再谈“开源软件供应链安全”

| 作者：庄表伟

| 编辑：刘雪洁

| 设计：周颖

| 责编：王玥敏

缘起

之前写过一篇文章《我所理解的开源软件供应链安全》，当时的情况，还没有出现一些值得探讨的，堪称紧迫的热点事件，所以我也仅仅是泛泛而谈，到最后留了一句话：「我的提议是：不再提“开源供应链安全”，而是提“开源生态建设”。」

在最近一段时间，接连出现了Log4j2事件，与Marak Squires删库事件，一时间大家都议论纷纷，我也觉得自己有责任，来更加深入的探讨一下，这个方面的问题。

一、时代已经发生了变化

在B站上，有一位著名的Up主：半佛仙人，发了一篇文章，后来还专门录了一期视频。因为是“外行”的缘故，所以会受到很多的批评与指责。其实我觉得他说得大致上都很有道理，作为一位热心人士，积极找程序员朋友交流，尽量深入理解开源，然后再发表自己看法，已经非常不错了。

至少半佛的一个观点，我特别赞同：时代已经发生了变化。我们只有意识并理解这些变化，然后才谈得上“如何应对”。

比尔盖茨的一封信

1976年2月3日，著名的微软公司的创始人，发布了《致电脑爱好者的一封公开信》。这封信在开源社区，估计无人不知、无人不晓。关键在于下面这段话：“谁会从事专业的软件开发却分文无获。哪有业余爱好者会花费3个人年的精力去编写软件，去修正软件，编写使用手册却免费发放给别人使用？”

在很长一段时间里，开源社区的人都视微软是开源的敌人，而且常常喜欢拿段话出来“打脸”。现在就是有那么多人，那么多技术水平高超，却不求回报的人，愿意花费极其惊人的时间，去写软件，修bug，写文档。甚至还有社区运营、技术布道等等诸多工作。

“你们这些资本家们无法理解的事情，正在这个世界上发生着，而且越来越多”。

早期的黑客是一群什么人？

有一些事情，确实很难理解。尤其是像半佛这样的人，无法理解那些早期黑客的动机。因为按照“理性经济人”的假设，那些黑客完全是在做一些一味付出，不求回报的事情。

事实上，我们可以从两个角度，来理解黑客的逻辑。

• 关于回报：如果我们扩展经济人假设，将回报，不仅仅局限于经济上的，金钱的，直接的回报。而是按照功利主义的定义：“效用最大化”。所谓效用，包括幸福、快乐、满足等等情感体验。通过获得经济收入，当然是一种方式。但是：社会地位的提升，甚至仅仅是在社区范围内的备受尊崇，也是一种方式。更有甚至，仅仅是创造一个从未存在过的事物，这种创造的喜悦，就足以回报那些黑客的全部投入。

• 关于未来：黑客、程序员，也许是最喜欢科幻小说的人群了吧。不仅仅是喜欢，而且他们甚至希望能够促成某种未来的早日实现。如果自己写的代码能够帮助这样的未来早日实现，如果与一群黑客一起努力，能够推动这样的世界早日降临，几乎每一个黑客都会愿意倾尽全力。

所以，简单的总结就是：早期黑客们，在努力推动未来早日实现的过程中，已经获得了他们希望得到的回报。