Discourse 絕不走向閉源

背景

知名開源社群軟體 Discourse 近期針對 Cal.com 轉向閉源的決定發表聲明，強調其將始終保持開源立場。Cal.com 主張 AI 的崛起讓開源程式碼更容易被掃描並利用漏洞，導致 SaaS 企業面臨巨大的安全風險；然而 Discourse 創辦人則反駁，閉源並非解決安全風暴的良方，反而會削弱防禦能力。

社群觀點

在 Hacker News 的討論中，社群成員對於「以安全為名行閉源之實」的動機展現出高度懷疑。許多評論者認為，將商業決策包裝成安全考量是一種不誠實的行為，甚至直指這是一種「惡意」的表現。他們指出，企業往往在利用開源生態系成長茁壯後，再以安全為藉口收回原始碼，這種做法不僅誤導大眾，也對開源社群造成傷害。部分網友認為，這種行為本質上是為了掩蓋商業模式的轉變，或是為了防止競爭對手輕易複製其產品，而非單純的技術安全考量。

針對技術層面的討論，社群對於 JavaScript 在現代網頁應用中的角色有著深刻的反思。有觀點認為，現代網頁過度依賴 JavaScript 導致了安全性降低，甚至有人戲稱應回歸到以 HTML 表單為主、僅將腳本作為輔助增強的開發模式。留言中提到，當前的網頁環境日益惡劣，腳本常被用於追蹤與廣告，這使得「開源」與「透明度」在前端領域變得複雜。然而，也有反對意見指出，對於地圖、即時更新等現代 Web App 功能而言，JavaScript 是不可或缺的，關鍵在於如何正確且安全地使用，而非一味排斥。

此外，關於 AI 工具在漏洞偵測中的角色，社群展現出對「防禦不對稱」的擔憂。有評論者批評 AI 巨頭以模型「過於強大」為由限制存取，這種做法實際上只會讓攻擊者擁有更強的武力，而防禦者卻缺乏對等的工具進行自動化修補。社群普遍達成的一項共識是，開源帶來的透明度能產生一種「有益的緊迫感」，迫使開發者更積極地修補漏洞。開源並非讓系統變得脆弱，而是透過增加防禦者的數量來強化整體安全性。相反地，閉源往往會給企業帶來虛假的安全感，讓未被發現的漏洞在暗處潛伏更久。

最後，部分使用者也對 Discourse 本身的易用性提出了微詞，例如強制要求電子郵件驗證才能發文的機制，認為這在某種程度上阻礙了社群的參與。這反映出在追求安全與開放的同時，如何平衡使用者體驗依然是開源專案面臨的挑戰。

延伸閱讀

• 劍橋詞典關於「Bad Faith」（惡意/不誠實行為）的定義與解釋。
• OpenAI 與 Anthropic 關於 AI 輔助網路安全掃描的相關研究預覽。