Federated Package Management and the Zooko Triangle
5 months ago
- #package-management
- #decentralization
- #security
- 联邦化常被提议作为解决软件包注册危机的方案,但面临根本性约束。
- 祖科三角定律指出:命名系统最多只能同时满足以下两个特性:人类可读性、去中心化或安全性。
- 软件包管理需要人类可读的名称,这迫使开发者必须在去中心化与安全性之间做出选择。
- 中心化注册机构(如npm)通过控制命名空间优先保障安全性,但会引发治理瓶颈。
- 联邦化注册尝试实现去中心化,但难以解决安全性问题,导致软件包解析不一致。
- 作用域名称(如[email protected])将信任转移给命名空间控制者,但未消除中心化权威。
- Go模块使用DNS命名,但依赖中心化服务(proxy.golang.org)保障安全性。
- FAIR(联邦化包管理)采用加密身份(DIDs),但为可用性重新引入中心枢纽。
- 代码中人类可读的名称(如require 'express')不可或缺,这使得去中心化难以实现。
- 联邦化并未解决治理问题,只是将决策权不一致地分散到各个节点。
- 中心化注册机构得以延续,因其提供了软件包命名的单一可信来源。