libxml2 维护者放弃安全禁运政策
广泛使用的 XML 解析库 libxml2 的维护者 Nick Wellnhofer 近日宣布了一项重大政策调整:放弃传统的安全漏洞“禁运”做法,转而将所有 bug(包括安全相关的)公开处理。这一决定源于维护者长期以来不堪重负,特别是面对一些安全公司提交 bug 报告时,要求 CVE 编号和修复截止日期,却不提供补丁,这给唯一的无偿维护者带来了巨大的、无偿的工作负担。
Nick Wellnhofer 认为,这种围绕许多安全问题的保密性是一种“表演”,并批评苹果、谷歌、微软等严重依赖 libxml2 的大型科技公司没有回馈社区维护工作,是“不负责任”的。他的新政策是所有 bug 都从一开始就公开,并在时间允许时进行修复,拒绝接受禁运和截止日期的压力。他希望此举能迫使这些公司要么加强贡献,要么寻找替代方案,要么接受由志愿者驱动的开源项目维护的现实。
在 Hacker News 社区,讨论主要围绕“安全 bug”的定义展开。许多评论者同意维护者的观点,认为简单的拒绝服务 (DoS) 或空指针崩溃等问题常被夸大,不应与允许数据泄露的关键漏洞同等对待,这种“安全噪音”反而干扰了对真正高风险问题的识别和优先级排序。然而,也有人反驳称,DoS 在特定情境下(如医疗设备、安全软件)可能是严重的安全问题。社区普遍对那些为营销目的要求 CVE 但不提供补丁的安全研究人员表示不满,认为这实质上是在给志愿者制造免费工作。评论者大多支持维护者设定界限、拒绝不合理要求的权利,并强调了企业对无偿开源劳动的依赖以及维护者需要心理安全感去说“不”的更广泛问题。
波多黎各电网困境与太阳能微电网的希望
波多黎各的电力系统因长期缺乏维护和投资而极不稳定,频繁发生大面积停电。2017 年的玛丽亚飓风彻底摧毁了电网,导致数月停电,造成严重后果。尽管美国联邦政府提供了超过 200 亿美元的灾后援助资金用于电网修复和增强,但由于官僚程序和政治因素,资金使用缓慢且效果不彰。
最近一次全岛停电时,波多黎各中部山区小镇 Adjuntas 的一些家庭和企业,凭借