如果把这条系列线从 1980 年代拉到此刻,你会看到一种看似矛盾的局面:
- 默认更开放了:公开仓库、CI、复用依赖、上游优先,几乎成了行业常识。
- 默认也更焦虑了:供应链攻击、维护者倦怠、许可证扫描、地缘政治风险,一样成了常识。
这不是「人类变矫情了」,而是恐惧的对象迁移了:
早年很多人怕的是专有锁死——我不能改、不能传、不能修。
今天很多人怕的是开放依赖——我能装,但我不知道树深处是谁、明天还在不在、会不会被投毒、法务会不会突然说不行。
结构上有相似之处:集中与依赖。只是专有时代依赖的是厂商发版,开源时代依赖的是网络化协作与中央化分发节点(registry、镜像、账号体系)。
若你已读过《npm 江湖》里关于包管理与供应链的讨论,其中 left-pad、semver 失灵、信任链等,可视作流通史的「当下章节」。《开源江湖》提供的是制度前传:为什么「开放」会天然长出「治理与合规」这层外骨骼。
「自由」的话术是否被「安全」接管了一部分
今天公共讨论里,安全与合规非常高频,有时甚至压过「用户四项自由」那种伦理句式。
这不等于「自由失败了」,更像是:当软件变成国家关键基础设施与企业资产负债表的一部分,动员语言必须换成董事会能签字的版本。
这与 浏览器 江湖 里 Manifest V3 争议有可读的平行:平台与安全叙事常常同时携带工程目标与收权冲动——但平行不是等同,避免写成单一因果链。
非鸡汤落点:个人与团队能做什么(很短)
不写工具软文,只列三层「与历史合拍」的动作:
- 把上游当基础设施付费:时间、钱、雇佣、长期维护合同——任选其一,别只索取声誉。
- 把许可证当治理文本读:至少知道自己链上的 copyleft / patent / notice 义务从哪来。
- 把依赖当风险账户记账:深度、维护状态、替代成本——这与 semver 乌托邦不是一回事,却是工程现实。
系列收束
《开源江湖》从头到尾只坚持一个总命题:
开源史首先是规则史——许可证、叙事与日常治理如何把协作变成可继承的制度;以及这些制度如何把新的成本写回我们身上。
它不是劝你「更热爱开源」,而是劝你更清醒地使用开源:清醒不是冷感,而是知道礼物从哪来、账单在哪一页。
若你愿意对读,建议回到:《npm 江湖》《浏览器 江湖》《跨端 江湖》《框架 江湖》等姊妹篇。
你会在同一套母题里看到:权力从不消失,只会换皮肤。
关键人物速览
本卷为收束篇,人物更多是与当代供应链叙事对读的入口,而非开源史早期的中心演员:
- Isaac Z. Schlueter:
npm的核心发起者之一;理解「中央仓库 + 极低发布门槛」如何把流通做成基础设施,可与《npm 江湖》对读。 - Filippo Valsorda:Go 生态与安全工程领域的公共写作者之一;理解「依赖、信任与工具链安全」的当代讨论,常被当作高质量入口(近史)。
- Nadia Eghbal:维护者经济、资助与可见性议题;理解「开放默认之后,劳动从哪来」时,常用其研究作引子。
参考与延伸阅读
About npm | npm Docs
https://docs.npmjs.com/about-npmkik, left-pad, and npm | npm Blog
https://blog.npmjs.org/post/141577284765/kik-left-pad-and-npmOur plan for a more secure npm supply chain | GitHub Blog
https://github.blog/security/supply-chain-security/our-plan-for-a-more-secure-npm-supply-chain/OpenSSF(Open Source Security Foundation)
https://openssf.org/SPDX Specification
https://spdx.dev/use/specifications/Working in Public: The Making and Maintenance of Open Source Software
https://press.stripe.com/working-in-public