我们都依赖开源。我们将一起捍卫它
企业主导的倡议与治理
- 许多人认为 Akrites 正在把“公地”控制权集中到一个封闭、受 NDA 约束的企业圈子里,这与自由/开源理念相悖。
- 名单进一步加深了怀疑:大型云、AI 和金融公司常被批评为 OSS 的主要搭便车者。
- 也有人认为这只是行业联盟的常见模式;这些公司本就资助并人力支持着许多核心基础设施,并且也在其他地方共享安全情报。
安全模型与“最后救援维护者”
- 问题在于:如何定义“关键”,由谁来决定,以及在维护者缺席或不配合时,他们将如何接管?是 fork 还是 upstream?这会对旧的 LTS 系统产生什么影响?
- 有人担心修复和漏洞信息会在公开披露前先在成员之间私下流转,从而可能形成一个精英式的提前访问层。
- 也有人认为,这是对监管(例如 EU CRA/RED)施压下的务实回应:漏洞总得在某个地方、以某种方式被修复。
AI、漏洞发现与 PR “slop”
- 强烈担心这会变成一个由 AI 驱动的“slopdump”:大量低质量报告和补丁把维护者耗到筋疲力尽。
- 当前的痛点是:PR 垃圾信息和漏洞赏金噪音已经在削弱信任和社区规范;有人认为 AI 会进一步放大这一点。
- 也有人指出,AI 也能通过逆向工程帮助闭源安全,但这个项目明确聚焦于 OSS。
开源资金、劳动与许可
- 反复有人呼吁“我们要一起资助它”,而不只是用工具和 PR 来“捍卫”。硬件和维护者工资被列为具体需求。
- 讨论了企业如何从宽松许可代码(MIT/Apache)中提取价值,以及更强的 copyleft/AGPL 本可能如何改变今天的格局。
- 有人认为商业实体提供了大部分“有用”的 OSS;也有人反驳说,他们主要是搭上已有成功项目的顺风车,并抵制更强的许可证。
文化与政治视角
- 一条很长的讨论线对比了西方的“公地”和业余爱好者文化,与东亚以供应商为中心、企业主导的教育路径以及语言障碍。
- 争论焦点在于,这究竟真的是“企业 vs OSS”,还是一个更复杂、彼此依存的生态系统冲突。
大型开源 vs 小型开源
- 区分了“大的 OSS”(Linux、Kubernetes 等),它们已经大量获得企业资助并由企业治理;以及由无薪个人维护的、数量庞大的关键小型库长尾。
- 许多人担心 Akrites 会聚焦前者,而让后者的结构性资金不足和倦怠问题基本维持不变。