core-js作者入獄18個月2600萬次週下載的開源項目將如何?
一位彪悍的俄羅斯程序員,名字叫丹尼斯·普什卡列夫(Denis Pushkarev),平時愛好就是飆摩托車。[1]在一次事故中,他以60 km/h的速度駕駛,結果撞了兩個行人,一人現場死亡。根據俄羅斯聯邦法律,他被判處有期徒刑18 個月,剝奪2 年駕駛權利,另處以罰金138 萬盧布。[2]
【俄羅斯法院駁回了上訴】
丹尼斯認罪,但是請求縮短刑期,從2019 年11 月就遞交了上訴,如今上訴被駁回了。
問題是,丹尼斯寫程序也很彪悍,他是JavaScript的模塊化標準庫core-js的作者,這個庫通過npm軟件包管理器下載,每週居然高達2600萬次。[3]甚至連蘋果公司的網絡服務,也用到了這個庫。[4]
【core-js有超高的人氣和下載量】
真正的問題來了,如果丹尼斯進班房這麼久,誰來維護這個庫?
一個人的開源
core-js 並沒有公司支持,其實就是丹尼斯寫的一個JavaScript 標準庫的Polyfill(插件),有點像裝修用的膩子,把缺損的地方填充抹平。在Web 開發中,在不支持在HTML5 的舊版瀏覽器上,實現最新標準。它是最普遍、最流行的給JavaScript 標準庫打補丁的方式。
丹尼斯寫這個庫花了5 年業餘時間,還一直在找新的全職工作。他想了各種辦法來籌集資金,以便維護開源項目。結果是籌到了每個月57 美元的讚助,僅僅比沒有強。
他還想到了廣告的方式,方法就是在npm 安裝之後出現日誌式的文字廣告。但是並沒有什麼廣告商願意為之付費。
現在,面臨高額的罰金和18 個月的入獄,問題變得很嚴重。社區用戶nathanjd 問了大家都關心的問題,“如果您在監獄中,那麼誰來維護呢?” [5]
丹尼斯沒有提供答案。有一位項目貢獻者slowcheetah 聲稱他可以有一些時間來修復關鍵錯誤和重大更新,並且顯示他具備“合作者”的權限。但是並不清楚這能否維持該項目的進展。
開源項目的挑戰
另一個JavaScript加密庫jsrsasign也遇到過類似的挑戰。自2018年4月以來,項目就沒有任何活動。但是在npm上卻有350個項目完全依賴這個庫,項目也受到了微軟、Mozilla這樣有影響力公司的青睞。[6]
有人指出,JavaScript 社區裡不少項目都有這樣的問題,就是項目的作者是唯一的維護者,特別是這些使用量大的項目,不應該由一個人,而是應該由一個基金會來掌控。
然而現實問題擺在這裡,需要有一個解決辦法。GitHub 社區與安全高級產品經理本·巴爾特(Ben Balter)回應說,如果項目維護者無法響應,GitHub 有一個賬戶所有權轉移的流程,比如轉給合作者或者同事。同時鼓勵維護者將項目從個人賬戶轉移到組織中,不僅可以獲得高級社區管理功能,還可以添加其他維護人員作為共同所有者。[7]
這些都要取決於項目維護者的選擇。也有的網友提出,項目可以分叉,由另外的人來維護。但是分叉對於npm 上依賴這個名字的其他軟件包而言,並沒有任何幫助。
最後有網友建議,大家有沒有想過,丹尼斯可以在監獄的圖書館裡,繼續維護這個項目?
引用來源:
[1]丹尼斯的個人網頁,https://vk.com/xrock
[3] core-js庫,https://www.npmjs.com/package/core-js
[4] https://www.apple.com/legal/internet-services/news/notices-acknowledgements.html
[5] https://github.com/zloirock/core-js/issues/548#issuecomment-494112872
[6] https://github.com/kjur/jsrsasign
[7] https://www.theregister.co.uk/2020/03/26/corejs_maintainer_jailed_code_release/