From 0ea666564543016e788a66bdf59a9447a3893e77 Mon Sep 17 00:00:00 2001 From: Bright Huang Date: Sat, 7 Jan 2023 12:13:42 +0800 Subject: [PATCH 1/2] finish translation --- ...20210718 Is Open-Source Software Secure.md | 136 +++++++++--------- 1 file changed, 67 insertions(+), 69 deletions(-) diff --git a/sources/talk/20210718 Is Open-Source Software Secure.md b/sources/talk/20210718 Is Open-Source Software Secure.md index 01d262a018..7e0b33aec4 100644 --- a/sources/talk/20210718 Is Open-Source Software Secure.md +++ b/sources/talk/20210718 Is Open-Source Software Secure.md @@ -7,142 +7,138 @@ [#]: publisher: ( ) [#]: url: ( ) -Is Open-Source Software Secure? +开源软件安全吗? ====== -Being someone who prefers [Linux for desktop][1] and encourages using open-source software, you may expect the answer to the question raised in the headline with a big “**Yes**“. +作为一个偏爱 [Linux桌面发行版][1] 并鼓励使用开源软件的人,你可能期待就标题中提出的问题得到一个响亮的**肯定**回答。 -But I am not going to limit discussing the benefits of open-source software. Let us explore more! +然而,我并不打算仅限于讨论开源软件的优点。让我们一起探索更多的内容吧! -Here, I plan to share my thoughts on if open-source software is secure and what are the things involved in it that make secure or insecure. +本文,我计划分享我关于开源软件是否安全的思考以及哪些事情与开源软件的安全性相关。 -### Why Should You Care if Open-Source Software is Secure? +### 为什么你需要关注开源软件是否安全? -No matter whether you use [Linux][2] or any other operating system, you will be surrounded with open-source software in some way (directly/indirectly). +不论你是使用 [Linux][2] 系统还是使用其他类型的操作系统,你都会在某种程度上(直接地/间接地)被开源软件所包围。 -To give you an example, most of the proprietary software tools depend on some form of open-source libraries to make things work. +举个例子,大多数专有软件工具依赖于某种形式的开源库来保证其正常工作。 -Furthermore, there is a reason why companies of various scale (including Google, Microsoft, and Facebook) rely on open-source software or contribute their resources to the open-source community in one way or the other. +此外,各种规模的公司(包括 Google、Microsoft 和 Facebook )依赖开源软件或者以某种途径向开源社区贡献资源是有原因的。 -Hence, the security of open-source software is something essential to know about. +因此,开源软件的安全性是有必要了解的。 -### Myths About Open-Source Software Security +### 有关开源软件安全性的谣言 ![][3] -While there are several arguments to pitch the cons of open-source software in terms of security, some of them just do not make any sense. +虽然有多种理由证明开源软件在安全性方面的缺陷,然而其中一些实际毫无意义。 -#### Anyone Can See & Exploit the Code +#### 任何人都可以查看 & 恶意利用开源软件代码 -The code is accessible to everyone, yes. But just because you can see the code—does that mean anyone can exploit it? +是的,开源软件代码对于任何人都是可访问的。但是你可以查看代码并不意味着你可以利用它。 -**Not really.** +**不现实** -Even though anyone can create a fork (or copy) of the software, the original software cannot be manipulated easily. +即使任何人都可以克隆(或者拷贝)该软件,原始软件也不能轻易地被修改使用。 -Usually, the project maintainer (or a group of them) manage the code repository and accept the commits from contributors. The code is reviewed before approval. And no one can hijack the code just like that. +通常,项目维护人员(或者维护团队)管理代码仓库并且接受来自贡献者的提交。开源软件代码在接受之前被审查。没有人可以像那样劫持代码。 -**It takes effort for an attacker to exploit a vulnerability or add malicious code in a software, no matter if it is open-source or closed source.** +**不论是开源软件还是闭源软件,攻击者都需要付出努力来利用软件中的代码漏洞或者添加恶意代码** -#### Without Dedicated Resources, Security Breaks down +#### 失去专用资源,安全性无从谈起 -Many believe that without dedicated employees or a team for an open-source software, it is difficult to maintain security. +很多人相信如果开源软件没有专职人员或者专职团队,维护软件安全性是困难的。 -In contrast, with several types of contributors joining and leaving, the software gets more attention from a wide range of developers. +恰恰相反,由于各种个样类型的贡献者的加入与离开,开源软件获得了来自更大范围的开发者的更多关注。 -And they may be able to spot security issues better than a few employees assigned for a proprietary software. +他们可能比由专用软件所聘用的少数开发者更能够发现安全问题。 -Some projects from the likes of Mozilla have a dedicated team to effectively iron out security issues. Similarly, most of the successful open source projects have plenty of resources to dedicate for security. +一些来自 Mozilla 等同类公司的项目拥有自己的专职团队来高效处理安全问题。同样的,大部分成功的开源项目拥有大量的资源用于保障安全性。 -Hence, the open-source software ecosystem is a mixed bag for security. Even without dedicated resources, the projects get help from various contributors, and some are profitable to a great extent which helps them dedicate more resources. +因此,开源软件的生态系统是安全性的组合包。即使没有专职资源,开源项目也可以得到来自各类贡献者的帮助,他们中的一些很大程度上是有利可图的,这有助于他们投入更多的精力。 -### Open Source Software is Secure: Here’s How +### 开源软件是安全的,以下是原因 ![][3] -Now that we have tackled the myths, let me highlight how open-source software deals with security issues. +既然我们已经解决了有关开源软件安全性的谣言,让我重点展示一下开源软件是如何处理安全问题的。 -In other words, the benefits in security with open-source software. +换句话说,开源软件在安全性上的优势。 -Not to forget, the perks of open-source software translate to some of the reasons why [Linux is better than Windows][4]. +请不要忘记,开源软件的优势也是 [ Linux 比 Windows 更好][4]的一些原因。 -#### More Eyes Looking at the Code +#### 更多的眼晴关注开源软件代码 -Unlike a proprietary software, access to code is not limited to a few developers. +不像专有软件,代码访问仅不限于少数开发者。 -Some projects may even have thousands of developers watching the code, reviewing them, and flagging or fixing security issues. +一些开源项目甚至可能拥有数以万记的开发者查看代码、审查它们并标记和修复其中的安全性问题。 -And this gives an edge over closed-source software by having **the ability to identify issues quickly and addressing them as soon as possible.** +这给予了开源项目拥有**快速识别问题并尽快修复它们的能力**的相比闭源软件的优势。 -Not just limited to more developers, often enterprises get involved with open-source projects that they utilize. And when they do, they will also go through the code and review it. +不仅仅限于拥有更多的开发者,企业通常也会参与他们所使用的开源项目。当他们这样做的时候,他们也会查阅代码并审查它们。 -This gives another source of external audit that may help improve the security of the software. +这提供了外部审查的另一条途径,而这可能有助于提升开源软件的安全性。 -In contrast, with a closed-source software, a limited number of developers may not be able to find all kinds of security issues. And it may take them longer to fix all the issues one by one. +反之,就闭源软件而言,有限人数的开发者可能并不能找出所有种类的安全问题。而且他们可能需要花费更长的时间来一一修复发现的问题。 -#### Community Decision Making to Prioritize Security Issues +#### 社区决定安全问题的优先级 -The developers of a closed-source software may have certain restrictions and priorities as what to work on and when to resolve an issue. +闭源软件的开发者可能在处理什么问题和什么时候解决问题等方面有某些限制或者优先等级。 -However, in case of an open-source project, the community of contributors can prioritize and assign themselves what they want to work on and when to fix an issue. You do not need to depend on a vendor or follow their instructions to address a security issue. +而如果是开源项目,贡献者社区可以自行决定优先级并自行安排他们想解决的问题以及决定合适修复问题。你不需要依赖于供应商的决定或者按照他们的指示来解决一个安全问题。 -The decision making that goes into addressing and fixing the security issues is more transparent and flexible in case of an open-source software. Hence, it can prove to be more effective leaving you with three specific benefits: +着手处理和修复安全问题的决定在开源软件项目中更加透明和灵活。因此,它可以被证明是更有效的,并为你带来以下三个益处: - * **Transparency** - * **No dependency on the vendor** - * **Faster security updates** + * **透明度** + * **不依赖供应商** + * **更快的安全更新** - - -### Open Source Software is not Bulletproof: Here’s Why +### 开源软件不是刀枪不入的,以下是原因 ![][3] -While there are cases where open-source software may get an edge for security, there could be instances or factors that affects it. +虽然有开源软件可能在安全性上具有优势的案例,然而仍有一些因素影响它。 -It is important to acknowledge that these problems exist, accordingly, an enterprise or an individual can make better decision about the state of security for an open-source software. +承认这些问题的存在是很重要的,据此,企业或者个人可以就一款开源软件的安全情况做出更好的决定。 -#### Not enough Eyes to Review Code and Uncertainty +#### 并无足够的眼睛来审查代码和不确定性 -Even if the code is accessible the world of developers, there are chances that a **project does not have enough contributors/developers to thoroughly review the code**. +即使开源软件代码可以由全世界的开发者自由访问,**项目没有足够的贡献者/开发者彻底审查开源代码**的可能性仍然存在。 -In that case, we cannot have great confidence of an open-source software being peer-reviewed, because it lacks exactly that. +既如此,我们不能对经同行审查的开源软件抱有极高的信心,因为它恰好缺失了这一点。 -The open-source software may “claim” to have the best security just because its open-source, which is misleading when there are not enough developers working on it. +开源软件可能“声称”拥有最高的安全性因为它们是开源的。在没有足够的开发者致力于该项目时,这是一种误导。 -Also, we do not know how many developers are looking/reviewing the code and how exactly the code walkthrough is going on. +同样,我们也无从得知有多少开发者在查看/检查代码以及代码走查在多大程度上进行。 -For instance, the Heartbleed bug was spotted after 2 years of its introduction in a project that was already popular i.e **OpenSSL**. +举例而言,心脏出血漏洞([Heartbleed][T1])是在其在广泛使用项目—— **OpenSSL** ——中引入了2年以后才被发现的。 -#### Software Responsibility or Accountability +#### 软件责任与义务 -This may not be important for individuals, but an **open-source software often comes with no warranties**. +对于个人用户这可能并不重要,但是**开源项目通常并无任何保证**。 -So, if a business uses it, they must take the responsibility of any losses or damages caused by the use of that software. +因此,如果一家公司使用它,它们必须自行承担任何由该软件使用造成的数据丢失与损坏。 -This is something that tells you that nothing can be 100% secure and bug-free. No matter how many eyes you have on a code, or how skilled the contributors are, there will be risks in some form, be it security or data loss. +这告诉你没有什么是100%安全和没有漏洞的。无论有多少眼睛聚焦在代码上或者贡献者的技术多么精湛,总会存在某种形式的风险,可能是安全风险可能是数据丢失。 -And this brings us to the fact that open-source software is not bulletproof. +这告诉我们一个现实:开源软件并非刀枪不入。 -### Open Source May Have its Edge for Better Security But… +### 开源软件有其更高安全性的优势,但是... -Nothing is superior when it comes to security. No matter if it is closed-source or open-source, the same set of principles apply when it comes to security. +就安全性而言没有什么优胜者。不论是闭源还是开源,当涉及安全问题时都适用同一套原则。 -There are various external factors that can affect the security of a software, and **many of those are not source dependent**. +有很多外部因素可以印象软件安全性,而**其中很多都不是来源相关的**。 -The code must be monitored in the same way to keep things secure. +代码必须被以某种形式监控以保证安全。 -Yes, the **open-source approach introduces benefits that closed-source software will never have**, but that does not mean that it is bulletproof. +是的,**开源道路提供了闭源软件所不具备的优势**,但是这并不意味着开源软件是刀枪不入的。 -_What do you think about the state of security when it comes to open-source software?_ _Do you think it is superior to proprietary solutions?_ +_你对开源软件安全状况有何思考?_ _你又是否认为开源软件比专有软件解决方案更好呢?_ -I would appreciate your valuable thoughts in the comments down below. +提前感谢您在下面的评论中提出的宝贵意见。 -#### Big Tech Websites Get Millions in Revenue, It's FOSS Got You! +#### 大型科技网站坐拥百万收入,而 It's FOSS 拥有每一个你! -If you like what we do here at It's FOSS, please consider making a donation to support our independent publication. Your support will help us keep publishing content focusing on desktop Linux and open source software. - -I'm not interested +如果你喜欢我们在 It's FOSS 中所做的工作,请您考虑捐赠以支持我们的独立出版物。你的支持将有助于我们继续发布有关 Linux 桌面版以及开源软件的内容。 -------------------------------------------------------------------------------- @@ -150,7 +146,7 @@ via: https://news.itsfoss.com/open-source-software-security/ 作者:[Ankush Das][a] 选题:[lujun9972][b] -译者:[译者ID](https://github.com/译者ID) +译者:[CanYellow](https://github.com/CanYellow) 校对:[校对者ID](https://github.com/校对者ID) 本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出 @@ -161,3 +157,5 @@ via: https://news.itsfoss.com/open-source-software-security/ [2]: https://itsfoss.com/what-is-linux-distribution/ [3]: data:image/svg+xml;base64,PHN2ZyBoZWlnaHQ9IjQzOSIgd2lkdGg9Ijc4MCIgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB2ZXJzaW9uPSIxLjEiLz4= [4]: https://itsfoss.com/linux-better-than-windows/ + +[T1]: https://www.cve.org/CVERecord?id=CVE-2014-0160 From e6613de7867552647a87d3ef2df2c7f4f2419b1b Mon Sep 17 00:00:00 2001 From: Bright Huang Date: Sat, 7 Jan 2023 12:15:28 +0800 Subject: [PATCH 2/2] move file --- ...20210718 Is Open-Source Software Secure.md | 0 ...s for measuring your open source software usage.md | 145 ------------------ 2 files changed, 145 deletions(-) rename {sources => translated}/talk/20210718 Is Open-Source Software Secure.md (100%) delete mode 100644 translated/talk/20221202.0 ⭐️⭐️ 8 ideas for measuring your open source software usage.md diff --git a/sources/talk/20210718 Is Open-Source Software Secure.md b/translated/talk/20210718 Is Open-Source Software Secure.md similarity index 100% rename from sources/talk/20210718 Is Open-Source Software Secure.md rename to translated/talk/20210718 Is Open-Source Software Secure.md diff --git a/translated/talk/20221202.0 ⭐️⭐️ 8 ideas for measuring your open source software usage.md b/translated/talk/20221202.0 ⭐️⭐️ 8 ideas for measuring your open source software usage.md deleted file mode 100644 index f3efee7126..0000000000 --- a/translated/talk/20221202.0 ⭐️⭐️ 8 ideas for measuring your open source software usage.md +++ /dev/null @@ -1,145 +0,0 @@ -[#]: subject: "8 ideas for measuring your open source software usage" -[#]: via: "https://opensource.com/article/22/12/open-source-usage-metrics" -[#]: author: "Georg Link https://opensource.com/users/georglink" -[#]: collector: "lkxed" -[#]: translator: "CanYellow" -[#]: reviewer: " " -[#]: publisher: " " -[#]: url: " " - -衡量你开源软件使用的8个方法 -====== - -我们这些支持开源项目社区的人经常被问到很多有关使用指标的问题。这些指标通常是为了通过用户群体和用户认知来衡量软件的重要性。我们一般都想知道有多少人使用该软件,有多少次安装以及触发了多少次实例。 - -长话短说,我们尚无法直接回答上述问题。 - -如果你想要寻找一个终极解决方案,那很抱歉要让你失望了。有关使用指标的问题,没有人有完美的答案,至少没有准确的答案。 - -好消息是,有一些近似的和可选的指标至少能够部分地满足你对软件使用知识的渴求。本文探讨了这些替代方案以及他们的优点和缺点。 - -### 下载 - -当你浏览提供软件的网站时,你通常可以看到软件的下载次数。映入脑海的一个例子是 Firefox ,它曾经有一个下载计数器。Firefox 的下载量是一个印象深刻的数字,给人留下 Firefox 在一段时间内是一个流行的浏览器。 - -然而,个人行为会直接影响这一数字的准确性。举例而言,当一个人定期重置他们的设备时,每一次重建都会引发一次独立的下载。考虑到这一现实,需要设计一种方法从下载量中去除几十次由上述人员带来的下载次数。 - -下载量不仅会高估使用量,还会低估使用量。例如,一个系统管理员可能会下载一个新版本的 Firefox 一次并将其拷贝到闪存上,然后安装到数百台设备上。 - -下载量指标是易于收集的,你可以在服务器上记录每一个下载请求。问题在于你不知道在这些软件下载以后会发生什么。下载它的人是否如预期的那样使用软件,还是运行时遇到了问题而遗弃了软件。 - -对于开源项目而言,你可以考虑各种下载量指标,比如来自以下途径的下载指标: - -- 项目官网 -- 包管理器,比如 npm,PyPi 和 Maven -- 代码仓库,如 Github,GitLab,Gitee 等 - -你可能还对源代码的下载量感兴趣,因为下游项目更可能使用源代码形式 (见于[《如何衡量你的开源项目的影响》][1]一文)。相应的下载指标包括: - -- 从代码仓库克隆的数量,比如 GitHub,GitLab 和 Gitee -- 从官网下载的归档文件 (tar,zip) 的数量 -- 通过像 npm,PyPi 和 Maven 这样的包管理器下载的源代码数量 - -源代码的下载指标比二进制代码的下载指标更不可靠(虽然尚无相关研究表明如此)。试想一下,一名开发人员想要你的最新版本的源代码并已经配置好了他们的构建流程来总是在每一次构建中都克隆你的版本库。再想象一个自动构建过程失败了,它试图重新构建而不断地克隆你的版本库。你还可以考虑这样一个下载量低于预期的场景——源代码仓库在某些地方缓存了,下载来源是由这些缓存所提供的。 - -**[相关阅读[跟踪你的开源社区的5个指标][2]]** - -总而言之,下载量指标是用于提供当前使用情况和探测趋势的很好的代表。我们无法明确地定义一次下载是如何转化为使用的。不过我们可以认为增加的下载量是更多潜在用户的标志。举例而言,如果你为你的软件做了广告并在活动期间得到了更高的下载量,可以公正的假定广告推动了更多人下载软件。下载行为的来源与元数据还可以提供额外的与使用行为相关的内容。你的软件的哪些版本仍在使用中?什么操作系统或者专属语言的版本更加流行?这有助于社区决定将哪个平台的软件作为支持与测试的优先选项。 - -### 提问 - -作为一个开源项目,你可能有一个问题追踪器。当某个人提出一个议题时一般有两个目标,报告一个漏洞或者请求增加一项功能。提问者可能使用过你的软件。作为一名用户,他可能发现了一个漏洞或者确定了对新功能的需求。 - -很明显,大多数用户不会执行额外的步骤来提交问题。提问者是我们的忠实用户,我们对他们表示感谢。此外,通过提出问题,他们成为非代码贡献者,他们也有希望成为代码贡献者。经验法则是大约每10000名用户中,可能有100名提问者以及1名代码贡献者,当然取决于用户类型,上述比例可能有出入。 - -回到指标问题,你可以将提问者数量作为评估使用量的下界。相关的指标包括: - -- 提问者数量 -- 活跃提问者的数量 (在过去6个月内提出问题的提问者) -- 同时有代码贡献的提问者的数量 -- 尚未解决的问题的数量 -- 发布的问题评论的数量 - -### 邮件列表,论坛和问答网站 - -很多开源项目都拥有用户邮件列表,论坛,并且出现在类似 Stack Overflow 的问答网站上。与提问者一样,在这些地方发帖的人可被视作用户的冰山一角。与邮件列表、论坛和问答网站上的社区活跃程度相关的指标也可用于反映用户数量的上升或下降。相关指标可以集中于以下地方的活动,包括: - -- 用户邮件列表的订阅量 -- 论坛用户的数量 -- 问题的数量 -- 答案的数量 -- 发布信息的数量 - -### 上报功能 - -为了获得精确的用户数量,一个方案是让软件在使用时上报信息。 - -这是令人毛骨悚然的。想象一下,系统管理员的防火墙报告了一个非预期的到你的服务器的网络连接,你不仅无法再收到软件报告(被防火墙拦截了),恐怕连你的软件也可能在未来被禁止使用。 - -负责任的设置上报功能的方式为设置一项可选服务来检查更新并让用户知道使用最新版本。另一项可选功能可以集中在使用检测上,你可以通过该功能询问用户是否允许匿名上报软件使用情况。如果经过深思熟虑的实施,这种方式可以允许用户通过他们使用软件的方式帮助优化软件。用户可以持有这样的意见:我一般不允许使用信息分享;但对于一些软件,因为希望开发人员从长远来看会将软件优化得更好,我愿意这样做。 - -### 加星标与克隆 - -加星标与克隆是如 GitHub 、 GitLab 、 Gitee 等社交化编程平台的功能。平台用户可以给一个项目加星标。为什么他们要给项目加星标呢?GitHub 的文档作出了解释:你可以给一个仓库和主题加星标以保持对感兴趣的项目的跟踪和在你的新闻订阅中发现相关的内容。给一个项目加星标与将其加入书签的效果一样,并且还提供了一种向项目仓库的维护者展示赞赏的方式。星标的数量已经成为了项目流行程度的标志。当一个项目发布重大公告并获得相当的关注时,项目的星标数量会呈上升趋势。星标的数量指标并不反映软件的使用量。 - -在社交化编程平台上的克隆 (Forks) 即将项目仓库复制一份在自己名下。仓库的非维护者可以在他们自己的克隆仓库中做修改并将修改通过拉取请求 (pull request) 的方式提交审核。克隆比星标更能反映软件社区的大小。开发者也可能为了保存一份代码副本而克隆一个项目以便在原始仓库消失后他们仍能访问代码。因为克隆功能在代码贡献工作流中的应用,克隆量是衡量开发社区的良好指标。克隆量通常也不反映非开发人员的使用,因为非开发人员一般不创建克隆。 - -### 社交媒体 - -包括 Facebook、Instagram、LinkIn、Reddit、Twtter等的社交媒体平台提供了相同兴趣的人们聚集的平台。采用社交媒体策略,开源项目可以通过在平台上设置相应的聚集空间来吸引对项目感兴趣的人们。通过这些社交媒体途径,开源项目可以分享项目新闻、更新、突出共献者和用户。这些社交媒体途径还可以用于认识那些本不会通过其他途径与项目互动的人。 - -我在犹豫是否建议关注指标因为它与软件的真实使用量没有清晰的联系,并通常需要分析其中的积极、消极和中性的情绪。人们可能因为很多不同的原因对你的项目感到激动并想要在不实际使用的情况下关注它。然而与之前已经讨论过的指标一样,能够在社交媒体上吸收人群本就是项目受关注的整体指标。不同社交媒体平台的指标包括: - -- 关注与订阅的数量 -- 消息的数量 -- 活跃的消息作者的数量 -- 喜欢、分享、回复以及其他交互的数量 - -### 网站分析与文档 - -网站流量也是一个有用的指标。这一指标主要由你的服务范围以及市场营销活动影响而不是用户量。然而,我们还有一张王牌:我们的用户文档、教程、手册以及 API 文档。我们可以发现我们的网站以及文档中的什么主题更引人注意。文档的访问者数量应当大概随着软件的使用者数量增长而增长。因此我们可以通过网站的访问量探知对项目的一般性的兴趣并进一步通过观察文档的访问者观察用户风向。这些指标包括: - -- 网站访问者数量 -- 文档访问者的数量 -- 访问者在你的网站与文档上所花的时间 - -### 活动 - -活动指标可以在你主持与项目相关的活动时使用。这是建立社区的很好的方式。有多少人提交摘要在你的活动中发言?有多少人出席你的活动?不论是在线下活动还是线上活动中这可能都很有趣。当然,你如何推广你的活动可以很大程度上决定有多少人到场。同时你可以将自己的活动与人们出行的大型活动放在一起以方便人们参加你的活动。只要你使用一贯的活动策略,你可以通过演讲者提交与参会者注册的增加表征软件受欢迎程度与用户群的增加。 - -你并不需要举办你自己的活动来收集有用的指标。如果你在开源活动中主持有关你项目的讨论,你可以衡量有多少人出席主要聚焦你的项目的会议。像 [FOSDEM][T1] 这样的活动,一些讨论特别聚焦开源项目的更新与公告,会议室中都挤满了人(像 FOSDEM 的所有会议一样)。 - -你可以考虑如下指标: - -- 以你的项目为中心的活动的出席人数 -- 提交到以你的项目为中心的活动的演讲数量 -- 以你的项目为中心的演讲的出席人数 - -### 关于估算开源软件使用的结论 - -正如我们已经如上展现的,有很多指标可以反映软件使用的趋势,没有一个指标是完美的。在大多数情况下,这些指标可能被个人行为、系统设计和噪音所严重影响。因此,考虑到每一个指标的相对不确定性,我们建议你不要孤立地使用任何一个指标。但是如果你从不同的来源收集了一系列的指标,你应当能够探测到用户行为与软件使用的趋势。如果你有手段比较多个具有共性——比如相似的功能、强大的相互依赖以及由同一基金会托管和其他特征——的开源项目的同一组指标,你就可以提升你对用户行为基线的感知。 - -需要注意的是,在本概述中,我们选择突出能够评估直接使用情况的指标。而大多数软件都依赖于其他各种软件包,如果我们不提及作为软件依赖链的一部分被间接使用也会严重影响软件使用与行为,这就是我们的疏忽。因此,我们建议将上下游依赖的合计数量作为你的分析中的另一层内容。 - -最后,作为数据与指标的使用者,我们鼓励你认识到你的利益相关方的权利与责任。你发布的任何指标都有可能影响用户行为。最佳实践是总是一同分享你的背景信息——基础、来源、估算方法和其他关键上下文信息,这有助于其他人解释你的结果。 - -我们感谢 [CHAOSS][T2] 社区在爱尔兰都柏林举行的 CHAOSScon EU 2022 上的富有洞察力的对话,上述对话激发这篇博文的想法。我们还要感谢审阅并帮助优化本文的 CHAOSS 社区的成员。 - --------------------------------------------------------------------------------- - -via: https://opensource.com/article/22/12/open-source-usage-metrics - -作者:[Georg Link][a] -选题:[lkxed][b] -译者:[CanYellow](https://github.com/CanYellow) -校对:[校对者ID](https://github.com/校对者ID) - -本文由 [LCTT](https://github.com/LCTT/TranslateProject) 原创编译,[Linux中国](https://linux.cn/) 荣誉推出 - -[a]: https://opensource.com/users/georglink -[b]: https://github.com/lkxed -[1]: https://opensource.com/article/18/5/metrics-project-success -[2]: https://opensource.com/article/22/11/community-metrics - -[T1]: https://fosdem.org/ -[T2]: https://chaoss.community