在俄烏衝突爆發后的一個月時間裡,許多組織機構紛紛頒布了針對俄羅斯的制裁。但是對於開源社區來說,將制裁的範圍無限擴大,顯然並不是聲援烏克蘭的最佳途徑。開放源碼倡議(Open Source Initiative)組織指出:儘管大多數軟件開發者只是在運行時顯示反戰或親烏克蘭的信息,但還是有個別項目的維護者們沒有控制住自己的憤怒情緒。
網頁截圖(來自:OSI 官網)
顯然,OSI 鼓勵非暴力的、創造性的抗議形式,而不是向開源存儲庫中引入更大的破壞。
舉個例子,node-ipc 包中的 Peacenowar 模塊,就被引入了惡意軟件性質、可被地理位置(俄羅斯 / 白羅斯)所觸發的數據擦除代碼。
Snyk 的 Liran Tal 在 3 月 16 日的一篇博客文章中表示:“這一安全事件涉及一名維護人員損害磁盤上文件的破壞性行為,及其試圖以不同形式隱匿並強調這種蓄意的破壞性”。
與此同時,Gerald Benischke 也在一篇博客文章中抨擊了在“不分青紅皂白”的情況下、將開源項目“武器化”的惡劣做法。因其造成的附帶損害,也波及到了在俄境內工作、或被運營商分配了特定 IP 地址的人們。
這種行為不出意外地引發了眾怒,儘管 OSI 尊重言論自由,但開放性與包容性仍是開源文化的基石,且開源社區是面向全球訪問和參與而設計的。
換言之,開源文化和配套工具 —— 包括問題追蹤、消息傳遞系統、以及存儲庫 —— 提供了一個獨特的渠道,讓廣大開發者能夠繞過蠻橫的審查、而將代碼權利掌握在自己的手中。
與之相對的是,在開源項目中植入惡意代碼的做法,已經嚴重背離了開源社區的核心理念。
node-ipc 中的區域觸發惡意代碼
總而言之,OSI 鼓勵社區成員以創新和明智的方式來使用開源代碼和工具的自由,同時希望俄烏雙方能夠直面衝突爆發造成的現實傷害、並將積極為烏克蘭的人道主義和救濟工作予以支持。
從長遠來看,將開源項目“武器化”所帶來的弊端,將遠遠超出其可能帶來的任何益處,甚至最終反彈傷害至項目的貢獻者和維護者。正因如此,我們才需要讓大家更加明智地使用這一力量。
相關文章:
node-ipc開源維護者因反俄自毀代碼 遭到GitHub社區猛烈抨擊