开源开发者正遭受职业倦怠的困扰,这加剧了依赖外部代码库的96%企业的供应链风险。
心理学家米兰达·希思的一份报告显示,73%的开发者表示自己精疲力竭,60%的开源维护者曾考虑彻底退出。当这些志愿者退出时,供应链就会崩溃。下游会面临漏洞未修复、依赖项孤立以及寻找替代基础工具的混乱局面。
我们不能再将开发人员疲劳与企业安全割裂开来。该报告将倦怠与 XZ Utils 黑客攻击等事件直接联系起来,并警告说,精疲力竭的维护人员很容易成为恶意攻击者植入后门的攻击目标。
“当维护人员精疲力竭,无法有效管理时,这一关键基础设施的功能和安全就会受到威胁,”希思指出。
疲惫的经济学
这些供应链风险归根结底是价值交换失衡造成的。软件行业赚得盆满钵满,但其底层架构的构建者们却常常无偿工作。希思的研究基于五个月的访谈和分析,指出难以获得报酬是导致开源开发者倦怠的主要原因之一。
对企业领导者而言,这种“市场失灵”会削弱其技术栈的脆弱性。开发人员被迫“加班加点”,经常需要在晚上和周末维护热门库,同时还要兼顾全职工作。这种“隐性工作”导致工作量巨大、睡眠不足,严重损害了这些维护和驱动全球基础设施的人员的身心健康。
Frontend Masters的创始人 Marc Grabanski对企业供应链风险的描述非常直白:“如果你只把经济利益放在首位,而不去关注那些促成你成功的因素,那么最终你只会走向黑暗。”
毒性和自以为是的企业文化会加速开源开发者的倦怠。
企业用户的滥用行为加剧了经济压力。研究指出,有害的社区行为是导致用户倦怠的主要加速因素,这种行为通常是由一些自以为是的用户要求免费软件立即修复问题所驱动的。
企业团队常常把维护者当作付费供应商,而不是在互惠经济中给予支持的志愿者。希思指出,用户对待开源软件的态度仿佛它是标准的市场商品,却忽略了它通常是由个人利用业余时间维护的。
一位名叫詹姆斯·凯尔的开发人员指出了这种持续不断的压力带来的影响:“愤怒的回应铺天盖地。我每天都能看到有人抱怨我们做得有多糟糕。这很难让人保持动力。”
这种动态会给开发者带来“倦怠死亡螺旋”。用户的粗鲁无礼会造成开发者疲劳,进而导致维护者响应速度变慢或互动冷淡,而这反过来又会加剧这种不良风气。对于企业而言,其结果是修复 bug 的周期更长,而且企业依赖的关键供应链组件被开源开发者放弃的风险也更高。
稳定开源供应链
生成式人工智能只会让问题更加严重。希思的分析表明,人工智能工具允许贡献者在不理解代码的情况下生成代码,从而导致大量低质量代码的提交。
审核这些机器生成的拉取请求被形容为“令人麻木”,扼杀了工作的内在动力。如果人工智能工具在不提升审核能力的情况下继续降低低质量贡献的门槛,生态系统中的噪音可能会将资深维护者拒之门外。
为了保障软件基础架构的安全,各组织不能仅仅依靠捐赠。最直接的缓解措施是资金支持:可靠的支付方式可以避免开源开发者“加班加点”,重新平衡付出与回报,从而减少他们的职业倦怠。
机制至关重要。希思警告说,错误的支付模式会引入新的供应链风险,他以最近的RubyGems收购案为例,该案中,为了安抚出资方,项目方向发生了改变,维护者失去了控制权。去中心化融资或集体治理提供了更好的途径,既能确保维护者在维持生计的同时,也能保持创作自主权。
企业工程文化也必须从消费转向贡献。希思建议企业赞助“以社区为中心的活动”,这些活动可以成为维护者们交流的“聚集地”,让他们能够为开源开发者及其重要项目建立社会支持。目前,此类活动很少见,而且参与成本高昂,因此企业赞助正是一个唾手可得的机会。
如果企业想要可靠的基础设施并降低供应链风险,就需要将维护人员视为合作伙伴,而不是无限的资源。
“倦怠不仅仅是开源软件开发者的问题,而是我们所有人的问题,”希思总结道。
