On Being Blocked from Contributing to Lodash
7 months ago
- #npm
- #security
- #open-source
- 作者的GitHub账号被禁止为lodash项目贡献安全改进
- 作者当时正在探索如何改进JavaScript生态中的供应链安全,重点关注软件包来源验证
- 软件包来源验证可确认软件包的构建过程,确保其未绕过CI/CD直接上传到注册中心
- 尽管添加来源验证非常简单,但包括lodash在内的主流npm包采用率仍然很低
- 作者尝试通过创建PR为lodash添加来源验证,但难以完全复现其构建流程
- 在关闭初始PR后,作者被禁止继续贡献或与lodash维护者沟通
- 这次经历凸显了在投入时间贡献前评估维护者兴趣的重要性
- 开源维护者没有义务接受贡献,开发者的热情未必能转化为被接纳的贡献
- 作者由此学会应该先创建issue讨论变更方案,再提交PR以避免徒劳