近期Log4j2的漏洞在业界引起了广泛的讨论，openSSF基金会给出了针对开源项目进行评估的模型：https://github.com/ossf/criticality_score.

把社区治理通过得分进行评估想法非常好，能给出来一个度量模型也算是向前跨了很大的一步，我们团队也在探索什么样的模型才是最合适的。这个模型有他的优势，模型里面很多指标是有互相牵制的作用（比如issue close、comment、update），这样子防止评估的时候出现偏差。但是也有不足的地方，commit只考虑了频度，这里面可能会有恶意刷单的情况。而且不同类型的社区贡献者的数量不能一概而论，只能针对同类社区同时横向比对才可能有可比性。评估项目的内容再往下写就偏离了这篇文章的中心思想了。

我今天试图用经济学的角度解释一下近期发生的热点事件。

思考一个问题：自古以来有多少科学家、发明家是饭都吃不饱的来做研究做学问的？

答案：应该是很少很少的，包括中国古代很多文人骚客、发明者都是达官贵族的子弟，为什么呢？马斯洛需求理论。 好不容易有一个这么清高的人一定会被写入历史的卷轴并加以美化。

再思考一个问题：开源是什么？

• 一段代码
• 一种精神文化
• 一种技术
• 一种协同模式

以上说的都对，还有很多解释，其实说的都对，如果我们用开源来类比发明、创造、创新的过程，创作出来无论是文学作品还是科学技术。如果结合和第一个问题一起思考。

于是就会有第三个问题：什么人会贡献开源搞创新？

一定是要先吃饱饭，然后有爱好、感兴趣才会参与开源（这里的开源指的都是开源的生产者）。回到这几年发生的案例，很多程序员是因为没有精力去做感兴趣的事情，或者要先填饱肚子才能去做感兴趣的事情，那么他在开源社区玩的优先级一定会降低，他的仓库可能就不维护或者有空才去看看，反正出了事情不用他承担法律责任，至少99%的开源license都有免责声明，可以参考他们limitation条款。不信看看我们的貂蝉（https://compliance.openeuler.org/）。

前面的内容先放到这里，后面会用到。

---

下面接着我稍稍借助于我们伟大的马克思主义的政治经济学理论，阐述我认为开源是一种先进的但是不够完美的生产关系。
生产关系分为三块：生产资料所有制形式、劳动关系、劳动成果分配形式。

• 生产资料所有制：开源社区的生产资料很归大家所有，源码都是公开（≠免费），网络都是低成本的，github、gitee等都是可访问的，你只要是买得起电脑，拉根网线。恭喜你参与开源劳动的生产资料已经分配到了你的手上。
• 劳动关系：开源社区人人平等，不信君请看各大社区的COC，稍微有点志向的社区，恨不得把平等刻到脸上，要公开、甚至公开到透明，接受监督。
  乍一看，OH MY GOD，这不就是孔子描述的 《礼运大同篇》 ：大道之行也，天下为公。选贤与能，讲信修睦 … …,不也是马克思勾画的共产主义社会吗？恭喜在开源的元宇宙已经实现了共产主义的人类最高阶段。

但是我们忽略了一个事实，就是生产关系的最后一个因素：劳动成果分配形式。

• 劳动成果分配形式：大部分国家和地区当前的社会制度讲的是按劳分配，未来在生产力发展很高的情况下可能会实现按需分配。这么看来，开源项目生产者的劳动成果转化成为的软件价值在社会被使用，但是并没有转化成他们的收入来源，他们得到的劳动成果是什么，好像只有社区的赞誉。所以，我只能认为他们是志愿者。在食不果腹的情况下追求马斯洛需求的自我实现最高阶层，这不是天方夜谭吗？

出问题的项目的这些志愿者的生活来源是什么？他们大都没有固定的生活来源。

---

结合part1和part2，贡献开源的主体人应该是有生活来源，爱好开源、追求自我实现、喜欢创新等。很不幸出事情的几个开源项目貌似都是个人项目，14年的openssl心脏滴血，21年的log4j，当前最简单的解决这个问题的思路确实是让这些人衣食无忧。办法有很多：所以我们很高兴地看到很多国家、基金会、企业站出来给他们提供保障。

除了这个还有没有别的办法？我猜应该还是有的，欢迎大家讨论。