FOSDEM 2026与开源信息洪流:生态现状与未来趋势
目录
混乱与人群
驾驭信息洪流
2026 年的趋势与张力
安全是工程而非防御
“免费”的经济学
实践行动呼吁
一线希望
FOSDEM 2026:开源生态的实时快照
(也就是“……那么你这周末干了什么?”)
我在布鲁塞尔度过了四天,刚刚经历了 FOSDEM 那种独特的、令人精疲力竭的体验,现在回来了。精神崩溃,身体透支,但我非常高兴自己去了。
混乱与人群
今年约有 8000 人参加了这次大会。有些人是第一次来;许多人则是作为年度朝圣者回归。
FOSDEM 在现代会议界仍然是一个异类:免费参加,没有注册门槛,也没有赞助商左右基调。你只需要到场即可。
其官方描述——“供软件开发人员会面、分享想法和协作的免费活动”——虽然技术上准确,但完全不足以概括它。
FOSDEM 与其说是一场会议,不如说是开源生态系统的实时快照。
在 2026 年,这场快照包含了 1000 多场会议,近 1200 位演讲者,横跨约 70 个议题轨道。组织者将它们塞进了布鲁塞尔自由大学 Solbosch 校区的 37 个房间里。算一下你就很快会意识到一件重要的事:你去那里不是为了消费所有内容。你是去从信息洪流中取样的。
驾驭信息洪流
组织者会对大多数讲座进行直播和录像(https://video.fosdem.org/2026/),这真是仁慈之举。在不同房间之间奔波往往是徒劳的。工作人员严格执行容量限制;你可能提前 30 分钟到达,结果还是进不去。组织者从不妥协安全或时间安排。这种纪律是整个活动能够顺利进行的唯一原因。
既然你可以坐在沙发上观看,为什么还要亲自去呢?
因为是谁坐在房间里。当你剥离掉公关层面,FOSDEM 将真正的推动者聚集在了一起:项目创始人、维护者和基金会代表。你会发现律师、研究人员和发行版构建者坐在编译器工程师、学生以及那些默默维持生产系统运行的人旁边。
这里没人推销。你听到的是进展、阻碍、失败的实验和棘手的问题。所有这些都公开讨论。在哪里还能听到 CycloneDX 和 SPDX 的贡献者在辩论 SBOM(软件物料清单)的现实情况,而不是政策理论?在哪里还能向专注于 CRA 的律师提出天真但必要的问题,而不会被推销合规产品?
FOSDEM 是开源的心跳。它是区分什么是现实、什么是炒作的可靠方式。在这里存活下来的想法往往很重要。那些没存活的……就不重要了。
2026 年的趋势与张力
FOSDEM 2026 到底告诉了我们什么?
熟悉的主题都出现了:AI、软件供应链、安全和 CRA(网络弹性法案)。我们看到了机器人技术、编译器、Linux 发行版和嵌入式系统。只要是开源的——从 QA 和移动端到无线电和模型铁路——很可能都在那里。
我学到了很多,也认识了新朋友。我与我关心的领域的专家讨论了最新进展,带着大量的思考离开了。
今年出现了一个明显的缺口:没有专门的 Java 房间。虽然各个轨道中仍有少量的 Java 相关内容,但通常以 JVM 为核心的房间缺席了。我和 Foojay.io 的人花时间讨论了这种缺席是否重要。
对于 2027 年,我们正在考虑提议设立一个 Java 用户房间。我们希望刻意将关注点提升到 JVM 和 JDK 之上,探讨 Java 在现代系统、供应链、CI/CD 和受监管环境中的运作方式。
FOSDEM 2026 阐明了一件事:
最难的问题不再是语言特性。它们是我们如何构建、交付和维持软件。包括 AI 在内。
安全是工程而非防御
安全话题贯穿了整个活动,尽管它们往往以间接的方式出现。演讲者将它们定义为良好的工程实践,而不是被动的网络防御。我们讨论了加固构建系统、减少攻击面和改善依赖项卫生。这感觉不再像“恐慌式打补丁”,而更像是“这才是软件本该构建的方式”。
伴随着这些的是一种明显的紧迫感,偶尔接近于焦虑或一种共同的疲惫感。技术协作正在输给法律义务。使软件生态系统更安全所需的工作是真实且持续的,但现在推动这些工作的更多是合规截止日期,而不是共同的工程目标。
“免费”的经济学
开源正接近一个关键时刻。
像《网络弹性法案》(CRA)这样的立法正在重塑期望、责任和责任归属。然而,这项工作的资金模式仍然不明确、分散,或者完全缺失。
维护者感受到了这一点。基金会感受到了这一点。下游用户才刚刚开始注意到。
一场杰出的演讲完美地捕捉了这种张力:Michael Winser 的《包注册表的糟糕经济学》。他提供了丰富的证据,展示了“开源是免费的”这一假设是如何崩溃的。
一旦你将基础设施、安全、合规和滥用防范考虑在内,计算方式就会改变。
随着开源在经济层面上变得不再“免费”……
组织对他们使用的内容变得更加挑剔。付费下载可能不会首先改变行为,但等式正在转变。我们与开源的关系正在改变,因为世界正在改变。
AI 加速了这种压力;立法加剧了它。它们共同扭曲了开源消费的经济学,其方式我们才刚刚开始理解。
实践行动呼吁
那么你实际上应该做什么?
这篇文章起初是对开源的颂歌,现在仍然是。但怀旧无法让系统保持合规或安全。好消息是,初步的回应需要扎实的工程,而不是意识形态。
1. 深入了解你的软件供应链
不是大概了解。不是通过季度报告。你必须充分了解生产环境中有什么,以便在监管机构或攻击者之前发现漏洞。
FOSDEM 上关于供应链安全、SBOM 和 PURL 的讨论非常激烈。简单来说——因为我不是律师——证明你对交付的内容有控制权,需要你知道你交付的是什么。这种“证明”正迅速成为一项硬性的合规要求。
2. 让你的 CI/CD 管道变得平淡而高效
操作系统、依赖项和工具的更新必须成为常规操作,而不是英雄壮举。如果更新很痛苦,那么下一个合规截止日期或漏洞披露就会成为生存风险。
3. 为每个组件建立支持策略
这包括开源。你必须知道你的依赖项何时达到生命周期结束(EOL),此时你的法律风险是什么,以及你的技术选择有哪些。
如果升级风险太大或太慢,越来越多的商业支持将出现在帮助处理 EOL 开源软件上。掌控你的软件意味着能够解释你如何解决安全问题。
无论你选择哪条路:计划频繁升级、年度现代化、无情地撤回应用程序,或者干脆购买支持合同,你必须能够交付。审计员不会接受含糊其辞或“到时候再说”之类的回答。
一线希望
上述几点归根结底都是要有扎实的工程基础。新工具正在出现以简化事情,许多在 FOSDEM 上进行了展示。它们最终将帮助你消除交付安全软件时的戏剧性场面,无论是否包含 AI。
不过,许多非技术要素仍未解决。我们仍然需要文化和经济层面的转变。
FOSDEM 2026 向我们展示了开源是多么充满活力和动态,以及它正在如何应对我们面临的挑战,但也许我们看到了“仅仅更多技术”时代的终结的开始。
我们终于承认,文化和经济变化将重写我们与软件的关系。
我宁愿现在就从从事这项工作的人那里大声地、公开地听到这些,也不愿从监管机构、违规报告或法庭上听到。
FOSDEM 2027 看起来是明年的必去之地。
是时候在你的日历上标记一下了。
本文 FOSDEM 2026 and the Open Source Firehose 首次出现在 foojay 上。