1. Changing how we develop Ladybird (ladybird.org)
Ladybird 项目宣布调整代码贡献流程,不再接受公开的 Pull Request(PR),未来所有代码变更仅由项目维护者直接引入。
这一调整出于多重考量。首先,项目正迈向首个 Alpha 版本和面向真实用户的新阶段,需要更严格的开发流程、更清晰的安全模型,以及更明确的代码责任归属。浏览器需要处理来自整个互联网的不受信任输入,一个精心伪装的漏洞就可能被攻击者利用。因此,进入代码库的每一行代码都必须由最终对其架构兼容性、长期维护性和安全性负责的人来把控。
其次,AI 工具的迅速普及改变了开源贡献的“经济学”。以往,一份厚重的补丁往往意味着贡献者投入了大量时间和精力,这也是维护者判断其善意与可信度的重要依据。但如今,AI 能够以更低的成本和更快的速度生成看似严肃、高质量的代码,使得 PR 本身已无法像过去那样有效反映提交者的真实能力与意图。项目方指出,已有先例表明存在长期、有资源支持的攻击者通过逐步获取维护者信任来渗透开源项目,而 AI 进一步降低了此类攻击的门槛。
作为过渡措施,项目将关闭所有当前处于开放状态的公开 PR,并且不会设立其他替代性补丁提交流程(如通过 Issue、评论、邮件或 Fork 等渠道)。管理层明确表示,不希望形成“影子贡献系统”,也不愿意将外部 Fork 或补丁汇总视为上游的待审队列。
与此同时,Ladybird 强调其代码依然以开源许可证向公众开放,项目本身仍是开源项目。外部参与者仍可通过提交清晰的 Bug 报告、最小化复现、网站兼容性测试、Web 标准讨论、设计反馈、安全漏洞报告及技术评议等方式继续推动项目发展。
总体而言,Ladybird 认为在准备向普通用户交付浏览器的关键节点上,开发流程必须与产品责任相匹配:将代码引入权限严格限定在维护者群体之内,以确保质量、安全与可维护性。