最近event-stream植入恶意代码事件闹得沸沸扬扬。
在舆论压倒性地职责开发者没有尽责的同时,还是有一些明智的程序员更深入地分析了来龙去脉。
我也从中了解到了一些开源工作者的难处。
指责的一方认为:既然你维护者几十万甚至更多人使用的库,你就应该保证其安全,不应该随意转让。
赞同的一方认为:你使用别人的东西,检测其是否安全是你自己的事情,怪不得别人。
同为开源工作者的一些人表示同情:比起小部分开源工作者,我们没有多拿一分的利润和回报,却要花很多时间去维护和保证其安全性,这本身就就不合理。我们其中甚至很多人是全职维护,并没有其他的收入来源。
个人认为,对比小部分盈利较多的开源项目或库,大部分开源开发者收益很少,若全职来做,几乎不足以维持其正常生活。从一开始有的作者只是 出于兴趣或者自己的需要 写了一些轮子开源出来,并没有说要全力维护或者供数以万人使用的准备,并且随着时间流逝,兴趣不再或者工作较忙,难以继续维护也情有可原。但另一方面,有句话说能力越大责任越大,既然你做了就应该 努力 维护。随着更多人的使用,建议开源社区为个人开发者和一些全职开发者提供一些帮助,资金上援助的和精力上的支持,以表彰其对社区的贡献。
最后是放大招的时候了:
打开终端,运行命令:
npm i -g thanks
然后在你的任何一个项目终端中运行:
thanks
即可看到本项目中你所用到的开源组件的作者。
网友评论