开源社区更应该加强对某些只有少数开发人员项目的帮助 ， 而这其中的关键就是要确定哪些项目更重要 。 因为一开始某些开源项目只是个人喜好 ， 它后续的发展很难预测 ， 例如Linus的Linux项目 。 最初谁都没有想到 ， Linux能走到今天这一步 。 这些由几个人维护的项目往往不被重视 ， 直到出现了漏洞 ， 人们才意识到它可能只有几个维护者 。 Apache Log4j就是一个很好的例子 。 如果要解决这个问题 ， 就不能只依靠这些少数的安全巨头公司来做慈善 。
怎么让开源维护者获得经济上的支持
当被问及对开源项目的大用户 ， 施加财政支持义务的软件许可是否会有帮助时 ， Moussouris表示并不确定这就是让开源项目能持续下去并提升安全性的理想方法 。 但她支持将开源项目大用户赚到的钱 ， 流通到那些为开源做出贡献的人的手里 。 当然如何把钱交给开源维护者这件事很复杂 ， 通常我们不能确定这些钱该支付给谁或是怎么支付到他手里 ， 更不可能直接开张支票给一个项目的某个维护者 ， 这根本就不现实 ， 所以对开源维护者的经济支持还要另想办法完善 。
在谷歌的建议中有一个没有提到的问题 ， 在修复漏洞的过程中修复人员需要一些特定的安全技能 。 Moussouris指出 ， 开源维护者对Log4j出现的漏洞缺少根本原因的分析 ， 导致后来出现的多个漏洞分支完全绕过了最初对该漏洞的修复 。 Log4j开发者并不了解漏洞的波及范围 ， 而这个根源问题无法通过投入更多的开发人员来解决 。
总的来说 ， 无论是谷歌的三项建议 ， 还是后来Mioussouris对此事的谈论 ， 都表明了维护开源项目的安全性 。 这是一个需要所有人一起进行的工作 ， 要将它完善成为一个完整的体系 ， 而不是仅仅让项目维护者 ， 或者是少数的安全巨头企业做这件事 。 毕竟开源安全的重要性毋庸置疑 ， 一旦开源项目出现漏洞 ， 影响的绝不仅仅只是单独的一个开发者或一家企业 。
参考链接：https://www.theregister.com/2022/01/14/google_says_open_source_software/
《新程序员003》正式上市 ， 50余位技术专家共同创作 ， 云原生和数字化的开发者们的一本技术精选图书 。 内容既有发展趋势及方法论结构 ， 华为、阿里、字节跳动、网易、快手、微软、亚马逊、英特尔、西门子、施耐德等30多家知名公司云原生和数字化一手实战经验！
?Nginx之父Igor Sysoev从F5离职；PyTorch公开发布五周年；Openfire 4.7发布|开源日报
?被GitHub「临时邮箱」项目拉黑 ， Firefox Relay引热议；业内首个开源容器安全平台发布 | 开源日报
【为不再重蹈 Apache Log4j 的覆辙，谷歌提出三项安全倡议】? 超10万星的GitHub项目再陷风波 ， 其托管商惨遭三大唱片公司起诉