然而 ， 当下的软件安全事件 ， 暴露了开源软件生态系统在开发者精疲力尽离开、甚至自行破坏项目时有多脆弱 。 这些开发人员缺乏支撑 ， 会让互联网的风险增加 。
虽然针对大公司和关键设施的网络攻击急剧增加、基础设施的数字安全一次又一次成为头条新闻 ， 很少被提及的是对开源软件的攻击也与日俱增 。
根据软件供应链管理公司Sonatype的一份报告 ， 从2020年到2021年 ， 针对开源供应商的网络攻击增加了650% 。 报告称 ， 至少29%的热门项目包含至少一个已知的安全漏洞 。

文章图片
如果有更多人参与维护和更新代码 ， 开源软件可以在理论上更安全 。
但最近的安全事件表明 ， 如果开发者忽视漏洞修复、甚至主动破坏自己的项目 ， 对互联网生态系统的破坏性影响可能是巨大的 。
2021年12月 ， 黑客利用开源项目Log4j ， 影响了IBM、甲骨文、亚马逊和微软等大公司 。
网络安全公司CheckPoint称潜在的损害「无法估量」 ， 并表示这「显然是近年来互联网上最严重的漏洞之一」 。
然而仅仅两周后 ， 著名的删库跑路事件发生了：程序员马利克破坏了他自己的项目——被广泛使用的Colors.js和Faker.js ， 以抗议大公司免费使用他的作品 。

文章图片
最近 ， 研究人员发现了两个「关键」安全漏洞在Mozilla的开源Firefox浏览器中被广泛利用 。 此外 ， 开源Linux操作系统刚刚遭遇「多年来最严重的漏洞」 。
软件Promitor和KEDA的维护者TomKerkhove称：「我们已经看到了足够多的灾难性供应链攻击事件 ， 而且这个趋势不会结束 。 大企业若要继续下去 ， 就真的要帮助开源软件界 ， 在大部分人油尽灯枯跑路前及时维护产品了 。 」

文章图片
尽管他们的项目无处不在且至关重要 ， 但大多数开源开发人员几乎没有从他们的贡献中赚到钱 。
Tidelift对近400名开源软件项目维护者的调查显示 ， 46%的人 ， 在开源上的努力付出没获得任何报酬 。
在那些获得报酬的人中 ， 只有大约一半的人每年获得超过1000美元 。
此外 ， 大约一半的受访者表示：工作报酬不足 ， 是他们作为项目维护者的最大不满处 。
开源的自由性质也导致了不平等 。 开源软件项目是由实实在在的人开发的 ， 没有那么多闲暇时间或生活稳定性的人 ， 在无报酬的情况下不太可能为开源项目做出贡献 。

文章图片
如今 ， GitHubSponsors、Tidelift和OpenCollective等网站正试图通过允许开发人员获得捐款和其他类型的补偿来解决这一资金问题 。
尽管如此 ， 开发人员表示 ， 依靠这些网站的捐赠是不能维生的 ， 许多人每月从中拿到的钱只能买一杯咖啡 。
Bublitz说 ， 「我已经尝试了所有存在的平台」 。 虽然这些网站「的确成功地让你不再完全免费工作」 ， 但他说自己每月从GitHub赞助商那里只能收到大约5美元 。
尽管他几乎全职从事开源工作 ， 但Bublitz的收入主要来自过去两年的咨询零工 。
对于一些开发人员来说 ， 尤其难以接受的事实是：开源软件的开发者日子窘迫 ， 但这些项目的最大受益者是地球上最富有的公司们 。 许多人认为这些公司没有给予足够的回报 。
例如 ， 亚马逊重新打包开源软件以在其云上销售和运行 。 但开源软件的原开发者们和小公司表示 ， 尽管从开源项目中获利 ， 但亚马逊并没有贡献太多代码 。

• 沃尔玛|连续3次失败，我在大厂艰难晋升
• 短视频|尴尬的大厂中层：上下受气、无处可去
• 智能手表|华为WATCH FIT new：全彩大屏+血氧监测，来自大厂的成熟智能手表
• 新型冠状肺炎|大厂都在用的UI设计工具，快来试用
• 裁员|大厂裁员，个人应该怎么破局
• 裁员|尴尬的大厂中层：上下受气、无处可去
• 裁员|腾讯阿里同时大裁员，互联网大厂至暗时刻到来？
• 电子商务|5g有他的特点，这也就是为啥大厂都在搞万物互联，自动驾驶
• 网信办|互联网不香了，新制造才是年轻人的“新大厂”？
• 大众点评|大厂裁员，个人应该怎么破局