開源項(xiàng)目志愿者精疲力竭 惡意拿走一切是不健康不道德的

3月22日消息，如今，整個(gè)互聯(lián)網(wǎng)的運(yùn)行和世界上最大的科技公司們都離不開開源軟件。但為這些開源軟件出人出力的志愿者們已經(jīng)精疲力盡。他們紛紛表示，依賴開源軟件的公司應(yīng)該貢獻(xiàn)更多資金和代碼，而不是坐享其成。

布萊恩·巴布里茨(Blaine Bublitz)每天都要花上幾個(gè)小時(shí)的時(shí)間來查閱Gulp.js用戶發(fā)來的電子郵件。Gulp.js是巴布里茨自愿維護(hù)的一個(gè)開源軟件項(xiàng)目，微軟和美國國家航空航天局(NASA)等機(jī)構(gòu)都在使用這個(gè)軟件項(xiàng)目。

發(fā)給巴布里茨的大多數(shù)電子郵件都是要求對(duì)項(xiàng)目進(jìn)行更新或修復(fù)，堆積在巴布里茨待辦事項(xiàng)上的東西越來越多，似乎永無止境。有些用戶態(tài)度很好，但很多人更喜歡追問巴布里茨為什么要花這么長時(shí)間。很多不禮貌的要求影響到巴布里茨的心情，甚至一度導(dǎo)致他“消失”了6個(gè)月，完全停止了項(xiàng)目維護(hù)工作。

巴布里茨說：“本來錢就不多，再加上人們對(duì)你大喊大叫，說你需要做點(diǎn)什么，這讓我根本不想干。”

另一位開源項(xiàng)目的志愿者瑪麗娜·莫斯蒂(Marina Mosti)每周花10個(gè)小時(shí)維護(hù)名為FormVueLate的項(xiàng)目，但沒有從這個(gè)項(xiàng)目中掙到過一分錢。莫斯蒂在VoiceThread擔(dān)任全職技術(shù)主管，這樣才能為她在開源項(xiàng)目的志愿者工作提供資金支持。

但莫斯蒂在如何平衡受歡迎的開源項(xiàng)目維護(hù)和完成本職工作之間已經(jīng)耗盡精力。她說，F(xiàn)ormVueLate團(tuán)隊(duì)的其他開發(fā)人員也筋疲力盡。雖然幾個(gè)月前就需要對(duì)FormVueLate的一些代碼進(jìn)行全面重寫，但是他們迄今為止還沒有寫出第一行代碼。

莫斯蒂說：“我們沒有時(shí)間、精力或心思花在這些事情上。”

巴布里茨和莫斯蒂并不孤單。與其他幾個(gè)重要開源項(xiàng)目合作的志愿者也有同感。他們抱怨道，這項(xiàng)工作讓人感覺永遠(yuǎn)“難以解決”，“影響了我的健康和快樂”，“成為我生活的負(fù)擔(dān)”。

但是互聯(lián)網(wǎng)不允許他們的工作半途而廢。整個(gè)系統(tǒng)背后的開源項(xiàng)目對(duì)數(shù)字世界至關(guān)重要，支撐著世界上許多軟件的運(yùn)行，包括微軟、亞馬遜和奈飛等最大最富有的科技公司也是如此，例如谷歌就依賴開源項(xiàng)目來運(yùn)行自家的Web應(yīng)用程序。

長期以來，互聯(lián)網(wǎng)都是在開源項(xiàng)目開發(fā)人員的無償支撐下運(yùn)行，現(xiàn)在已經(jīng)岌岌可危。最近的一系列安全事件暴露出這個(gè)生態(tài)系統(tǒng)是多么脆弱，而開源開發(fā)者們已經(jīng)精疲力盡，有的人選擇逃離，有的人甚至通過破壞開源項(xiàng)目以示抗議。缺乏對(duì)這些開發(fā)者的支持將讓整個(gè)互聯(lián)網(wǎng)面臨危險(xiǎn)。

雖然人們常常聽說針對(duì)大公司和關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊急劇增加，但人們很少討論的是，開源項(xiàng)目也受到了網(wǎng)絡(luò)攻擊激增的影響。軟件供應(yīng)鏈管理公司Sonatype的一份報(bào)告顯示，2020年至2021年，針對(duì)開源項(xiàng)目的網(wǎng)絡(luò)攻擊同比增長650%。報(bào)告稱，29%的熱門開源項(xiàng)目至少有一個(gè)已知的安全漏洞。

從理論上講，如果有更多人看到代碼，開源軟件會(huì)更加安全。但最近的一系列安全事件表明，如果開發(fā)人員不去修復(fù)漏洞，對(duì)項(xiàng)目不管不顧，甚至于破壞開源項(xiàng)目，那么會(huì)給互聯(lián)網(wǎng)生態(tài)系統(tǒng)帶來相當(dāng)大的負(fù)面影響。去年12月份，黑客就利用開源項(xiàng)目Log4j影響到IBM、甲骨文、亞馬遜和微軟等公司。網(wǎng)絡(luò)安全公司Check Point稱，潛在的損害“不可估量”，并表示這“顯然是近年來互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一”。

僅僅兩周后，又有一個(gè)程序員破壞了廣為人知的Colors.js和Faker.js開源庫。他似乎在用故意破壞這種方式來抗議大公司免費(fèi)使用自己的項(xiàng)目。

最近，研究人員還發(fā)現(xiàn)Mozilla的火狐開源瀏覽器中有兩個(gè)“嚴(yán)重”安全漏洞。此外，開源的Linux操作系統(tǒng)也出現(xiàn)了“多年來最嚴(yán)重的漏洞”。

“我們已經(jīng)看到了足夠多的供應(yīng)鏈災(zāi)難，這不會(huì)是最后一次，”軟件Promith和KEDA的維護(hù)人員湯姆·克霍夫(Tom Kerkhove)在談到去年冬天發(fā)生的這些事件時(shí)說。“企業(yè)確實(shí)需要幫助開源項(xiàng)目維護(hù)人員在決定刪庫之前幫助他們構(gòu)建產(chǎn)品。”

所有一切都是開源的

開源項(xiàng)目的使用時(shí)間和軟件出現(xiàn)時(shí)間一樣長，但其在20世紀(jì)90年代隨著Linux操作系統(tǒng)等項(xiàng)目席卷整個(gè)行業(yè)而流行起來?，F(xiàn)在，開源項(xiàng)目是亞馬遜網(wǎng)絡(luò)服務(wù)AWS等云平臺(tái)的基礎(chǔ)，并為人們每天都在使用的Facebook和谷歌應(yīng)用程序提供動(dòng)力。

而且開源項(xiàng)目還在繼續(xù)發(fā)展。微軟旗下的開源項(xiàng)目GitHub在過去的12個(gè)月時(shí)間里獲得超過26億份代碼。OpenLogic對(duì)2660名專業(yè)人士的調(diào)查發(fā)現(xiàn)，77%的受訪者表示，2021年他們所在的機(jī)構(gòu)均增加了對(duì)開源軟件的使用。

軟件公司紅帽首席技術(shù)官克里斯·賴特(Chris Wright)說：“更重要的是，開源對(duì)整個(gè)商業(yè)世界和我們所有人的日常生活來說非常重要，影響很大。”“這在整個(gè)軟件行業(yè)都很普遍。”

報(bào)酬很少或沒有報(bào)酬

盡管開源項(xiàng)目無處不在，并且在互聯(lián)網(wǎng)經(jīng)濟(jì)中扮演著重要角色，但大多數(shù)開源項(xiàng)目開發(fā)人員從他們的貢獻(xiàn)中賺不到多少錢。

Tidelift對(duì)近400名開源軟件維護(hù)人員的調(diào)查顯示，46%的人沒有得到任何報(bào)酬。即便在那些拿到報(bào)酬的人中，只有大約一半的人每年能拿到1000美元以上。此外約有一半的受訪者表示，作為開源項(xiàng)目維護(hù)人員，他們最大的抱怨是工作報(bào)酬不夠。

開源的自由屬性也導(dǎo)致了不公平。目前開源項(xiàng)目由男性主導(dǎo)，當(dāng)沒有報(bào)酬時(shí)，沒有那么多閑暇時(shí)間或工作沒有那么穩(wěn)定的人不太可能再為開源項(xiàng)目做出貢獻(xiàn)。

如今，GitHub Sponsors、Tidelift和Open Collective等網(wǎng)站正試圖通過允許開發(fā)人員接受捐贈(zèng)和其他形式補(bǔ)償?shù)姆绞絹斫鉀Q資金問題。不過開發(fā)人員說，單純依靠捐款是不可持續(xù)的，許多人每個(gè)月賺的錢只夠買一杯咖啡。

“我已經(jīng)嘗試過現(xiàn)有的所有平臺(tái)，”巴布里茨說。雖然這些網(wǎng)站的“成功之處就在于讓你的勞動(dòng)不再是完全免費(fèi)”，但他說，自己每個(gè)月從GitHub Sponsors那里只能得到大約5美元。盡管巴布里茨幾乎全職從事開源工作，但他的主要收入來自過去兩年的咨詢工作。

雖然開源項(xiàng)目資金匱乏，但最富有的大科技公司反而是這些項(xiàng)目的最大受益者。對(duì)于一些開發(fā)人員來說，很難將二者統(tǒng)一起來。許多人認(rèn)為，是這些大科技公司沒有給予開源項(xiàng)目足夠的回報(bào)。

例如，亞馬遜常常會(huì)重新打包開源軟件，并在AWS云平臺(tái)上銷售和運(yùn)行。但開發(fā)人員和較小的公司說，盡管亞馬遜從中獲利頗豐，但實(shí)際上并沒有為開源項(xiàng)目貢獻(xiàn)多少行代碼。微軟和谷歌自稱對(duì)開源項(xiàng)目很友好，但微軟只是通過旗下的自由和開源軟件基金資助過少數(shù)幾個(gè)開源項(xiàng)目，谷歌則聲稱自己擁有員工在業(yè)余時(shí)間編寫的開源代碼。

“問題是公司和個(gè)人都沒有意識(shí)到他們實(shí)際上是一個(gè)生態(tài)系統(tǒng)的組成部分，”開源開發(fā)者阿邁勒·侯賽因(Amal Hussein)說。“重要的是，志愿者要貢獻(xiàn)自己的時(shí)間或金錢。”

志愿者精疲力盡

隨著疫情蔓延、網(wǎng)絡(luò)攻擊增加、軟件日趨復(fù)雜、責(zé)任加重以及志愿者工作帶來的財(cái)務(wù)不穩(wěn)定，開源項(xiàng)目開發(fā)人員已經(jīng)精疲力盡。在Tidelift的調(diào)查中，超過40%的開源項(xiàng)目維護(hù)人員表示，作為一個(gè)維護(hù)人員，他們不喜歡個(gè)人壓力和感覺被低估。Tidelift首席執(zhí)行官兼聯(lián)合創(chuàng)始人唐納德·費(fèi)舍爾(Donald Fischer)表示，很多壓力來自于收到很多用戶的投訴。

開發(fā)者馬泰奧·科里納(Matteo Collina)把這些苛刻的人稱為“吸血鬼”。科里納說：“目前的現(xiàn)狀是已經(jīng)無法維持下去，因?yàn)楦嗟捻?xiàng)目長期維護(hù)人員正在耗盡精力，但吸血鬼還在那里。”

娜塔莉亞·泰普魯希娜(Natalia Tepluhina)是Vue開源項(xiàng)目的核心成員，這一項(xiàng)目被谷歌、蘋果和任天堂使用。她表示，用戶常常會(huì)問這樣的問題，“為什么你們?cè)趦芍軆?nèi)不修復(fù)這個(gè)問題?”或“為什么你們這么慢?”

“這就像，該死，我在為你免費(fèi)工作，”特普盧希納說。“你為什么這么說?”

另一方面，小伊菲克·奧東(Ifiok Otung Jr.)的開源項(xiàng)目Remirror雖然獲得了贊助，但他說這只會(huì)帶來更多審查。去年，他一氣之下放手了6個(gè)月時(shí)間。

奧東說：“我在這條路上走的時(shí)間越長，就越覺得不愉快。”“它成了我生活中的一種負(fù)擔(dān)。”

許多開發(fā)人員已經(jīng)退出所維護(hù)的項(xiàng)目，甚至完全消失。在Tidelift的調(diào)查中，大約有59%的維護(hù)人員曾一度退出或考慮過退出他們的項(xiàng)目。

例如，瑞恩·比格(Ryan Bigg)曾是電子商務(wù)開源項(xiàng)目Spree唯一一位全職維護(hù)人員。雖然GoDaddy和Blue Apron等公司都在使用這個(gè)項(xiàng)目，但最終比格感覺自己“無法克服”這項(xiàng)工作帶來的壓力。他每天醒來都會(huì)收到超過250條有關(guān)新需求或修復(fù)漏洞的信息。2014年，比格不再全職維護(hù)Spree，選擇前往一家科技公司工作。

“最終，它影響了我的健康和幸福，”比格說。

Material for MkDocs是微軟和亞馬遜等公司都在使用的開源軟件。創(chuàng)始人馬丁·多納特(Martin Donath)表示，隨著需求的不斷增長，他最近在決定是否要繼續(xù)開發(fā)開源軟件方面處于“兩難”境地。但資金方面的支持最終讓他選擇堅(jiān)持下去。

“項(xiàng)目之所以被放棄無外乎是缺乏時(shí)間和興趣，從某種意義上說時(shí)間就是金錢，”多納特說。

項(xiàng)目資金耗盡

即便開源開發(fā)者獲得足夠多的報(bào)酬，可以全身心投入到軟件開發(fā)中，開源項(xiàng)目也常常面臨著資金耗盡的風(fēng)險(xiǎn)。Facebook、Airbnb和Netflix都在使用的開源項(xiàng)目Babel給三名核心開發(fā)人員支付工資，但在2021年面臨資金幾乎耗盡的風(fēng)險(xiǎn)。當(dāng)時(shí)，三名核心開發(fā)人員之一的尼科洛·利博多(Nicolò Ribaudo)一度考慮停止在Babel的工作，轉(zhuǎn)而去一家公司應(yīng)聘全職工作。

幸運(yùn)的是，Babel能夠吸引到足夠的注意力，最終成功籌集資金。項(xiàng)目核心開發(fā)者在一篇博客文章中尋求幫助，讓很多依賴Babel的公司意識(shí)到這不是他們“認(rèn)為理所當(dāng)然的”事情。贊助源源不斷而來，核心團(tuán)隊(duì)成員得以獲得報(bào)酬，并繼續(xù)維護(hù)和改進(jìn)Babel。利博多透露，運(yùn)維團(tuán)隊(duì)并沒有拿到行業(yè)“高薪”，他在一家公司工作完全可以掙得更多。但他說，這樣的薪水足以維持他在意大利的生活。

“我們可以為這個(gè)項(xiàng)目提供更高質(zhì)量的工作，這對(duì)我們來說也更容易，因?yàn)槲覀儾辉傩枰獱奚渌臻e時(shí)間了，”利博多說。

Babel項(xiàng)目無疑是幸運(yùn)的。諸如誕生于谷歌的Kubernetes、誕生于Facebook的React，以及Linux操作系統(tǒng)都在靠贊助而生存。但是，相比于那些能獲得資金贊助的大型項(xiàng)目，整個(gè)行業(yè)所依賴的許多小型項(xiàng)目沒有給過維護(hù)人員一分錢。

ESLint項(xiàng)目創(chuàng)始人尼古拉斯·扎卡斯(Nicholas Zakas)說：“他們處于整條食物鏈的下游，很多時(shí)候得不到認(rèn)可，也得不到贊助。”Facebook、微軟和Netflix都在使用ESLint項(xiàng)目。扎卡斯說，雖然他的項(xiàng)目得到了資助，但對(duì)于一個(gè)全職開發(fā)團(tuán)隊(duì)來說“遠(yuǎn)遠(yuǎn)不夠”。

紙糊的房子

由于維護(hù)人員面臨的需求堆積如山，報(bào)酬又低，已經(jīng)精疲力竭，很多開源項(xiàng)目已經(jīng)到了崩潰邊緣。與此同時(shí)，大公司從這些開源軟件中獲利，卻很少進(jìn)行回報(bào)。

雖然開發(fā)人員不會(huì)為錢而投入開源項(xiàng)目，但免費(fèi)工作帶來的風(fēng)險(xiǎn)也會(huì)讓互聯(lián)網(wǎng)置于風(fēng)險(xiǎn)之中。因?yàn)楫?dāng)他們不能快速處理安全事件，甚至選擇退出項(xiàng)目，這讓軟件變得更加脆弱。

開發(fā)人員說，公司應(yīng)該用他們的預(yù)算來支持所依賴的開源項(xiàng)目。這不僅僅是錢的問題，如果公司也能貢獻(xiàn)代碼或修復(fù)漏洞，他們會(huì)很感激。

“開源本身與金錢無關(guān)，”開發(fā)人員加藤大士說。“當(dāng)然，它也可以以某種形式維持下去。但背后的文化是相互幫助。惡意拿走一切，還不歸還任何東西是不健康不道德的。”(辰辰)

標(biāo)簽： 開源項(xiàng)目 精疲力竭 惡意拿走一切 不健康不道德