Log4j2惊现大漏洞？开源维护者越来越难？

作者：Filippo Valsorda
编译：郭露
原文链接：https://blog.filippo.io/professional-maintainers/
已获得作者授权，请勿转载

不久前，Log4j2的数据库中出现了严重的RCE漏洞，包括苹果、Steam以及Spotify在内的公司均受到波及。此次事件表明，专业开源维护者的缺乏使得互联网面临着巨大的危机。尽管如今人们已着手修复Log4j2的漏洞，但修复项目在GitHub上仅得到了三个人的赞助。

同样，几个月前美国网络安全与基础设施安全局发出警报，一个名为ua-parser-js的流行NPM包遭到劫
持。这一项目在GitHub上的评分为6.5，在OpenCollective上仅筹集到41.61美元资金。

近两年，开源软件影响整个互联网世界的趋势越发明显。然而，作为开源项目核心的「开源维护者」日子却并不那么好过。和专业的开源维护者相比，他们缺乏专业的训练，因此也无法获得更高的收入。想要从爱好发展成职业，面临着诸多的困难。

成为专业开源维护者困难重重

目前看来，开源维护者不是志愿者就是开源公司的员工（有时两者都有）。然而，不管哪一种都很难坚持下去。

各志愿者之所以自愿对开源项目进行维护，多半是出于热情，或是因为他们从开源项目中感受到了乐趣。他们肩负重大的责任，但一旦他们的生活发生变化，例如工作变动、生活变动（包括生孩子或换工作），亦或是转行从事其他工作，他们很可能就会终止对项目的维护。同时，我们也不能指望他们有着多强的专业水平。他们只是志愿者，有权利选择“维护过程”中的自己想完成的部分。这也是专业的开源维护者之所以要价高的原因。

诚然，不管是GitHub的赞助计划，还是Patreon，都能够为开源维护者带来一定的回报，但这种回报只不过是杯水车薪。一般来说，开源维护者在从事过一定数量的项目维护工作之后，就有资格成为高级软件工程师，其年薪可高达15万至30万美元，比志愿者所获的薪酬高12倍。

但是，这类志愿者还很难成为专业的开源维护者。他们并未从初级开源维护者做起，也就没有受过专业培训，因此无法获得更高的收入，并升级为高级开源维护者。

当然，去应聘开源公司的全职开源维护者可以获得更高的收入，但不管是从哪一个方面来说，全职开源维护者承受的压力无疑更加巨大。上司可能会问他们：“我们聘用了你，你又能给我们带来什么价值呢？”

面对这种情况，开源维护者不得不花更多的时间来证明他们的工作有多重要，但同时又需要花更少的时间完成工作。随着项目的不断增加，他们的工作量也在不断增加，但公司获得投资有限，因此对于他们而言，升职也是遥遥无期。渐渐的，这些开源维护者不得不离职或转行。这种情况在许多公司中都非常常见。

成为专业的开源维护者只需要以下几步

你可能会问：“难道开源维护者就永远没有办法翻身了吗？”并非如此，要想改变现状，只需要以下几个步骤。

如今开源的可持续性以及供应链的安全性越来越重要，开源软件公司都急需实现开源生态系统的专业化。

下面我举几个例子，里面包含了开源软件公司希望从开源项目中所获取的内容：

安全实践，包括双因素认证和强制性代码审查；
与生态系统发展相同步（使用最新版本的依赖关系或是更新为Python 3等）；
建立时间表，用以审查、合并或拒绝代码；
解决问题、处理错误报告并排除故障；
建立高质量标准，包括建立审查和最小化依赖树；
处理安全报告以及可操作式漏洞元数据；
建立包括SLSA在内的标准，方便下游用户使用；
创建继任计划，以确保在开源维护者离职之后，其项目不会无人维护。

那么，开源软件公司能够在不给开源维护者付钱的情况下就提出这些要求吗？很显然，这是不现实的。

开源软件公司的宗旨就是为它们想要的东西支付报酬。这些公司在与开源维护者签订合同之后（其薪水通常和市场价相等，或为市场价的30%），作为交换，开源维护者需要帮助公司维护项目，要将这一工作放在第一位，以保证其项目的正常运行，并满足公司的要求（倘若开源维护者不想和公司签订合同，则无需做到这一点）。

对于开源维护者而言，和开源软件公司进行合作绝对是双赢的局面。开源维护者可以接受专业的培训，获得更多的资源，这能够帮助他们走向职业道路，并获得更高的收入。同时，各公司只有和开源维护者进行合作，才能保证项目的正常运行。