我们都依赖开源。我们将一起捍卫它

企业主导的倡议与治理

  • 许多人认为 Akrites 正在把“公地”控制权集中到一个封闭、受 NDA 约束的企业圈子里,这与自由/开源理念相悖。
  • 名单进一步加深了怀疑:大型云、AI 和金融公司常被批评为 OSS 的主要搭便车者。
  • 也有人认为这只是行业联盟的常见模式;这些公司本就资助并人力支持着许多核心基础设施,并且也在其他地方共享安全情报。

安全模型与“最后救援维护者”

  • 问题在于:如何定义“关键”,由谁来决定,以及在维护者缺席或不配合时,他们将如何接管?是 fork 还是 upstream?这会对旧的 LTS 系统产生什么影响?
  • 有人担心修复和漏洞信息会在公开披露前先在成员之间私下流转,从而可能形成一个精英式的提前访问层。
  • 也有人认为,这是对监管(例如 EU CRA/RED)施压下的务实回应:漏洞总得在某个地方、以某种方式被修复。

AI、漏洞发现与 PR “slop”

  • 强烈担心这会变成一个由 AI 驱动的“slopdump”:大量低质量报告和补丁把维护者耗到筋疲力尽。
  • 当前的痛点是:PR 垃圾信息和漏洞赏金噪音已经在削弱信任和社区规范;有人认为 AI 会进一步放大这一点。
  • 也有人指出,AI 也能通过逆向工程帮助闭源安全,但这个项目明确聚焦于 OSS。

开源资金、劳动与许可

  • 反复有人呼吁“我们要一起资助它”,而不只是用工具和 PR 来“捍卫”。硬件和维护者工资被列为具体需求。
  • 讨论了企业如何从宽松许可代码(MIT/Apache)中提取价值,以及更强的 copyleft/AGPL 本可能如何改变今天的格局。
  • 有人认为商业实体提供了大部分“有用”的 OSS;也有人反驳说,他们主要是搭上已有成功项目的顺风车,并抵制更强的许可证。

文化与政治视角

  • 一条很长的讨论线对比了西方的“公地”和业余爱好者文化,与东亚以供应商为中心、企业主导的教育路径以及语言障碍。
  • 争论焦点在于,这究竟真的是“企业 vs OSS”,还是一个更复杂、彼此依存的生态系统冲突。

大型开源 vs 小型开源

  • 区分了“大的 OSS”(Linux、Kubernetes 等),它们已经大量获得企业资助并由企业治理;以及由无薪个人维护的、数量庞大的关键小型库长尾。
  • 许多人担心 Akrites 会聚焦前者,而让后者的结构性资金不足和倦怠问题基本维持不变。