Log4j2的重大漏洞暴露了开源维护者的艰难处境,他们往往是志愿者,面临生活变化时可能停止维护,而专业的开源维护者又缺乏培训和发展机会。尽管有赞助计划,但回报微薄。要解决这个问题,开源软件公司应支持和专业化开源维护者的工作,包括提供安全实践、更新维护和质量标准等。
Log4j2惊现大漏洞? 开源维护者越来越难?
作者:Filippo Valsorda
编译:郭露
原文链接:https://blog.filippo.io/professional-maintainers/
已获得作者授权,请勿转载
不久前,Log4j2的数据库中出现了严重的RCE漏洞,包括苹果、Steam以及Spotify在内的公司均受到波及。此次事件表明,专业开源维护者的缺乏使得互联网面临着巨大的危机。尽管如今人们已着手修复Log4j2的漏洞,但修复项目在GitHub上仅得到了三个人的赞助。
同样,几个月前美国网络安全与基础设施安全局发出警报,一个名为ua-parser-js的流行NPM包遭到劫
持。这一项目在GitHub上的评分为6.5,在OpenCollective上仅筹集到41.61美元资金。
近两年,开源软件影响整个互联网世界的趋势越发明显。然而,作为开源项目核心的「开源维护者」日子却并不那么好过。和专业的开源维护者相比,他们缺乏专业的训练,因此也无法获得更高的收入。想要从爱好发展成职业,面临着诸多的困难。
成为专业开源维护者困难重重
目前看来,开源维护者不是志愿者就是开源公司的员工(有时两者都有)。然而,不管哪一种都很难坚持下去。
各
最低0.47元/天 解锁文章
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
