醒開發者們並非每種技術趨勢都能成功。
2024年對於開源軟體來說是不同尋常的一年。從程式設計工具的突破性進步到對許可和標準未來的激烈爭論,開源生態系統繼續以前所未有的速度發展。
隨著 2025 年的臨近,現在是反思我們過去和未來的理想時機。以下是我對未來一年的想法、預測和熱點,涵蓋了我最看好的領域以及我預見到的停滯或挫折。

Linux 核心中加入 Rust 的決定性一年

Rust 被納入 Linux 核心事實上已經醞釀已久。

早在 2021 年 4 月,當我還在 Google 工作時,我就與 ISRG 合作,正式支援Rust for Linux,我為Miguel Ojeda提供了一份全職從事該專案和其他記憶體安全工作的合同。

我堅信,僅資助這類工作是不夠的;要想取得成功,你需要像 Ojeda 這樣的優秀工程師的全職投入。這項投資得到了回報:2024 年是核心中的Rust終於進入主流的一年。

驅動程式現在正在用 Rust 編寫,勢頭不可抵擋。

展望未來,2025 年 Rust 在核心開發中的應用預計會出現爆炸式增長。Rust 注重記憶體安全性、效能和現代程式設計模型,正在使其成為新一代核心程式設計師的理想選擇。

僅記憶體安全就可以防止無數漏洞,這是低階系統程式設計中長期關注的問題。Linux 社群已經開始擁抱 Rust 的潛力,而Google也正在關鍵專案中試驗 Rust,因此我們應該期待更多組織效仿,因為他們認識到將 Rust 整合到他們的軟體堆疊中的好處。

jj 和 uv:兩個值得關注的雙字母工具

我對 2025 年出現的兩個新興工具感到興奮,它們分別是 jj 和 uv。

兩者都有望重新定義各自的領域。

Jujutsu (jj)是一種新的版本控制系統,它巧妙地平衡了與 git 的相容性,同時引入了更直觀的分支、更改和差異思維模型。

我一直是 Git 的堅定支持者,它的主導地位對社群來說非常有利,但它的學習曲線陡峭,有向無環圖 (DAG) 和 Merkle 樹等深奧的概念可能會讓許多開發人員望而生畏。

Jujutsu 以更簡單、更使用者友好的方式重新構想了版本控制。習慣使用 Git 的開發人員會喜歡 jj 的互操作性,而新手會發現它更容易學習和使用。到 2025 年底,我預測 jj 可能會佔據 git 使用量的兩位數份額,因為它對那些因 git 的複雜性而感到沮喪的團隊很有吸引力。

統一 Python 包管理 (uv)將所有現有Python工具的最佳部分統一起來。長期以來,Python 開發人員一直在努力應對由包管理器、虛擬環境和依賴項工具組成的碎片化生態系統。uv 將這些不同的解決方案統一為一個統一的體驗,從而無縫管理虛擬環境、包依賴項、工具甚至 Python 版本。

僅在第一年,uv 就獲得了開發者們的廣泛關注,為 pip、venv 和 pyenv 等工具提供了急需的現代替代品。我敢打賭,uv 將在 2025 年實現 40% 的採用率,從而改變 Python 專案的管理方式,併為更順暢的工作流程鋪平道路。

SBOM、Fair Source 和 Wasm:不會發生

雖然我對開源的許多方面都持樂觀態度,但我認為有一些趨勢明年不會獲得發展。

  • SBOM 將繼續陷入監管困境。軟體物料清單 (SBOM)仍然是網路安全政策中的熱門話題,但其實際影響仍然有限。儘管受到監管推動,但 SBOM 往往感覺像是複選框合規練習,對實際漏洞管理幾乎沒有什麼價值。除非美國政府和其他利益相關者將重點轉移到更有影響力的舉措上,否則 SBOM 不太可能在 2025 年得到任何重大采用。
  • 公平原始碼對開源社群來說毫無意義。公平原始碼許可模式對商業使用施加了限制,可能會在從傳統開源轉型的公司中獲得支援。然而,它不太可能促進有意義的社群參與或被大型專案採用。公平原始碼根本不符合開源的精神,我認為它在 2025 年不會獲得顯著的發展勢頭。
  • 伺服器端 Wasm 被過度設計和炒作。雖然WebAssembly (Wasm)在基於瀏覽器和外掛的用例中表現出色,但它在伺服器端的採用仍然乏善可陳。對 WASI 元件模型的反對和位元組碼聯盟內部的治理問題阻礙了進展。容器和無伺服器平臺仍然是大多數開發人員的首選,我認為伺服器端 Wasm 不會在 2025 年達到臨界規模。

開源的彈性

今年還會發生什麼?

當我們再次經歷xz utils 式的後門安全事件時,我相信沒有人會感到驚訝。

在 xz utils 等廣泛使用的實用程式中發現漏洞提醒我們開源固有的風險。不幸的是,隨著開源專案的攻擊面不斷擴大,類似事件幾乎是不可避免的。這就是為什麼今年公司將繼續投資於軟體供應鏈安全。

我們一次又一次地看到,開源生態系統具有韌性。面對攻擊,儘管關於可持續性的爭論不斷,開源卻不會消失。

雖然持不同政見者總是對公司從免費軟體中獲利表示擔憂,但 2025 年有望成為開源又一個充滿活力的一年。

Rust、jj 和 uv 的興起凸顯了社群內正在進行的創新,而圍繞 SBOM、公平源和伺服器端 Wasm 的謹慎預期提醒我們,並非每種技術趨勢都會成功。

有一件事是肯定的:開源將繼續成為技術的驅動力,塑造未來幾年軟體開發的新未來。

作者:韋軍(矽谷工程師)

相關閱讀:


相關文章