解决方案

开源世界的尴尬时刻

seo靠我 2023-09-24 10:16:30

作者按:开源世界里全都是一片祥和、欣欣向荣吗?全都是热情开放、无私奉献吗?那当然不是。本文罗列几起尴尬世界,目的是让大家对开源世界有一个更全面更具体的认识,让大家对底层开源人的生活的心态有一个更切实际SEO靠我的了解。

很显然,开源世界里的人,不都是神仙,他们也需要生存,也需要钱,他们的老婆也要买包(后面你会看到)。他们也会愤怒,也会发脾气,也会骂人。

然而,最让老百姓最受不了的,是有极个别开源人,放着好好的项SEO靠我目撒手不管了,有了Bug也不修,甚至还搞破坏,这简直是太不责任了。

然而,你还没办法追究他,因为开源有一个非常保底的规矩,那就是“不负责任”,你可以看看所有的开源协议,里面都明晃晃写着“不负责任”。毕竟SEO靠我,人家没给你要钱嘛。

本文,是让大家看几起开源世界里的尴尬事件,让大家能更深刻认识一下什么是“just for fun”,高兴就玩,不高兴就不玩了呗。

注:本文撰写受《Working in Public》SEO靠我一书启发,前两个事例是该书提到的。另:此书中译本为《开放式协作》(华东师范大学出版社)。

一、Dominic转手他人放后门

2018年11月,开源项目event-stream爆出一个令人尴尬的大新闻,开源SEO靠我代码里面有偷窃数字货币的后门!

该项目的作者是Dominic Tarr(GitHub用户名@dominictarr)。

但不是他放的后门,是他把项目移交给别人,别人放的。

当时,event-stream每月SEO靠我有几千万的下载量,Vue的官方脚手架vue-cli里面依赖了它,所以影响很大。

最早发现问题的是用户@FallingSnow ,他发现event-stream居然多了一个名为 flatmap-streaSEO靠我m的依赖项,他在event-stream仓库中发了一个 issue,标题为:“I dont know what to say.”

2018年11约21日@FallingSnow发的帖子

这个依赖项会试图窃SEO靠我取用户的加密钱包信息,包括私钥,并将其发送到copayapi.host的8080端口上。

这个恶意代码是谁写的呢?

是@right9ctrl 。

正是Dominic对此项目不感兴趣后,才把项目的npm发布权SEO靠我(publish right)给了他。

Dominic说:“我起初开发这个库只是因为好玩,并不是为了利他。但开发者将维护的工作全压在我的身上,而我从维护中得不到任何东西,这个库对我来说就不再是兴趣了。并SEO靠我且,一开始我并没有从 @right9ctrl 身上感受到恶意,以为这是一位真心想帮助我的人。”“他给我发了电子邮件,说他想维护这个模块,所以我把它给了他。”

“他给我发了电子邮件,说他想维护这个模块,所SEO靠我以我把它给了他。”

Dominic进一步解释:“我曾经在一家餐馆当洗碗工,我犯了一个错误,由于我太能干了,我被提升为厨师。只是获得了一个 50 美分一小时的加薪 ,但却有着更多的责任。我感觉不值得。编写SEO靠我一个受欢迎的模块就像是那样的一百万倍,而加薪是 0 。”

Dominic Tarr

Dominic Tarr

如何看待此事

从好的方面看,至少这个漏洞被人很快发现了!(闭源软件的后门可没这么容易发现。)

从坏的SEO靠我方面看,开源治理任重道远!(这可影响着企业的安全生产。)

讴歌开源的人常说,开源人做开源,凭的都是兴趣和热情,因为他们在雄心勃勃地创建着人类共享的知识和代码。

但是,他们肯定知道,人的兴趣总有一天会转移。SEO靠我

你不能指望一个人对一个小项目能倾注一生的热情。

即便是项目创始人,也总有离开项目的时候。这时,他们能做到最好的情况,就是找一个靠谱的接手人。

但未必找得到。

找不到接手者还能怎么办?《Working in SEO靠我Public》的作者Nadia Eghbal描述了一个很棒的做法:

一位已经创建了数百个流行库的维护者,他使用一个他故意忘记密码的“幽灵”管理员帐户,将他不想要的项目转移到该帐户,他很高兴地说,没有人会SEO靠我因为维护问题而打扰他,因为他也没有这个项目的改动权限了,即使他试图改动。如果有人想修改代码,他们自己fork自己维护吧。

Nadia Eghbal

那么,对于这件事,Dominic有没有责任? 

有人说,完全SEO靠我没有责任,这个项目的许可证是MIT协议。

有人则说,人总应该为自己的项目负责,要保证项目的良好运转。

可能我们在商业世界里生活已经太久了,总觉得任何事情都要有人负责。

偏偏在开源世界里,天生就是无需负责,你SEO靠我以为开源许可证仅仅是给你授权吗,它们更多是给作者免责。

所以,Dominic完全没有责任,这官司就是打到天王老子那里,也没有责任。

那么谁该负责?

我的答案是:谁用谁负责。

比如,开发商如果用它,开发商负责;SEO靠我项目组如果用它,项目组负责;npm如果提供它,npm负责。

毕竟npm是一个商业公司嘛。

npm于2020年3月被Github收购,Github于2018年6月被 Microsoft 收购。

二、Azer匹SEO靠我夫之怒撼全网

2016年3月22日,Azer Koçulu一怒之下,把自己的273个js模块,在npm上全给删了(用unpublish命令)。

原因是Azer对npm的做法非常生气,他本来有一个叫kik的SEO靠我项目,有一天,他收到了来自Kik公司专利代理人的电子邮件,要求Azer不能再用kik这个名字了,因为Kik公司自己要在npm上发布一个叫kik的项目。Azer当然不同意,毫不客气地拒绝了Kik的请求。SEO靠我但Kik公司又向npm团队提出申请,声称Azer滥用了公司的商标并会导致潜在的混乱。npm CEO Isaac Schlueter最终站在Kik公司一边,他们决定从Azer手中夺走kik,将这个库的权SEO靠我限给Kik公司。

Azer大怒,愤而删库,并写了一篇博客,题为“我刚刚解放了我的模块”(I’ve Just Liberated My Modules),他说“我才意识到,npm是某人的私人土地,在那里企SEO靠我业比人民更强大,而我开源是为了人民的力量(Power To The People)。

这273个被删掉的模块中,别的似乎不要紧,要紧的是一个叫left-pad的模块,这库功能很简单,就是用于右对齐文本,SEO靠我但有好几个大型 npm 软件包使用了它 ——包括 Babel,一个 JavaScript 转译器,每周下载 1100 万次——这就导致突然之间,世界各地成千上万的开发人员开始出错。

媒体把这个突发情况描SEO靠我述为“破坏互联网”(“break the internet”)时刻。

人们看到大概这样的报错

这时,一个名为 Cameron Westland 的开发者冲了出来,并在 10 分钟内发布了功能完全相同的leSEO靠我ft-pad。因为npm当时允许任何人使用被遗弃的软件包名称,只要他们不使用相同的版本号就行,所以,kik的新的所有人是Westland。

Westland 发布的left-pad版本为 1.0.0,这SEO靠我解决了一部分人的问题,但是很多软件明确要求使用left-pad的0.0.3版,所以,和Westland商量后,npm“迈出了前所未有的一步”,使用备份恢复了Azer已经删除的0.0.3版。从“破坏互联SEO靠我网”到恢复正常运行,只用了两个半小时。

npm“迈出了前所未有的一步”

Westland十分钟就能修复,是因为left-pad很简单,它只有 11 行长。

left-pad就上面这11行

Azer有没有责任?SEO靠我

如前所述,kik是开源的,Azer没有任何责任。npm允许作者unpublish,那当然就可以unpublish咯。

Azer会愧疚吗?当然不会,用kik的人,有给过Azer一分钱吗?

Azer对npm有SEO靠我责任吗?当然没有,Azer给npm提供了273个模块,而npm也没有给过Azer一分钱啊。

npm夺走了Azer的kiki,Azer正一肚子气没处撒呢,“夺我的kik,让你看看我的厉害!”

npm对AzeSEO靠我r有责任吗?当然也没有,npm可是一个公司,相关协议早都安排得明明白白的。

npm对用户有没有责任?

也没有什么责任,只不过npm自己的名誉受损。

但是他活该,谁让他管理不善呢?

npm拜此教训所赐,宣布今后SEO靠我将严格限制unpublish命令。并且,严格限制自由认领已经废弃的模块。

2016年3月23日,npm在官网宣布1整改举措

这才对嘛,搞管理是放羊吗?

哪能让人说删库就删库呢。

尤其对于开源项目,必须要有“强SEO靠我有力的管理”。(这句话是反话吗?)

Azer Koçulu

Azer Koçulu

用户有没有责任?

有人借此事发表了一篇文章,流传很广,叫做“我们是不是早已忘记该如何好好地编程?”2

大意就是,现在的程序员,SEO靠我这点东西都不写吗,还要依赖一个库。

我看大概他还很年轻,还不知道“重复发明轮子”的真义。

Left-pad虽然小了点,但谁说小轮子不是轮子呢?

虽然,小轮子可能突然会消失。

三、Marak 大发脾气改乱码

npSEO靠我m不让删库,不代表程序员就没法发脾气。

2022年1月上旬,faker.js和colors.js模块,运行时输出乱码,原因是作者Marak Squires生气了。

faker.js 是一个生成测试用数据的SEO靠我软件,包括随机的姓名、地址,公司,日期,财务,图像,数字等。

colors.js是一个进行颜色计算的软件,可实现控制台上带颜色文本的输出。

Marak早就生过一次气,2020年11月,他在Github上发SEO靠我言:“不好意思,我不会再免费支持使用我代码的财富500强(以及其他小型公司)了,没有更多可说的,你们要么给我一份年薪六位数的劳动合同,要么找其他人在分支上干吧!”

Marak早就说过不想干了

Marak SEO靠我Squires

问题似乎始于 2020 年 9 月 Marak Squires 遭遇的一场火灾。当时,Marak Squires 租借的房子突发大火,所有财产几乎被全部烧毁,无奈之下 Marak SquSEO靠我ires 在推特上发布求助:

“我在一场公寓火灾中失去了所有东西,几乎无家可归,也无法访问我的大部分帐户,所有的贵金属都不见了。如果有人能给 paypal@marak.com 一点钱,那将帮助我免于在街SEO靠我上冻僵,哈哈。”

估计他并没有收到多少钱,他才发了那篇帖子。

又过了2个月,Marak还是气不过,终于在2022年1月5日,让自己的代码在运行时输出乱码。

这使得大量程序员在控制台上看到这一幕:

程序员们看到SEO靠我的乱码

想必Marak当时会很解气。

不过,npm现在成熟了,直接将他的项目回滚至先前版本。

如果前面没有Azer,npm估计又要头疼一阵了。

Marak遭受到什么样的谴责呢?

网友对Marak的评价

有网友评价SEO靠我说:“真够孩子气的!”,我觉得还算贴切。

算一种鱼死网破吧,Marak后来也不在开源圈玩了。

对此事的解读

看我写的《开源程序员绝望毁库跑路的背后》就会知道,Marak原本是想通过开源赚钱的,但这谈何容易?SEO靠我

《Working in Public》里有一段话说的好:(我觉得是这本书里最好的一句话)

“生产者不断地进行一场艰苦的战斗,以威胁、闭锁、乞求、指责和羞辱消费者,迫使他们付费。”

开源个人开发者如何进行这SEO靠我场战斗呢?

威胁、闭锁肯定是不行的,乞求、指责、羞辱也许有用。

下面这个案例可以说明一切。

四、Denis情人节绝望哭诉

2023年2月14日,数百万网站使用的 core-js 库的维护者 Denis PusSEO靠我hkarev 表示,他准备放弃开源开发,因为很少有人为他们所依赖的软件付费。

core-js是最受欢迎的polyfill(帮助开发者在不支持js新特性的浏览器上使用js新特性), 月均npm下载量为2.SEO靠我5亿次,总下载量高达90亿次,在GitHub上,有1900万个仓库依赖。

Denis Pushkarev

Denis以前有全职工作,后来(大约是2018年前后),为了全身心开发core-js,他辞了职,并SEO靠我且回到故乡俄罗斯,原因是:“在那里可以用相对较少的钱获得体面的生活水准。”但后来他发现,“钱其实很重要。”

什么事让他开始重视钱了呢,2020 年末,他因骑摩托车与两名行人相撞,并导致其中一人死亡。

他说SEO靠我,如果他当时有8万美元,他就不用入狱了

一个四月的晚上,凌晨3点,我开车回家。两个穿着深色衣服的醉酒的18岁女孩决定以的方式穿过一条光线很差的高速公路——其中一个躺在路上,另一个坐着并拽着第一个,她们SEO靠我并不在人行道上——而是直接在我的车轮下。目击者就是这么说的。我绝对没有机会看到他们。还有一名目击者说,在事故发生之前,她们只是在路上开玩笑地打闹。这并没什么不寻常,这是俄罗斯。其中一个女孩死了,另一个SEO靠我女孩进了医院。然而,即使在这种情况下,根据俄罗斯的仲裁惯例,如果司机不是议员或类似什么人的儿子,他几乎总是被判有罪——他必须要看到并预测一切,行人不负任何责任。我可能会在监狱里呆很长时间,如果我没有记SEO靠我错,检察官要求判我7年。

不入狱的唯一方法是与“受害者”和解——这是此类事故后的标准做法——并且还要有一名好律师。在事故发生后的几周内,我收到了“受害者”亲属当时以汇率计算的总额约为8万美元的资金索赔。SEO靠我律师也需要一大笔钱。

对于一个好的软件工程师来说,也许这不是一笔不可思议的钱,但是,正如我上面所写的,我长期全职在core-js@3版本上工作。没有人为这项工作付钱给我,我之前就已经花尽了所有的财务储备SEO靠我,所以,我没有那么多钱,也没有办法找到所需的钱。我的时间不多了。

当时,面临窘境的Denis曾试着向core-js用户求助,不过他可能用错了方法。

他在core-js安装后输出了文本,请求捐款和帮找工作。SEO靠我

这下可好,Denis每天都会收到数百条的谩骂,让他和core-js滚蛋。

这就是在core-js安装后显示的捐款求助

程序员怒骂:“让这个白痴zloirock和他的core-js库去死吧”

一开始我是很不理SEO靠我解为什么程序员们会如此反感,后来我想明白了,如果我是一名程序员,我正开心或烦恼地处理着工作或代码上的逻辑,突然冒出来一条消息让我捐款,还让我帮他找工作,这简直就像正看电影时蹦出来广告,确实有点招人烦。SEO靠我

Denis后来也认识到这点,他说:“开发人员喜欢使用免费的开源软件,他们对背后的真人不感兴趣。他们认为任何提及钱的东西都是对他们的冒犯。对他们来说,不应该有这些噪音参与。”

Denis当时是收到了一点钱SEO靠我,但离8万美元还差很多,没有办法,他还是入狱了,判刑18个月(实际关了10个月),另处以罚金138万卢布。

2020年1月,我进了监狱。里面的事我不想说太多,我也不想记住那些。那是在一家化工厂的奴隶般劳SEO靠我动,在那里,我的健康严重受损,我24/7和毒贩、小偷和杀手们在一起,共渡了难忘的时光,而且,还无法访问互联网和计算机。

出狱后,他又像以前一样回到了core-js维护。

“我不考虑事故遗留下来的数万美元的SEO靠我诉讼,我也不考虑我的未来,我只是想让Web有更美好的未来。当然,我希望一些公司能给我提供一个职位,让我有机会从事Web标准工作,并赞助我在polyfill和FOSS方面的工作。”

但是他的收入在持续下降SEO靠我,刚开始全职从事开源的时候,他每月能收到2500美元(比他以前公司上班的收入少4~5倍),很快,每月收入下降到约1700美元(通过Tidelift网站是1000美元,通过OpenCollective网SEO靠我站是600美元,还有点别的),俄乌战争后,Tidelift不给他用了,他每月收入锐减1000美元,OpenCollective上的每月订阅捐赠也降到了300美元,他每月只能收到400美元。

今年2月14SEO靠我日,他实在受不了了,发布了长文“So,Whats next”,里面说到:

我他妈的累了(Im damn tired.)我喜欢开发开源和core-js。但我这样做是为了谁或什么?自2014年以来,我一直在SEO靠我确保零兼容性问题,并为大多数网络提供前沿功能。我所看到的不是任何感激之情,而是来自开发人员的巨大仇恨。在core-js使用上节省并赚取数百万美元的公司只是忽略了core-js的资金请求。即使在危急的情SEO靠我况下,他们中的大多数人也宁愿忽视或憎恨。我根本没有看到任何人试图为core-js添加一些重要的东西,或者至少定期做出贡献。

我有一个妻子,有时她想要一双新鞋,或一个包,或一个新的iPhone,或一个ApSEO靠我ple Watch。我的父母已经到了需要我有力支持他们的年龄。很明显,我不可能用我从core-js维护中获得的钱来正常地支持一个家庭,我的财政状况走到头了。

不管怎样,钱很重要。我已经受够了以牺牲我和家SEO靠我人的福祉为代价来赞助公司。我应该有能力确保我的家人、我的儿子有一个光明的未来。

Denis和儿子在一起

文中,Denis给出最后通牒,如果后续能收到足够的捐款,那么他将继续干下去,如果资金不足,他将会把cSEO靠我ore-js变成一个商业项目,要么就是放任这个项目缓慢的死去。

他在文首和文末给出了几种捐款渠道:OpenCollective、Patreon、Boosty、Bitcoin、支付宝。

让我们看看DenisSEO靠我哭诉效果如何?

先看看OpenCollective上的成果。

https://opencollective.com/core-js

到2023年5月1日,有312人每月给core-js捐赠5美元,有6人每月SEO靠我捐赠200美元,还有1225人是其他金额的一次性捐赠或每月捐赠。

这么算下来,至少每月有2760美元,事实上,我估计每月有4000美元之多。(还有一些每月10美元、20美元、50美元、100美元的捐助没SEO靠我有明确显示出来。)

再看看Patreon上的成果。

https://www.patreon.com/zloirock

Patreon上每月有2786美元的收入。

Boosty.to看样子是一个俄罗斯的捐赠类网SEO靠我站,但做得奇差,能看到有35个订阅捐赠者,但不知道他们给Denis捐了多少钱。

Denis还给出了支付宝收款二维码,他大概知道中国的js程序员很多。

扫描支付宝二维码后可以捐款

扫出来的支付宝用户是katySEO靠我a_kirichuk,不知道是谁,也许是Denis的妻子?

最后,我们看看Denis收到多少BTC。

在他发文的当天和第二天,他就收到的3个。

2023年5月1日的余额情况

现在,我一点都不用为他担心了。

他的SEO靠我心情也应该好了很多。

希望core-js能够继续发挥作用。

五、从尴尬事件看开源心态

玩开源,心态很重要,不管是做开源的人,还是用开源的人。

开源开发者大致四种心态

我就是玩玩,开心就好。

我想弄出点名声来,至少SEO靠我便于我求职。

我想造福人类,我是心怀“国之大者”。

我想通过开源创业,我想赚钱。

对于前两者,希望你们尽情享受;对于第3种,希望你没有收入的困扰;对于第4种,希望你放松心态。

个人使用开源的心态

太棒了,有人做SEO靠我了这个,省我多少事。

最好这个项目能不断改进,最好能有人一直维护。

感谢那些做开源的人,如果他们遇到难处,也许我会捐款。

企业使用开源的动机

初创企业:我们把开源的东西完善一下,卖它,用低价打开市场。

IT企业SEO靠我:我们用开源的东西搭建我们的系统,降低成本。

承包商:我们在给甲方开发的系统中,可以大量使用开源组件,降低成本,降低投标价。

企业对待开源的心态

我们要合规,研究好许可证,别让人给告了。

对于最重要的东西,我SEO靠我们要买企业版的,买订阅,这是值得的。

我们要防范失控,防范开源个人开发者删库、跑路带来的影响。

什么,给我们要钱?哈哈,不给。

在我们心情好的时候,我们可以捐助一点,我们可是有良心的企业。

对于前三种,很正常SEO靠我,理性的企业都会这么做。

第四种情况:不给钱,非常普遍。Denis描绘过这个场景:

公司:“我们想使用SQL Server 企业版”

MS:“这需要25万美元+2万美元/月”

公司:“好的!”

...

公司:“我SEO靠我们想使用core-js”

core-js:“简单,执行npm i core-js 就可以了"

公司:“酷!”

core-js:“你想在经济上做出贡献吗?”

公司:“哈哈,不”

不得不说,第五种情况:企业捐助开源SEO靠我,很罕见。

锤子干过这事,让人怀念到如今。

2016年12月,锤子捐款21万美元给OpenSSL基金会

六、后记

说了这么多尴尬事件,其实也没尴尬到哪里去,我们已经看到,一旦有了问题,很快都会修复。

真正让人尴SEO靠我尬的是,开源这么多年,仍然没有发明出来让开源人不再愤怒和悲伤的方法。

我们的世界,仍然没有完美做到:“为众人抱薪者,不可使其冻毙于风雪。”

文|卫剑钒

参考链接:

https://blog.npmjs.orgSEO靠我/post/141577284765/kik-left-pad-and-npm

https://www.davidhaney.io/npm-left-pad-have-we-forgotten-how-SEO靠我to-program/

“SEO靠我”的新闻页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与 我们联系删除或处理,客服邮箱:html5sh@163.com,稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同 其观点或证实其内容的真实性。

网站备案号:浙ICP备17034767号-2