过去五十年，自由开源软件从鲜为人知逐渐成为今天基础设施的关键组成部分。自由软件通常由自愿的维护者维护，但当它们成为关键基础设施之后，维护者的角色也发生了 变化。过去他们只是出于自己的兴趣发布代码，不是为了满足大型企业和机构的需要，但突然之间他们肩膀上的责任变大了。许多人可能不知道某个自由开源项目对他们非常关键，通过错综复杂的依赖关系，你正在使用的软件依赖于某个开源组件，而它的安全问题也会影响到你的软件。最近发生的 Log4j 事件是供应链安全问题一个典型例子。社区最近开始加强对安全问题的关注，如 PyPI 根据过去半年的下载量筛选出大约 3500 个被归类为关键的项目，要求其维护者的账号必须启用 2FA，它向这些维护者免费提供了启用 2FA 的安全密钥。一部分人认为此举给维护者施加了不合理的负担。维护者们被要求做愈来愈多的事情，而且往往没有任何补偿。如果维护者不想这么做又怎么办呢？今天的世界和自由开源软件成长的世界已经截然不同。