单维护者神话的背后——对《Open Source is one person》一文的冷思考

一、引言：一篇点燃焦虑的博文

2025 年 8 月，《Open Source is one person》以夺人眼球的标题和“700 万单维护者项目”的数据横扫社交媒体。作者宣称：“整个该死的星球都在运行由一个人编写的软件”，呼吁把安全焦虑从“开发者国籍”转向“单人维护”。这篇分析文章旨在剥离其情绪修辞，检验数据可靠性，并将“单维护者”现象置于更宏观的开源经济图景中审视。

二、数据溯源：看上去很大的数字

• ecosyste.ms 实时计数：约 1180 万个项目，其中 700 万在 package.json 仅列一名“maintainer”——看似铁证。

• 统计口径陷阱：该字段表示拥有发布令牌的人，而非实际写代码的群体；与 GitHub “contributors” 列表平均相差 4–5 倍。

• 样本污染：NPM 官方承认 30% 新包为垃圾或恶意，伪造维护者身份只需一个邮箱。把“僵尸 + 垃圾”算进分母，单维护者比例被人为放大。

校正结果（GitHub 活跃项目抽样 + NPM 活跃包）：

• 单维护者项目≈ 1/4（不再是 6/10）；

• 但真正占全球下载量 <10%（lodash、react、tensorflow 等重型依赖均为多贡献者）。

结论：数字很大，影响权重并不大，“700 万”更像统计遗物而非生态真相。

三、逻辑检视：三大以偏概全

1. 生态以偏概全

NPM 的“微包”文化（一行函数即包）天然适合单人；Python、Rust、Maven 等多以团队或企业背书，单维护者占比 <20%。

1. 重要性以偏概全

文章把“项目数”等同于“关键性”。GitHub TOP 5000 仓库中位贡献者 8–12 人；OpenSSL、curl、Kubernetes 等基础设施均 >100 人。

1. 风险归因以偏概全

将供应链风险简化为“人数 = 0/1”：

• SolarWinds、3CX、XcodeGhost 等史上最大供应链攻击全部发生在多贡献者项目；

• 漏洞密度与代码审计、CI 安全、密钥管理更相关，而非维护者计数单一维度。

四、地缘政治语境：忽略“攻击者视角”

• 2025 年 CISA 威胁评估继续把特定国家列为网络行为体；

• 美国 EO 14028、欧盟 CRA 均要求披露软件地理来源与维护者身份；

• 对国防部而言，“代码可审计”≠“已审计”，引入外国个人维护的高危包仍属合规红灯。

文章把媒体对此类风险的报道贬为“民族主义打人”，淡化了地缘博弈中真实的攻击面。

五、经济视角：为什么“一个人”会存在？

1. 礼品经济激励

早期互联网“声誉回报”足以支付个人成本，于是出现“一行函数一包”的极致分工。

1. 平台激励扭曲

NPM 下载计数与 GitHub Stars 成为简历货币，数量>质量刺激微包膨胀。

1. 企业“免费搭车”

财富 500 强公司 78% 代码库含 NPM 依赖，却仅 3% 回馈资金（GitHub OSPO Survey 2024）。当礼品经济枯竭，单人项目自然沦为弃包或恶意注入温床。

六、已有解药：从呐喊到工程化

核心矛盾不在“是否单人”，而在“是否被无偿透支”。把单人现象视为结构性牺牲品，而非道德高地，才能制定有效干预。

七、结论：让数字回归数字，让问题回到问题

• 单维护者确实存在，但主要集中于低活跃、低影响长尾；

• 高影响开源已高度协作化，继续用“700 万”恐吓决策者会稀释真正需要资源的领域；

• 风险是系统性的——审计缺失、企业白嫖、平台激励失衡、地缘攻击——绝非“一个人”所能概括；

• 解法也是系统性的：Scorecard 式工程度量、CRA 式法规、Sponsors 式市场激励、OSPO 式企业责任。

下次再听到“整个星球靠一个人”时，不妨先问：

• 这是 700 万行垃圾里的一个计数，还是 70 亿次下载中的一个关键路径？

• 把资源投向单维护者高影响包，还是继续让礼品经济自生自灭？

回答对了，单维护者神话才会失去市场——开源安全也才能真正从口号走向工程。

https://d0n2.in/index.html?type=article&filename=BehindtheMythoftheSingleMaintainer.md