solidot新版网站常见问题,请点击这里查看。

关键项目和自愿维护者

开源 评论
WinterIsComing (31822)发表于 2022年07月22日 12时58分 星期五
来自王牌飞行员
过去五十年,自由开源软件从鲜为人知逐渐成为今天基础设施的关键组成部分。自由软件通常由自愿的维护者维护,但当它们成为关键基础设施之后,维护者的角色也发生了 变化。过去他们只是出于自己的兴趣发布代码,不是为了满足大型企业和机构的需要,但突然之间他们肩膀上的责任变大了。许多人可能不知道某个自由开源项目对他们非常关键,通过错综复杂的依赖关系,你正在使用的软件依赖于某个开源组件,而它的安全问题也会影响到你的软件。最近发生的 Log4j 事件是供应链安全问题一个典型例子。社区最近开始加强对安全问题的关注,如 PyPI 根据过去半年的下载量筛选出大约 3500 个被归类为关键的项目,要求其维护者的账号必须启用 2FA,它向这些维护者免费提供了启用 2FA 的安全密钥。一部分人认为此举给维护者施加了不合理的负担。维护者们被要求做愈来愈多的事情,而且往往没有任何补偿。如果维护者不想这么做又怎么办呢?今天的世界和自由开源软件成长的世界已经截然不同。