core-js作者入獄18個月:2600萬次周下載的開源項目何去何從?
一位彪悍的俄羅斯程序員,名字叫丹尼斯·普什卡列夫(DenisPushkarev),平時愛好就是飆摩托車。
俄羅斯程序員、摩托車愛好者,丹尼斯·普什卡列夫
在一次事故中,他以60km/h的速度駕駛,結(jié)果撞了兩個行人,一人現(xiàn)場死亡。
根據(jù)俄羅斯聯(lián)邦法律,他被判處有期徒刑18個月,剝奪2年駕駛權(quán)利,另處以罰金138萬盧布,約合人民幣12.4萬元。
俄羅斯法院駁回了上訴
丹尼斯認罪,但是請求縮短刑期,從2019年11月就遞交了上訴,如今上訴被駁回了。
問題是,丹尼斯寫程序也很彪悍,他是JavaScript的模塊化標(biāo)準(zhǔn)庫core-js的作者,這個庫通過npm軟件包管理器下載,每周居然高達2600萬次,甚至連蘋果公司的網(wǎng)絡(luò)服務(wù),也用到了這個庫。
core-js有超高的人氣和下載量
真正的問題來了,如果丹尼斯進班房這么久,誰來維護這個庫?
一個人的開源
core-js并沒有公司支持,其實就是丹尼斯寫的一個JavaScript標(biāo)準(zhǔn)庫的Polyfill(插件),有點像裝修用的膩子,把缺損的地方填充抹平。
在Web開發(fā)中,在不支持在HTML5的舊版瀏覽器上,實現(xiàn)最新標(biāo)準(zhǔn)。它是最普遍、最流行的給JavaScript標(biāo)準(zhǔn)庫打補丁的方式。
丹尼斯寫這個庫花了5年業(yè)余時間,還一直在找新的全職工作。他想了各種辦法來籌集資金,以便維護開源項目,結(jié)果是籌到了每個月57美元的贊助,僅僅比沒有強。
他還想到了廣告的方式,方法就是在npm安裝之后出現(xiàn)日志式的文字廣告,但是并沒有什么廣告商愿意為之付費。
現(xiàn)在,面臨高額的罰金和18個月的入獄,問題變得很嚴重。社區(qū)用戶nathanjd問了大家都關(guān)心的問題:“如果您在監(jiān)獄中,那么誰來維護呢?”
丹尼斯沒有提供答案。有一位項目貢獻者slowcheetah聲稱他可以有一些時間來修復(fù)關(guān)鍵錯誤和重大更新,并且顯示他具備“合作者”的權(quán)限,但是并不清楚這能否維持該項目的進展。
開源項目的挑戰(zhàn)
另一個JavaScript加密庫jsrsasign也遇到過類似的挑戰(zhàn)。
自2018年4月以來,項目就沒有任何活動。但是在npm上卻有350個項目完全依賴這個庫,項目也受到了微軟、Mozilla這樣有影響力公司的青睞。
有人指出,JavaScript社區(qū)里不少項目都有這樣的問題,就是項目的作者是唯一的維護者,特別是這些使用量大的項目,不應(yīng)該由一個人,而是應(yīng)該由一個基金會來掌控。
然而現(xiàn)實問題擺在這里,需要有一個解決辦法。
GitHub社區(qū)與安全高級產(chǎn)品經(jīng)理本·巴爾特(BenBalter)回應(yīng)說,如果項目維護者無法響應(yīng),GitHub有一個賬戶所有權(quán)轉(zhuǎn)移的流程,比如轉(zhuǎn)給合作者或者同事。同時鼓勵維護者將項目從個人賬戶轉(zhuǎn)移到組織中,不僅可以獲得高級社區(qū)管理功能,還可以添加其他維護人員作為共同所有者。
這些都要取決于項目維護者的選擇。也有的網(wǎng)友提出,項目可以分叉,由另外的人來維護。但是分叉對于npm上依賴這個名字的其他軟件包而言,并沒有任何幫助。
最后有網(wǎng)友建議,大家有沒有想過,丹尼斯可以在監(jiān)獄的圖書館里,繼續(xù)維護這個項目?