尽管 curl 项目是互联网基础设施的关键部分,但其维护工作正面临巨大压力。项目创始人 Daniel Stenberg 是唯一的全职员工,他不仅要应对极少数企业贡献者的现状,还要处理来自大公司不合理的支持要求、用户的恶意邮件和人身威胁,以及由 AI 工具和网络爬虫引发的无效报告与流量攻击。这些问题共同揭示了关键开源软件在可持续性方面日益严峻的困境。
一个人的项目,数十亿人的依赖
curl 是一个影响力巨大的小型项目。它始于 1996 年,从最初的 100 行代码发展至今,已拥有 180,000 行代码,贡献者超过 1,400 人。然而,项目的日常维护和发展却严重依赖其创始人。
- 每月约有 20-25 名 开发者活跃贡献。
- 整个项目只有 一名全职员工,即 Daniel Stenberg 本人。
来自企业的压力与索取
许多大公司严重依赖 curl,但它们很少提供相应的支持。相反,它们常常给项目维护者带来额外的负担。
企业或许应该多思考一下它们所依赖的软件的未来。
这些公司的问题行为包括:
- 转嫁支持责任: 苹果公司的支持团队曾直接让用户去联系
curl项目,以解决苹果设备上的问题。 - 无偿索取信息: 一些公司要求
curl项目在极短的期限内提供其开发和安全实践的详细报告。Stenberg 通常会回复一份支持合同,之后便再也收不到对方的消息。 - 新的合规要求: 最近,欧洲公司开始向他索取关于《网络弹性法案》(Cyber Resilience Act) 合规实践的信息。
个人用户的滥用与威胁
除了企业带来的麻烦,维护者还必须面对来自普通用户的各种不合理请求甚至人身攻击。Stenberg 收到的邮件五花八门,其中不乏极端内容。
- 有人因为在汽车的许可证通知中找到他的邮箱地址,便向他寻求技术支持。
- 他甚至收到过死亡威胁,邮件内容直言:"I will slaughter you"。
- 当然,偶尔也会有善意的感谢邮件,成为繁重工作中的一丝慰藉。
AI 和机器人带来的新麻烦
技术的发展也带来了新的问题,尤其是自动化工具和网络爬虫正在消耗维护者本已稀缺的精力。
- AI 生成的无效报告: 许多人使用 AI 工具扫描
curl代码,然后提交听起来很严重但 “从来都不正确” 的问题报告。处理这些无用的信息占用了越来越多的时间。 - 网站流量攻击:
curl官网每月消耗大量带宽,但其中只有 0.01% 是真正的源代码下载。绝大部分流量来自网络爬虫和机器人,这无异于一种持续的分布式拒绝服务(DDoS)攻击,进一步加重了维护负担。