log4j 维护的人力成本

如今，互联网上大多数人都知道著名的 Log4Shell 漏洞，即使你不知道，也很容易感受到它带来的灾难性。更确切地说，美国国土安全部正在就此发出警告。

人们对开源软件（当今许多企业的命脉）常常感到忧心忡忡，认为它完全是无偿且不受重视的劳动成果，并提出了一些热门观点，例如“开源需要尽快成长”和“开源”已被打破。

我想谈的是过去几天一直困扰我的事情，在看到彭博社的文章后，这种想法更加坚定了——log4j 的开发人员竟然被抛出这么严重的安全问题，并被期望修复它。这到底是怎么回事？一群聪明勤奋的人怎么会陷入这种吃力不讨好、压力巨大、毫无益处的境地？

时间线的大致思路：

11月24日下午2点51分，某开源软件项目成员收到一封令人震惊的邮件……“我要报告一个安全漏洞”，阿里巴巴集团控股有限公司云安全团队成员陈兆军写道，“该漏洞影响重大”。

这促使 log4j 团队疯狂地修复该问题：

他形容 Log4j 团队的对话冷静而真诚。“我了解这些人——他们都有家庭，都有自己的事情要做。但他们把一切都抛在一边，整个周末都坐下来，专注于自己的工作，”他说。

他们的工作就像一支专注于安全的职业工程师团队，只是没有报酬，也得不到任何认可。他们放弃了与家人共度的周末，为几乎整个互联网做着这样的工作。他们饱受批评和骚扰，一举一动都受到审视：

在这之后，他们发布了修复程序，人们纷纷迅速升级，松了一口气。

现在我再次追问，这些无偿开源维护者是如何陷入这种高压、剥削的境地的？为什么整个互联网都把他们当成了他们私人的付费安全工程部门，只是不给报酬，也不给任何回报？他们从明确的许可条款中得到了什么错误？

7. 免责声明。除非适用法律另有规定或双方书面同意，许可方按“原样”提供作品（以及每位贡献者提供其贡献），不附带任何明示或暗示的保证或条件，包括但不限于任何关于所有权、非侵权性、适销性或适用于特定用途的保证或条件。您应自行负责确定使用或重新分发作品的适当性，并承担与您根据本许可行使许可相关的任何风险。

...拼命地为每个人解决问题，就好像他们的生命依赖于此一样？

伟大的开源洗脑

我们来看看开放源代码研究所的开放源代码定义：

开源不仅仅意味着可以访问源代码。开源软件的分发条款必须符合以下标准：……（许可证必须满足一系列标准才能被视为开源）

在 Clojure 社区的人们发表了“Fuck Clojure”之类的帖子后，让我们来读一下 Rich Hickey（Clojure 的创建者）关于成为开源维护者的小笔记：

开源是一种许可和交付机制，仅此而已。它意味着你拥有软件的源代码以及使用和修改它的权利。所有与之相关的社会强制，包括“社区驱动开发”的理念，都是一种新近发明的神话的一部分，它缺乏对事物实际运作方式的依据，这种神话如同邪教般，既体现了对事物运作方式多样性的缺乏支持，又体现了普遍存​​在的社区权利意识。

我想谈论的就是这种社区神话，这种伟大的开源洗脑让维护者觉得他们需要做的不仅仅是在开源许可下发布源代码——他们需要管理和发展社区、接受贡献、解决问题、遵循漏洞披露最佳实践，以及许多其他事情。

随后（12 月 8 日）向 log4j 团队报告此问题的阿里巴巴软件工程师进行了后续跟进：

陈先生写道：“一些微信安全群已经在讨论该漏洞的细节，一些安全研究人员也已经掌握了该漏洞。我们保证在正式发布版本之前保密。请尽快。”

到现在为止，每个人都完全相信 log4j 团队必须紧急修复这个问题，因为大家都依赖他们。甚至没有人会考虑不修复。为什么？还是那句话——因为我们有这样一种普遍的开源神话：开源就是开放社区、治理、安全，以及所有那些听起来很美好的理念。我曾经和一些人讨论过，他们一本正经地告诉我：

好吧，我很确定整个开源开发者行业都会支持我，说开源不仅仅是一种许可证，但如果这让你高兴的话，请随意捂住耳朵，忽略我们所有人。

他们难以置信地相信这个神话，你无法反驳。它就像一种宗教。

警钟

实际情况是，开源维护者实际上是大型企业的无偿外包团队。阿里巴巴的工程师告诉 log4j 团队：“请加快速度。” 同时，请记住，阿里巴巴的市值为 3480 亿美元（以美元计算）。

那么答案是什么呢？似乎很多人认为企业应该资助开源。另一些人则指出，事情没那么简单，因为显然企业（出于某种原因）并不想这么做。然而，他们完全可以接受“拥抱开源”，继续使用软件并向维护者施压。必须有一个中间立场。

建议

我的建议是——想象一下如果情况如下会发生什么：阿里巴巴的工程师向 log4j 团队发出警告，然后什么也没发生。log4j团队对此置之不理，因为他们有生活和家庭，因为他们很忙，感觉效率低下，等等。阿里巴巴跟进并紧急请求修复。然后，该团队发送了一份修复报价（当然，需要开源），5 万美元。这对阿里巴巴来说微不足道。仅他们的市值就接近这个报价的700 万倍。像 Log4Shell 这样的漏洞将给他们带来难以估量的损失。

我邀请您思考一下这将如何发展。让我们打破洗脑，揭露这个神话的骗局和虚假偶像。开源并不等同于免费的漏洞修复、安全最佳实践、开放社区，或任何其他人们在其之上添加的冠冕堂皇的称号。维护人员的生活并不依赖于为大型企业免费劳动。是时候让企业（以及其他所有人）退一步，不再对维护人员施加压力，承担使用开源带来的风险和责任（当然，还有费用）。