你可能从来没有听说已故Jim Weirich或他开发的软件。但是你几乎肯定会使用过在他研究基础上开发出的各种应用程序。
Weirich为面向对象(面向对象程序设计)脚本语言Ruby创建了几个关键工具,Ruby是Hulu,Kickstarter,Twitter和其他无数主流网站代码的编程语言。Ruby的代码是开源的,这意味着任何人都可以使用它并对其进行修改。 Ruby开发人员兼软件公司Test Double联合创始人Justin Searls说:“Weirich是西方世界Ruby社区的创始人之一。
当Weirich于2014年去世时,Searls注意到没有人再去维护Weirich的一个软件测试工具。这意味着如果其他开发者再向Ruby社区提交关于Ruby语言的错误修复,安全补丁或其他改进,就不会有人批准更改。任何依赖该工具的测试最终都会失败,因为代码会随着时间推移变得过时,并且与新技术不再兼容。
事件凸显了开源软件社区日益关注的一个问题。当程序员过世后他们所编写的代码会怎么样?关于在用户死后其社交媒体账户会发生什么的文章已经写得很多了。但关于程序员过世这个问题没有那么严重。部分原因是因为大多数公司和政府所运行的都是商业软件,都有专人维护。但现在,更多的程序依赖于像Weirich这样的程序员所开发的晦涩难懂但却重要的开源软件。
一些开源项目是众所周知的,如Linux操作系统或Google的人工智能框架TensorFlow.但是这些项目中都依赖于更小的开源代码库。而这些开源代码库又是基于另一个代码库。结果构成了一个复杂的,不为人知的相互依存的软件网络。
这可能会带来很大的问题,如2014年,在OpenSSL中发现了一个被称为“Heartbleed”的安全漏洞,几乎每个处理信用卡或借记卡支付过程的网站都会使用这个开放源代码程序。该软件与大多数Linux版本捆绑在一起,但由几个志愿者维护,他们没有时间或资源进行广泛的安全审计。在Heartbleed安全漏洞被发现后不久,在另一个常见的开源应用程序Bash中也发现了一个同样的安全问题,这使得无数的Web服务器和其他设备很容易受到攻击。
肯定还有更多未发现的漏洞。 Libraries.io是一个分析软件项目之间关系的团队,其已经确定了超过2,400个开源代码库在其他1000个程序中使用,但是很少受到开源社区的关注。
安全问题只是这个问题的一部分。如果软件库无法及时更新,软件升级后也就无法运行。这意味着在用户在更新了相应软件之后,那些依赖于过期库的应用程序可能无法工作。当维护代码库的开发人员离世或放弃一个项目时,使用该软件的每个人都会受到影响。去年,当程序员AzerKo ulu从互联网上删除了一个叫做Leftpad的代码库后时,它造成了涟漪效应,据说在Facebook,Netflix和其他很多地方都引起了令人头痛的问题。
大巴系数
一个开源软件的维护者越少,其被孤立的风险就越大。开发商甚至有这样一个病态的名字:大巴系数,这意味着在没有人维护开源项目的情况下会受到影响的人数。 Libraries.io已经确定了大约3000个开源库,在许多其他程序中使用,但只有极少数的人在默默贡献。
项目孤立是使用开源软件的风险,但商业软件制造商也可能会停止支持或更新旧程序,从而给用户带来同样的麻烦。在某些情况下,别有用心的程序员会采用孤立的开源代码。
这就是Searls在处理Weirich开源项目中遇到的一个问题。 Weirich最受欢迎的项目在他去世的时候有共同管理者。但是Searls注意到一个测试工具Rspec-Given没有被移交出去,他有意负责更新,但一路上遇到了不少麻烦。
Rspec-Given的代码托管在代码托管和协作站点GitHub上,后者目前拥有6700万个代码库。 Weirich在GitHub上的Rspec-Given页面是其他Ruby用户报告错误或自愿帮助改进代码的主要地方。但GitHub不会让Searls控制这个页面,因为Weirich在他去世之前还没有进行命名。所以Searls必须创建一个新的代码副本,并将其转移到其他地方。他还必须说服分发代码的“包管理系统”Ruby Gems运营商使用他的Rspec-Given版本,而不再是Weirich的版本,以便使所有用户都能访问的变更。 GitHub拒绝讨论其关于转移项目控制的政策。