开源项目往往由个人开发者主导，而非团队或组织。尽管某些开源软件可能由特定国家的个人编写，但这并不影响其全球应用。数据显示，大多数开源项目背后都是一个独立开发者，这种现象在开源生态中极为普遍。

开源项目：一个人的力量

最近，《The Register》发布了一篇题为《普京的代码：据报道，美国国防部依赖俄罗斯开发者编写的工具》的文章。这篇文章引发了争议，因为它将矛头指向了一位开源开发者，试图通过攻击他来获取网络关注。这种做法令人不安。

然而，让我们抛开这些争议，看看一些数据。开源项目往往由一个人维护，这并不罕见。事实上，全球许多关键软件可能都是由一个人编写的，而我们甚至不知道他们来自哪个国家。

根据ecosyste.ms的数据，目前有1180万个开源项目被收录。其中，约700万个项目由一个人维护。这个数字甚至可能更大，因为在1180万个项目中，有400万个项目的维护者数量未知，其中许多可能也是由一个人负责的。

虽然有些项目有数百名维护者，但这种情况并不常见。

有人可能会认为，这些由一个人维护的项目可能并不重要，真正重要的开源项目应该有很多维护者。然而，事实并非如此。以NPM生态系统为例，NPM中有大量由一个人维护的项目。

进一步分析，我们可以看到，在月下载量超过100万的项目中，约有一半是由一个人维护的。

这表明，即使是广泛使用的开源项目，也往往由一个人负责。只有当我们将下载量提高到10亿时，才会看到由一个人维护的项目减少到1个，而由多人维护的项目增加到9个。

此外，许多维护者拥有多个项目。虽然NPM中有超过400万个由一个人维护的项目，但这些项目的维护者数量约为90万。

结论是： 开源项目，尤其是那些推动世界运转的项目，往往由一个人维护。这些项目通常缺乏足够的资源支持。如果你担心供应链风险，那么真正的风险在于这些维护者往往被低估和过度工作，而不是他们来自哪个国家。

如果媒体开始将单个维护者描绘成坏人，这是不公平的。我们应该如何应对这种情况？目前还没有简单的解决方案，但可以肯定的是，解决方案不是追捕和妖魔化这些维护者。

开源项目的价值巨大，哈佛大学估计其经济价值高达8.8万亿美元。然而，大多数开源项目仍然依赖于个人的无私奉献。我们需要找到更好的方式来支持这些维护者，而不是将他们推向风口浪尖。

评论内容总结如下：

1. 开源项目的维护问题：

   • 许多开源项目缺乏维护者，甚至有一半的项目没有维护者（评论2）。
   • 即使有多个维护者的项目，通常也只有一个主要贡献者（评论7）。
   • 维护者的定义可能不准确，导致数据解读错误（评论8）。

2. 开源项目的风险：

   • 单人或少数人维护的项目存在较高的供应链风险，尤其是在战争等极端情况下（评论11）。
   • 开源项目的依赖关系复杂，许多代码可能已被废弃，进一步增加了风险（评论1）。

3. 开源社区的文化与挑战：

   • 开源项目通常依赖于志愿者的无偿劳动，虽然有时能成功，但团队协作往往具有挑战性（评论4）。
   • 增加项目成员并不一定能显著提高生产力（评论10）。

4. 对特定技术的担忧：

   • 美国国防部（DoD）使用Node.js等技术引发了安全担忧，尤其是其庞大的攻击面（评论3）。
   • DoD倾向于将免费资源转化为付费服务，可能并非最佳选择（评论9）。

5. 对媒体报道的批评：

   • 某些报道标题带有偏见，暗示俄罗斯开发者与威胁行为者有关联，但实际并无证据（评论5）。
   • 文章中的数据点并未在结论中得到充分体现（评论6）。

总结：评论主要围绕开源项目的维护问题、供应链风险、社区文化挑战以及对特定技术和媒体报道的批评展开。尽管开源项目对全球技术发展至关重要，但其维护和风险管理仍面临诸多挑战。