event-stream 作者谈库的维护

程序
pigsrollaroundinthem (39396)发表于 2018年11月27日 12时38分 星期二
来自不快乐就放弃部门
广泛使用的依赖库 event-stream 在被原维护者 Dominic Tarr 转让给 right9ctrl 之后被植入了窃取比特币的后门,原维护者因此遭到了谴责,他在 GitHub 上发表声明做出了回应。他说,使用者将维护的负担压在作者身上,而他开发这个库不是出于利他动机,是因为好玩。从开发中学习并获得乐趣,将维护交给另一个人是因为分享也是一种学习。为什么要把这个软件包项目交给一个陌生人?因为当它不再有趣,你从维护中得不到任何东西。一开始他并没有从 right9ctrl 身上感受到恶意,他以为这是一位真心想帮助他的人。与其他贡献者分享 commit access/publish 权力在 node/npm 社区是很流行的。他认为有两种方法解决这个问题:给维护者钱,或者使用者也应该承担部分维护的责任。