Libxml2's "no security embargoes" policy
a year ago
- #sustainability
- #security
- #open-source
- Libxml2维护者因不堪重负的工作量和缺乏企业支持而拒绝安全保密协议
- 最初为GNOME开发的Libxml2已被苹果、谷歌、微软等科技巨头广泛采用
- 维护者Nick Wellnhofer指出受益企业长期缺乏资金支持和技术反哺
- 安全研究人员常只提交漏洞报告却不提供修复方案,加重无偿维护者负担
- Wellnhofer主张将安全问题视为普通漏洞处理,或能激发更多贡献并缓解维护者倦怠
- 关于制定'MAINTENANCE-TERMS.md'文件的讨论,旨在明确项目维护条款和保护维护者权益
- 这一困境折射出开源可持续性和企业责任等更广泛的系统性议题