所以 Alist 的事情，就解释了为啥公司不建议使用 Fastjson、HuTool

今天才知道 Alist 也被卖了，好像还是和 HuTool 一个公司（贵州不够科技?）
所以为啥不建议用 Fastjson 、HuTool 呢？
因为对开发维护人员不信任！供应链投毒警告！
国内基本没有啥开源氛围，即使是流行的开源项目（ Alist 有大约 50K star ），核心贡献者经常也就一两个人。
随时都有突然搞个彩蛋、突然停止维护、突然被转卖、突然被植入恶意代码的风险，这谁受得了！

https://github.com/AlistGo/alist/issues/8649

Reficul

86 天前

说的对，但是 FastJSON 的问题，我觉得还没到供应链投毒这么高科技的层级，这玩意设计上就有问题。

momowei

86 天前

啥都自己写？？
以前 antd 圣诞节事件还记得吧，又怎样，骂一顿后还不是老老实实的用。
在开源用爱发电之前，发生什么都不奇怪
fastjson,hutool 这些其实用的也挺多的，至少在我知道的金融证券行业.
很多人就会骂
但是有解决方案吗，自己写就更不现实了

cvbnt

86 天前

开源项目就是有可信组织背书才有更多人用，这点中外是一致的，比如 Apache ，Eclipse ，以前这种投毒还真不好解决，现在有 AI 了其实这种工具类不得不用的情况就缓解一点了

hafuhafu

86 天前

除了顶级公司背书的，基本上都可能出现这种情况。然而大多数库其实都没这条件。
不过开源的最大好处就是有源码呀，自己 fork 一个可用的版本自己改改也能用。特别是像 Hutool 这种工具库甚至不需要怎么自己日常维护也没啥特别升级到最新版的必要。
反而是像 Alist 这种涉及到对接第三方官方或非官方接口，还有点对抗性质的，没人维护还真不行。

moonlord

86 天前

Alist 的作者 xhofe 的 GitHub 主页 https://github.com/xhofe 也写着：I love open source. ❤️
结果转手就卖了恰烂钱，多少有点讽刺了。。。
这公司买开源项目动机存疑，也没有任何公告，但是确实有出现投毒(信息收集?)的趋势。

https://github.com/AlistGo/alist/pull/8633/files#diff-bb283e07a0d769f0619f035e02eb9faf9b435979986ed95a28e95946658ff8a7

NewYear

86 天前

国内一方面想搞信创，自主可控。
另一方面也是市场畸形，普遍不想为软件付费，各种畸形的软件都搞出来了，见怪不怪。
信任确实非常有限，这样的环境，想信任很难，听说宝塔面板都实名制了，老大哥在看着你。

其实开源软件被收购很正常，例如 acme.sh 就是被 zerossl 收购的，但人家是为了推广自己的 SSL ，用户侧的利益也有收到损失，比如需要多敲一个参数。

Meld

86 天前

我觉得作者唯一值得诟病的是再出售的过程中没有及时的公开透明的公布，其他有啥问题吗...

一个 50K star 的项目，基本上是作者一个人撑起来的，享受开源便利的人站在（我认为）道德制高点上挥舞着大棒要求作者给其他人分成

cj323

86 天前

我以为国内做不好开源，主要是：我们更实在。我们认为精神世界的满足不如物质的满足。“钱”是在“爱”前面的。

而真正牛逼的开源，是需要长期扛得住钱这一关的，“爱”得能放前面。

我不敢想象 git ，vim ，curl 这种家喻户晓的开源项目，作者们加个“佐料”能有多少利益。但是他们没有。

只有这种不为钱而存在几十年的项目，用户才敢放进 /usr/bin

moonlord

86 天前

@cj323
倒也没有这么单纯，你想加 “佐料”，其它人也在看着呢
这种 “制衡” 的效果，需要一个多人协作式的团队，不能只由发起者一个人主导

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1137946

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.