在俄乌冲突爆发后的一个月时间里,许多组织机构纷纷颁布了针对俄罗斯的制裁。但是对于开源社区来说,将制裁的范围无限扩大,显然并不是声援乌克兰的最佳途径。开放源码倡议(Open Source Initiative)组织指出:尽管大多数软件开发者只是在运行时显示反战或亲乌克兰的信息,但还是有个别项目的维护者们没有控制住自己的愤怒情绪。
网页截图(来自:OSI 官网)
显然,OSI 鼓励非暴力的、创造性的抗议形式,而不是向开源存储库中引入更大的破坏。
举个例子,node-ipc 包中的 Peacenowar 模块,就被引入了恶意软件性质、可被地理位置(俄罗斯 / 白罗斯)所触发的数据擦除代码。
Snyk 的 Liran Tal 在 3 月 16 日的一篇博客文章中表示:“这一安全事件涉及一名维护人员损害磁盘上文件的破坏性行为,及其试图以不同形式隐匿并强调这种蓄意的破坏性”。
与此同时,Gerald Benischke 也在一篇博客文章中抨击了在“不分青红皂白”的情况下、将开源项目“武器化”的恶劣做法。因其造成的附带损害,也波及到了在俄境内工作、或被运营商分配了特定 IP 地址的人们。
这种行为不出意外地引发了众怒,尽管 OSI 尊重言论自由,但开放性与包容性仍是开源文化的基石,且开源社区是面向全球访问和参与而设计的。
换言之,开源文化和配套工具 —— 包括问题追踪、消息传递系统、以及存储库 —— 提供了一个独特的渠道,让广大开发者能够绕过蛮横的审查、而将代码权利掌握在自己的手中。
与之相对的是,在开源项目中植入恶意代码的做法,已经严重背离了开源社区的核心理念。
node-ipc 中的区域触发恶意代码
总而言之,OSI 鼓励社区成员以创新和明智的方式来使用开源代码和工具的自由,同时希望俄乌双方能够直面冲突爆发造成的现实伤害、并将积极为乌克兰的人道主义和救济工作予以支持。
从长远来看,将开源项目“武器化”所带来的弊端,将远远超出其可能带来的任何益处,甚至最终反弹伤害至项目的贡献者和维护者。正因如此,我们才需要让大家更加明智地使用这一力量。
(举报)
