开源项目生存现况：xz投毒事件引发的思考与GNU tar维护挑战

（首发地址：学习日记 https://www.learndiary.com/2024/04/xz-tar/）
嗨，大家好！我是来自淘宝网“学习日记小店”的 learndiary，专注于 Linux 服务领域。今天我要和大家谈谈近期备受瞩目的 XZ 供应链投毒事件，并借此引申到开源世界中小型基础软件项目的生存困境。本文基于“通义千问”归纳视频字幕生成文本修改。视频演示：【开源项目生存现况：xz投毒事件引发的思考与GNU tar维护挑战】 https://www.bilibili.com/video/BV1Nm411r76N/

最近热议的焦点在于 JiaT75 这位开发者，在一个开源项目中潜伏长达三年，试图植入后门。这起事件引发了我对开源社区中小型基础项目如 xz 的生存状况的关注。Deepin Linux 社区论坛上的一个转贴（见参考链接1）揭示了 xz 项目的原唯一维护者 Lasse Collin 早已不堪重负，仅能应对修复已知bug，无力进行新功能开发。这种情况使得 JiaT75 能够险些成功地在其代码中注入恶意内容，而这与小软件项目因资源有限而面临的挑战紧密相关。

我自己也曾亲历过相似的开源项目困境，这次是针对 Linux 下常用的归档工具 GNU tar。我发现 GNU tar 当时无法正确恢复通过 chattr 设置的不可更改文件属性（见参考链接2）。当我向 tar 的邮件列表提问该功能是否存在时，得到了明确答复：目前 GNU tar 不具备恢复此类属性的功能，且短期内也没有将其纳入开发计划。尽管 tar 的维护者认可这是一个有价值的特性，但可能由于时间和精力有限，暂时无法着手实施。

此外，另一位程序员用户提交了另一个 tar 的补丁，但他也被告知维护者们正忙于其他事务，尚未对此补丁进行全面评估和整合。这些迹象表明，GNU tar 项目似乎也面临着与 xz 类似的维护难题。我分析是随着 Linux 使用人数的增长，对软件维护的需求增加，而小型基础软件的维护压力也随之增大，尤其是在缺少充足人力和长期专注维护的情况下。

回顾 OpenSSL 曾经爆发的“心脏出血”漏洞事件（参考链接3），我们可以看出开源社区在面对危机时展现出的自我修复能力和生命力。尽管 OpenSSL 曾面临严重的管理问题和资金短缺，但在事件曝光后不久，Linux 基金会迅速采取行动，通过成立核心基础设施联盟（CII）等方式筹集资金并加强关键开源项目的维护力度。这证明了即使在面临重大挫折时，开源模式依然能够凭借其透明性和广泛参与的优势找到解决问题的办法。

因此，我认为我们不应因这次 xz 供应链投毒事件而否定开源模式的价值。开源本质上倡导的“我为人人，人人为我”的理念有助于构建一个更加安全、公平和美好的信息社会，避免陷入互相伤害的恶性循环。同时，开源还能有效缩小数字鸿沟，削弱数字霸权的影响。

总结来说，尽管诸如 xz 和 GNU tar 这样的基础开源软件可能会遭遇维护困境，但只要我们坚定开源立场，积极寻求解决方案，一定能够改善它们的生存状态，确保开源世界健康有序的发展。让我们共同期待并努力营造一个更加繁荣、安全、公正的开源生态环境。再次感谢大家的关注，希望这些分享能引起更多人对开源项目可持续发展问题的重视。下次再见！

参考链接：