維護 curl 的艱難挑戰 (★ 104 分)
Daniel Stenberg 在 2025 年歐洲開源高峰會上分享了維護 curl 的艱辛挑戰。curl 是一個從 1996 年僅有 100 行程式碼成長至如今超過 18 萬行,由 1,400 名貢獻者共同開發的工具,但目前全職維護者只剩下 Stenberg 一人。儘管這個工具已安裝在至少 10 億台裝置上,幾乎任何需要網路連線的產品都在使用它,但企業大量受惠卻鮮少反哺其發展。例如,有 47 個汽車品牌在產品中內建 curl,卻沒有一個品牌對開發有任何貢獻。
Stenberg 強調,將開源軟體釋出在自由授權下,企業雖然合法使用,但這些公司應該思考未來的永續性。維護開源專案的負擔極大,除了安全性維護,還必須審查修補程式、撰寫文件、管理官方網站與郵件清單,有時甚至還要處理來自企業的嚴苛要求,包括要求提供資安流程細節,或歐盟公司詢問其是否符合《網路韌性法》(Cyber Resilience Act)。情況更糟的是,大量垃圾電郵來自於人們濫用大型語言模型 (LLM, Large Language Model),生成不實的錯誤報告,導致 Stenberg 必須投入更多時間應付。此外,curl 網站也長期受到 AI 公司爬蟲帶來的分散式阻斷服務攻擊 (DDoS),浪費巨量頻寬,卻只帶來 0.01% 的實際程式碼下載。
這些壓力有時令人筋疲力盡,有時甚至冒犯人身安全,他曾收到主題為「我要宰了你」的電子郵件。但也有人寫來感謝,其中包括一名 11 歲孩童表達對 curl 的喜愛與謝意,這讓他感到振奮。Stenberg 直言,維護開源軟體不是浪漫的理想,而是長期艱難的責任。
Hacker News 上的討論則聚焦在開源資金支持的困境與可能的解方。許多評論指出大企業應當承擔更多責任,對這些關鍵軟體的維護提供金援並不過分,但現實挑戰在於如何找到合適的窗口,以及爭取到符合公司短期預算思維的支持。有些人建議建立中介組織或財務保護傘,像是 Software in the Public Interest (SPI) 或 Software Freedom Conservancy,可以替不同專案分攤行政與財務負擔。另一個創意做法是企業支付維護者遠端「爐邊談話」或 Q&A 時間,透過顧問合約或教育訓練預算來輸送資金。
另一些參與者批評當前企業的「搭便車」文化,認為若有汽車品牌能率先公開支持 curl,不僅成本低廉,品牌形象更能加分。也有人提到德國聯邦政府透過 Sovereign Tech Agency 曾經捐助約 20 萬歐元給 curl,顯示政府資助亦是可能途徑。另一方面,社群還討論了 AI 程式自動生成錯誤報告或推薦修補程式的問題,這不僅增加維護成本,也突顯出人類驗證與責任意識的重要性。有人甚至認為依賴 LLM 作為檢查工具本身就是邏輯悖論,因為若需要專家驗證 AI 輸出的結果,那麼使用 AI 的價值便大打折扣。
綜合來看,curl 案例真實反映開源世界普遍存在的難題:程式碼驅動了無數裝置與網路應用,但維護責任卻落在少數幾位志工或單一維護者肩上。社群討論展現出對於開源資金支持、專案永續與 AI 影響的深刻焦慮,同時也提出了一些新穎的嘗試方向。這不只是 curl 的難題,更是整體開源生態亟需正視的結構性問題。
👥 27 則討論、評論 💬
https://news.ycombinator.com/item?id=45217858