背景:经抽查openEuler LTS 范围内的900+ 软件,发现其中200+ 软件2年内未发布新版本,80+ 软件上游社区半年内未处理Issue PR18款软件为2010 年前发布,30款软件为2015 年前发布;

       为了保证openEuler 集成软件质量,针对上游宣布停止维护或实际停止维护软件需要考虑如何保证质量,保证客户持续的高质量体验。

 

处理建议:

1、软件引入时增加社区状态检查:

1、软件来自知名社区或组织,社区或组织通过发布公告、修改软件仓库状态、将仓库放到特定目录下等方式告知停止维护的,不建议引入,

2、软件来自个人、小型社区或组织,两年内未发布版本(含正式版本与测试版本),无明确版本计划,社区提交了有效的BugPR,但是半年以上未响应的,不建议引入,

3、社区运营状态不明确,通过Issue 或者邮件等方式询问社区是否继续维护,半年以上未响应或者答复停止维护的,不建议引入。

 

2、增加软件退出规则:

当满足以下两个条件时,openEuler软件包的退出申请可以被立即执行,对应repo将从项目中直接删除。

 

1、软件的License 或出口管制策略影响了目前正在使用的版本,导致openEuler存在商务或者法务上的风险,不能继续集成该软件

2、存在恶意代码或严重安全隐患且openEuler 社区无能力修复的,要求软件被立即移除。

除以上描述两种场景外,剩下的场景openEuler对软件包的退出实行过程化管理:

 

1、随着技术演进与发展,软件因技术陈旧或架构落后,不能满足现有的应用场景被其他更优秀的软件所取代。

2、软件新版本License 或出口管制策略变化导致openEuler 不能集成,openEuler 已经集成的旧版本过于老旧。

3、软件来自知名社区或组织,社区或组织通过发布公告、修改软件仓库状态、将仓库放到特定目录下等方式告知停止维护的。

4、软件来自个人、小型社区或组织,两年内未发布版本(含正式版本与测试版本),无明确版本计划,社区提交了有效的BugPR,社区半年以上未响应的。

5、社区运营状态不明确,通过Issue 或者邮件等方式询问社区是否继续维护,社区半年以上未响应或者答复停止维护的。

如果软件满足退出条件,但是因openEuler 社区其他软件存在依赖且短时间不能解除或者下游切换周期过长而不能立即退出的,可以由依赖方所在SIG 或原SIGgithub 上建立仓库自行维护。

3、增加自维护策略:

开源软件符合退出条件,但是因上下游切换周期长,短时间不能退出的,由依赖方SIG或者本SIG 自建仓维护,具体原则如下:

 

1、知名社区或组织宣布停止维护、License 变化或出口管制原因导致不能集成新版本的,短期内由软件所在 SIG 建立的github 项目维护,并且寻找替代软件,推动上下游尽快切换。

2、个人、小型社区或组织投入不足的,优先联系社区maintainer,传递openEuler 参与贡献的意愿,重新激活上游社区。maintainer 不响应的,需要将软件迁移到openEuler SIG github 建立的项目下,

openEuler SIG维护。迁移后需要在原始上游社区发布openEuler SIG继续维护软件的通知,吸引社区其他参与者成为贡献者。

 

4 增加自维护质量要求:

1、运行在数据面^1的关键软件(例如glibcdpdk),或者运行在控制面^2/管理面^3,但是可能导致下游客户出现现网事故的(例如升级相关软件dnf)或暴露攻击面的软件(例如网络服务 vsftpd),

2、需要梳理特性应用场景、规格、使用约束与限制;梳理代码关键流程、开展代码检视工作;补充特性测试、组织各类专项测试、安全/韧性测试、开展薄弱特性质量改进工作。

3、运行在控制面^2/管理面^3,但是常驻系统或高频执行的软件(systemdsshd),需要梳理特性应用场景、规格、使用约束和限制,结合特性使用场景开展代码检视;结合特性使用场景补充测试、开展各类专项测试、薄弱质量改进工作。

4、运行在管理面^3且使用频率低,应用场景稳定的(例如anacondadconf),通过问题触发方式熟悉代码流程,开展专项测试。

5、不在客户现网环境运行或不影响客户现网运行的软件(如CUnitMakegdb),在openEuler 制品仓中维护,基于开源测试代码展开测试活动,定期从友商社区(例如fedoraopenSuse)同步补丁代码。

 

 

原文PR 如下:https://gitee.com/openeuler/community/pulls/1171/files

 

欢迎各位发表意见

 

李次华

欧拉部-2012 实验室

华为技术有限公司

Tel : +86 15158056404

Email : licihua@huawei.com

 

This e-mail and its attachments contain confidential information from HUAWEI, which is intended only for the person or entity whose address is listed above. Any use of the information contained herein in any way (including, but not limited to, total or partial disclosure, reproduction, or dissemination) by persons other than the intended recipient(s) is prohibited. If you receive this e-mail in error, please notify the sender by phone or email immediately and delete it!