Fwupd：开源的硬件固件更新工具将迎来一次重大变革。Richard Hughes，Fwupd 的开发者和维护者，宣布未来版本将不再使用 XZ Utils，而是转向使用 Zstandard (zstd) 压缩算法。这一决策是在经历了 XZ 后门风波之后做出的，旨在提高安全性并改善性能。

背景与动机Fwupd 是一款用于更新硬件设备固件的工具，广泛应用于 GNU/Linux 发行版。XZ Utils 曾是 Fwupd 使用的默认压缩工具，但近期因为 后门事件而引发了安全担忧。为了提高安全性、性能和可靠性，Fwupd 开发团队决定寻找替代的压缩算法。Zstandard (zstd) 简介Zstandard，简称 zstd，是一种快速的无损数据压缩算法，在实时压缩场景中表现出色，其压缩比优于 XZ。Zstandard 基于高效的熵编码，由 Huff0 和 FSE 库提供支持。其格式稳定，并在 RFC8878 中有详细文档说明。Zstandard 已有多个独立的实现，现在成为 Fwupd 的首选压缩算法。性能对比Zstandard 在压缩和解压缩时都表现出色，尤其在解压缩速度方面。以下是一些压缩算法的性能对比（基于 Silesia 压缩语料库）： zstd 1.5.6 -1：压缩比 2.887，压缩速度 510 MB/s，解压缩速度 1580 MB/s。 zlib 1.2.11 -1：压缩比 2.743，压缩速度 95 MB/s，解压缩速度 400 MB/s。 brotli 1.0.9 -0：压缩比 2.702，压缩速度 395 MB/s，解压缩速度 430 MB/s。开源社区与科技巨头的信任缺失

FWUPD项目放弃XZ、拥抱Zstd压缩的决定,或许也反映出开源社区与大型科技公司之间存在一些信任缺失。

一方面,Linux内核社区对于来自科技公司的代码贡献往往持谨慎态度。一些开发者甚至公开表示，不相信Facebook等大型科技公司。这可能源自大公司过度追求商业利益、存在数据滥用等潜在风险的顾虑。

另一方面,大多数开源项目实际上也无法对软件供应链中的所有细节进行100%的审计检查。一些项目不得不在效率和安全性之间权衡,有时也会选择直接采用大厂提供的工具。这种不对等的发展现状,给双方的相互信任带来新的挑战。

无论如何,Fwupd的例子显示,未来Linux生态在供应链安全问题上将更加小心谨慎,并乐于从大型科技公司获取支持,即便双方存在一些分歧。而开源界与商业公司之间在基础设施软件等重要领域能否达成有效合作,也将是一个值得重视的课题。