做了五年码农再转行写小说，我对最近那篇讲OSS Security进入Strip Mining Era的文章格外敏感。眼下不少商业公司把开源项目当成免费矿场，安全团队用自动化扫描器批量挖漏洞、攒CVE，补丁打完就撤，代码不回馈，资金也不赞助，甚至连句像样的致谢都欠奉。从某种角度看，这确实降低了企业的短期风险，可长期下来，核心维护者被白嫖到倦怠，关键项目一旦停更，整个供应链的质量反而可能系统性滑坡。社区从来不是不能商业利用，但单向索取一旦成为行业默认规则，生态平衡就值得商榷了。与其等着矿脉挖空、大家集体踩坑，不如现在正经聊聊怎么建立更硬核的贡献激励机制，别让开源安全真的变成一次性消耗品。

靠，这帖子看得我DNA动了——当年追星打投都没这么熟练的白嫖话术，没想到码农圈居然也流行"用爱发电，用完就跑"这套。
也是醉了
说真的，我博士室友就是做供应链安全的，天天跟我吐槽某大厂扫描器比他家猫还勤快，漏洞报得飞起，回头一看PR记录，贡献了个寂寞。最绝的是有次修了个高危，人家官方账号就回了个"thx"，连个署名都没有，气得他差点把工位键盘砸了。

笑死但你猜怎么着？后来他们组想了个损招——每次被白嫖完就在漏洞公告里@那家公司，配文"感谢某司安全团队协助发现（虽然代码是他们抄的）"，效果立竿见影，现在那家已经开始按月打钱了。

要我说，核心问题还是开源维护者的议价权太弱。光靠道德呼吁没用，得学聪明点，要么绑定许可证搞点硬的，要么把"被白嫖记录"做成公开榜单，让市场用脚投票。毕竟资本家最怕的不是被骂，是怕别的资本家知道自己在白嫖。
太！
所以楼主现在转行写小说，是不是也打算把这段经历写进去？书名我都帮你想好了，《重生之我在GitHub当黑奴》，开篇第一章：CVE

savage_196 你室友那个"@公司配文感谢"的招数挺有意思，本质是用公开记录倒逼对方维护声誉。这其实是个量化问题——如果能把每笔漏洞报告的后续贡献（PR、赞助、署名）做成可审计的指标，维护者就有数据支撑去谈判了。

现在SPDX 3.0已经在推SBOM的完整性字段，理论上可以自动追踪"谁报了漏洞、谁修了代码"。你室友他们组有没有试过用SLSA框架生成贡献度报告？比手动@高效多了。

savage_196 你室友那招"感谢某司安全团队协助发现（虽然代码是他们抄的）" literally 是公开羞辱的最佳实践，效果比发邮件催款快多了。

不过我想补充一个角度——这其实不是议价权问题，是信息不对称问题。大部分开源维护者根本不知道自己维护的组件被哪些商业产品依赖，直到安全扫描器报漏洞才发现"哦原来XX公司的产品里嵌了我的代码"。这时候对方已经完成了风险评估和修复，你连谈判窗口都没有。

我当年在部队学到的教训：情报永远比火力重要。现在做移民中介也是同理，客户不知道自己的签证风险在哪，就只能被动等移民局通知。

其实所以比起搞公开榜单（维护成本高还容易惹法律纠纷），更实际的做法是用SBOM和依赖扫描工具反向追踪。像CycloneDX或SPDX格式的SBOM现在已经是事实标准了，维护者可以在项目里要求商业用户提交SBOM作为使用条件，这样至少知道谁在用、怎么用。

btw 楼主如果真写那本《重生之我在GitHub当黑奴》，第二章建议写"SBOM：比婚前协议还重要的东西"，我预定十本送客户。

stack你室友那招本质上是把private shame变成public audit log，这思路跟区块链的透明账本一个道理——一旦行为可追溯，作恶成本就指数级上升。

我在深圳做餐饮SaaS的时候遇到过类似情况。有家连锁店用了我们的开源库存模块三年，从来没贡献过一行代码，但每次出bug提issue比谁都快。后来我们在release note里加了个"powered by"板块，列出所有商业用户的贡献度排名，空白的那几家特别扎眼。三个月后那家连锁店的CTO亲自打电话来谈sponsorship，说他们董事会有人看到了。

所以不是议价权问题，是visibility问题。大部分维护者缺的不是技术能力，是把"被依赖"这个事实量化的工具。npm有download count，但download不等于dependency depth。一个被500个toy project依赖的库，跟一个被3家Fortune 500核心系统依赖的库…，后者显然应该获得更多资源，但现在的生态里这两者看起来差不多。

你室友那个公告@的骚操作，本质上就是手动做了dependency mapping的最后一公里。如果能有自动化工具扫描所有公开的dependency graph，然后生成类似"你的公司依赖了X个unfunded critical projects"的报告，这事就不用靠阴阳怪气来解决了。
简单说
其实话说回来，你室友那个键盘还好吗？我们当年被白嫖最狠的时候，我合伙人真的砸坏过一个机械键盘，后来我们开玩笑说应该众筹一个"开源维护者专用防砸键盘"。

stack，看到你提到室友被白嫖的经历，突然想起去年我在调试一个老旧的嵌入式系统时遇到的事儿。当时为了兼容某个生僻协议栈，我花了整整三个通宵重构了一段驱动代码，提交patch后才在release note里瞥见有个知名厂商悄悄用了这个模块——他们把改动打包进闭源固件卖钱，却连个ACK都懒得发。那种心累的感觉，大概和你说的"差点砸键盘"差不离。

不过比起单纯抱怨，倒是可以试试换个思路玩点meta博弈：上周帮同学审阅毕业设计时，我发现几个学生做的物联网项目都在用MIT授权的三方库。我就建议他们在readme里埋了个小彩蛋——每页footer加一行"本项目受益于XXX开源组织的技术支持"，结果还真有两家创业公司主动联系我们谈捐赠合作。这让我想到，或许维护者可以学学自媒体博主的思维：既然是资本家怕丢面子，那就制造些值得炫耀的合作案例？

说到这儿忽然好奇，你们团队后来那套曝光战术有没有演变成标准化流程？要是能把恶意扫描行为量化成"社区贡献指数"，比如给每个未回馈补丁扣减对应权重，再同步到GitHub的repo stats页面…（突然压低声音）当然啦这些只是脑洞，毕竟咱们码农最擅长的就是用技术手段解决社会问题呢~

void32你这书名起得，我差点在工位笑出声。《重生之我在GitHub当黑奴》，第一章CVE，第二章是不是该写“他给的star，原来只是钓鱼执法”？

说真的，写爱情小说三十年了，我越看开源圈这点事儿越像八点档伦理剧——维护者是默默付出的老母亲，商业公司是那个只会说“thx”的远房侄子，漏洞报告就跟过年群发的祝福短信似的，年年准时到，红包从来没见着。区别在于，小说里好歹有个大团圆结局，现实里老母亲还在熬夜修bug等一个署名。呵呵
emmm
你室友那个“感谢协助（虽然代码是抄的）”简直是把“阴阳怪气”写成了行为艺术，建议直接申遗。