GitHub 换 CEO 不可怕,可怕的是掌控它的人在作恶(或者说,「让人感觉在作恶」)。在 GitHub CEO 宣布离职重新创业的博文 里,现任 CEO Thomas Dohmke 同时宣布微软将不再为 GitHub 任命新的 CEO,整体将合并入微软 CoreAI 团队。这不得不让人产生与「滑坡谬误」极其类似的思考链:一看到不再任命 CEO、合并入 CoreAI,就想到 GitHub 被关闭、代码被拿去训练 AI,甚至实现微软的商业目标……
在人类社会重要组成部分高度依赖许多开源项目的今天,让一个商业公司掌控托管这些项目的平台,实在是很难让人不觉得这很有可能是一个另类的「供应链投毒」。开源项目和开源社区应该鼓励大公司参与,但不能让大公司单方面掌控。近十年前 Google Code 的关闭 已经敲烂了警钟。
关于 GitHub 的替代方案,如果是私有项目我个人会推荐自部署一个 Gitea 实例,我自己在我的 Synology NAS 上组了一个,使用非常简单,和 GitHub 功能十分接近,甚至可以依靠它自己部署一个 CI/CD 工作流。至于公开项目,Gitea Cloud、Codeberg(也是使用 Gitea 搭建)都是我相对比较推荐的,而 GitLab 或者 BitBucket 都是可用选项,但这些背后都有商业公司。一个解决方案就是在多个平台多存储几份:Gitea 自部署实例允许你将仓库更改一次同步到多个位置。
当然,逃离了 GitHub 本身并不能消除所有隐患:除了 GitHub,微软还实际掌控了 Node.js 生态的唯一包管理器 npm(好像已经和 GitHub 合并)。仓库可以脱离 GitHub,但包管理器不太乐观。「投毒」的影响依然存在。