2026 年 FOSDEM 演讲:幽灵二进制依赖威胁技术基建,如何破局?
二进制依赖演讲信息
2026 年 1 月 31 日,在 FOSDEM 2026 上发表了一场关于“幽灵二进制依赖”的演讲。所谓“幽灵二进制依赖”,指的是以二进制形式依赖的包,这些依赖关系不可见。若无法可靠识别这些幽灵依赖,技术基础设施的可持续性和安全性将面临风险,威胁医院、交通和互联网等关键服务。
可在本页面观看演讲,还能查看更多详细信息和相关资源列表。同时可查看演讲信息和幻灯片。
幽灵二进制依赖概述
创建软件包时,工作可能依赖其他包,通常依赖其源代码,但有时会依赖预编译二进制文件,从其他编程语言调用编译代码时常见。
在几乎所有生态系统中,跟踪二进制依赖困难。依赖包的源代码时,通常会记录在清单文件中;依赖预编译二进制文件时,信息通常不记录,项目与依赖之间的二进制依赖关系隐藏,即“幽灵二进制依赖”。关于二进制依赖如何工作的详细技术信息,可在题为“不同语言中的二进制依赖如何工作”的文章中找到。
幽灵二进制依赖的重要性
幽灵二进制依赖重要,至少有两个原因。一是可持续性,开源可持续性危机使 Keystone 的维护者难获报酬,易受倦怠影响。Open Source Pledge、Open Source Endowment 和 thanks.dev 等项目帮助维护者获得报酬,但需知道依赖哪些维护者才能付费。若无法识别二进制依赖,就无法确定支持哪些维护者,会使开源生态系统的可持续性面临风险,威胁全球技术基础设施。
二是安全性,项目依赖的库存在安全问题会使项目易受攻击。若不清楚依赖哪些库,就无法清楚可能影响的安全漏洞,使项目面临风险。对于支持关键基础设施的软件,这种漏洞会使公众面临伤害风险。
解决方案与相关资源
可构建工具并对包管理生态系统进行系统性改变来纠正问题,演讲中勾勒出解决方案雏形。应首先创建识别和记录各种包的二进制依赖的工具,为相关方提供信息,找出更可靠的解决方案。有了这些信息,可着手解决其他方面问题,如确保二进制依赖从合适的包管理器获取,确保语言包管理器和系统包管理器协同工作发出安全问题警告。
还提供了一些相关资源,如 bindep 仓库、Open Source Pledge、Andrew Nesbitt 的文章、Anand Sawant 的文章、_auditwheel_ 及其相关问题、_elfdeps_、PEP 770、PEP 725、PEP 804、ecosyste.ms 的相关问题、_ESSTRA_、_Fromager_、UAPI 规范 8 和 12、Xu 等人的论文、_PURL 注册表_、Luca Forstner 的文章等。
