core-js作者入獄18個月,2600萬次周下載的開源項目如何進行下去?
一位彪悍的俄羅斯程序員,名字叫丹尼斯·普什卡列夫(Denis Pushkarev),平時愛好就是飆摩托車。
在一次事故中,他以 60 km/h的速度駕駛,結果撞了兩個行人,一人現(xiàn)場死亡。根據(jù)俄羅斯聯(lián)邦法律,他被判處有期徒刑 18 個月,剝奪 2 年駕駛權利,另處以罰金 138 萬盧布。
丹尼斯認罪,但是請求縮短刑期,從 2019 年 11 月就遞交了上訴,如今上訴被駁回了。
問題是,丹尼斯寫程序也很彪悍,他是 JavaScript 的模塊化標準庫 core-js 的作者,這個庫通過 npm 軟件包管理器下載,每周居然高達 2600 萬次。甚至連蘋果公司的網(wǎng)絡服務,也用到了這個庫。
真正的問題來了,如果丹尼斯進班房這么久,誰來維護這個庫?
一個人的開源
core-js 并沒有公司支持,其實就是丹尼斯寫的一個 JavaScript 標準庫的 Polyfill(插件),有點像裝修用的膩子,把缺損的地方填充抹平。在 Web 開發(fā)中,在不支持在 HTML5 的舊版瀏覽器上,實現(xiàn)最新標準。它是最普遍、最流行的給 JavaScript 標準庫打補丁的方式。
丹尼斯寫這個庫花了 5 年業(yè)余時間,還一直在找新的全職工作。他想了各種辦法來籌集資金,以便維護開源項目。結果是籌到了每個月 57 美元的贊助,僅僅比沒有強。
他還想到了廣告的方式,方法就是在 npm 安裝之后出現(xiàn)日志式的文字廣告。但是并沒有什么廣告商愿意為之付費。
現(xiàn)在,面臨高額的罰金和 18 個月的入獄,問題變得很嚴重。社區(qū)用戶 nathanjd 問了大家都關心的問題,“如果您在監(jiān)獄中,那么誰來維護呢?”
丹尼斯沒有提供答案。有一位項目貢獻者 slowcheetah 聲稱他可以有一些時間來修復關鍵錯誤和重大更新,并且顯示他具備“合作者”的權限。但是并不清楚這能否維持該項目的進展。
開源項目的挑戰(zhàn)
另一個 JavaScript 加密庫 jsrsasign 也遇到過類似的挑戰(zhàn)。自 2018 年 4 月以來,項目就沒有任何活動。但是在 npm 上卻有 350 個項目完全依賴這個庫,項目也受到了微軟、Mozilla 這樣有影響力公司的青睞。
有人指出,JavaScript 社區(qū)里不少項目都有這樣的問題,就是項目的作者是唯一的維護者,特別是這些使用量大的項目,不應該由一個人,而是應該由一個基金會來掌控。
然而現(xiàn)實問題擺在這里,需要有一個解決辦法。GitHub 社區(qū)與安全高級產(chǎn)品經(jīng)理本·巴爾特(Ben Balter)回應說,如果項目維護者無法響應,GitHub 有一個賬戶所有權轉移的流程,比如轉給合作者或者同事。同時鼓勵維護者將項目從個人賬戶轉移到組織中,不僅可以獲得高級社區(qū)管理功能,還可以添加其他維護人員作為共同所有者。
這些都要取決于項目維護者的選擇。也有的網(wǎng)友提出,項目可以分叉,由另外的人來維護。但是分叉對于 npm 上依賴這個名字的其他軟件包而言,并沒有任何幫助。
最后有網(wǎng)友建議,大家有沒有想過,丹尼斯可以在監(jiān)獄的圖書館里,繼續(xù)維護這個項目?