下面的一段文字是转载自知乎:
6月10日有网友爆料知名开源项目Alist被作者Xhofe转手卖掉了,具体价格没有公布,但是参与共建的contributor是一分钱都没捞到。据说买家是贵州的不够科技,旗下还有另一款开源产品hutool,暂不清楚会不会对Alist投毒。如果 Alist 项目也遭到投毒的话,后果影响就比较大了,所以涉及用户尽量不要更新。相关issue如下
https://github.com/AlistGo/alist/issues/8649
补充说明:现在这个链接的内容已被删除。
这件事里除了作者没有公告移交外没什么好指责的。
Alist 本来就是擦边项目,没可能正规运营,随时有可能被平台封禁,维护了这么多年,有公司接手已经是最好的结局了,对有经济压力的作者来说,用爱发电是不可持续的,如果有足够用户赞助,我想也不会到这种难看的局面。
另外我还没见过提交代码就能分钱的,开源的本质就是把自己的代码授权给别人使用,只要接手的公司不变更开源协议,这个问题就没有什么可争议的地方。
这次大家主要指责的是信息泄露代码的pr,作者先pr了上传用户的代码,然后被issue的用户查出作者卖项目了,过了一两天作者才说自己卖了项目,引发了大家对个人信息泄露的担忧(特别卖过去的这家公司以前手脚并不干净)
引用:
用户发现新提交的PR中包含操作系统数据收集代码,涉嫌窃取用户隐私;官方发布的桌面版链接竟指向腾讯云COS存储(因侵权遭腾讯封禁),进一步加剧信任危机。尽管项目方回应称“代码透明可查”并拒绝合并争议代码,但隐秘操作模式已触发社区高度戒备。
https://weixin.qq.com/sph/AJYxJtnBu
https://zhuanlan.zhihu.com/p/1916225431633371348
收集用户的系统信息是很正常的操作,几乎所有商业化项目都会这样做。浏览器访问网站的时候同样向网站服务器提供关于用户浏览器、操作系统和设备的基本信息,只要这些信息无法用于精确识别个人就不属于侵犯用户隐私。
收购方贵州不够科技之前收购了一个Java工具库Hutool,注意到同类公司(金华某企业)收购LNMP后曾有植入后门程序进行供应链攻击的行为,通过更新渠道渗透服务器。此次Alist作为千万级用户量的基础设施,一旦遭投毒(一般投毒是在编译过程中),可能导致网盘凭证、NAS数据大规模泄露。
还是小心些为好。
言尽于此,毕竟开这个帖子就是提个醒的目的,特别是注意到坛里的那个书库(现在好像崩了)也是Alist搭建的,尽量避免使用是上策。
收购 LNMP&Oneinstack 的是金华矜贵,被挂马不是公司的行为,我更相信作者本人的解释。不够科技此前收购的 Hutool 没有类似问题,这家公司也没有类似前科,提个醒没有问题,实事求事就行,你们这是在毁掉 Alist。
原话已更正。
言及毁掉Alist大可不必。
仅就从供应链投毒的担心,api隐私泄露问题,背弃社区行为这三个方面足以谴责之。
Alist也并非没有替代品以及fork,作为网盘用户自当使用更加安全的方案,而不是这样私自修改开源协议以及提交涉及api和token隐私上传代码的项目。
应该说他一开始直接大方承认卖了就没这些事情了,而不是现在这样三缄其口。
Alist 90%的代码都是原作者一个人写的,所谓的社区真的存在吗?如果存在的话,你们需要反思下,怎么会让这个作者走到了这种需要卖身的地步。
使用者要反思?不,我们又不是什么罪人,而是被背叛的一方。
对不透明商业化的唯一回应,自然就是公开抵制与重建信任机制。
开源项目,哪个好用用户就用哪个,不要说什么背叛,有也是用户经常性背刺作者。前面说了,如果社区不存在,就是个人项目,作者想怎么处理都可以。如果社区存在,你们也反思下自己。
开源的信任来源毕竟不是奴役,而是一种双向契约:既然他失约,我们自然是有权解约的。
如果他选择闭源或商业化也可以,但必须透明说明,而不是偷偷卖掉后说“你们凭什么质疑我”。
一个典型的例子是沉浸式翻译,尽管也被骂过但是立正受打,后来也接受了很多批评现在基本都改正了,风评已转好。
不知道你们契约里写得啥,权利和义务匹配吗?解约就解约吧,反正作者已经卖掉了。