开源软件生态正遭遇越来越棘手的治理难题;cURL 项目创始人丹尼尔·斯滕伯格在布鲁塞尔举行的 FOSDEM 开源峰会上表示,团队近期关闭漏洞赏金计划,背后反映的是安全工具被滥用的现实。数据显示,项目收到的安全报告中只有约 5% 具有实际价值,绝大多数是自动化工具生成的无效内容。
开源安全的韧性——既取决于技术创新——也取决于治理能力与社区共识。面对虚假报告“工业化”、信息噪声“规模化”的新挑战,关键不在于简单排斥或盲目追捧,而在于划清激励边界、提高证据标准,并建立更可持续的维护支持体系。只有让真实问题更快浮出水面,让维护者把时间用在修复而非筛噪上,开源软件这个数字基础设施才能在变化中守住安全底线。