开源软件的安全债终于有人愿意买单了。谷歌周一宣布启动Project Glasswing,首期投入1500万美元,专门给那些"没人管但全世界都在用"的开源项目打补丁。名单上包括OpenSSL、Linux内核、Python这些老面孔——它们支撑着全球90%以上的互联网基础设施,但维护者往往只有几个人在周末抽空修bug。

这个项目的玩法有点像"房屋保险+急诊室"的混合体。谷歌会主动扫描这些项目的漏洞,发现高危问题后要么自己修,要么掏钱雇人修,最后把补丁无偿交还给社区。项目负责人Dan Lorenc说得很直接:「我们希望这些代码能撑到下一个十年。」

1500万听起来不少,摊到整个开源生态其实杯水车薪。OpenSSL在2014年心脏出血漏洞爆发前,核心维护者每年收到的捐款只有2000美元。谷歌这笔钱能覆盖多少项目、能持续多久,官方没给时间表。但Lorenc透露了一个细节:他们已经默默试运行了18个月,期间给Python修了127个安全漏洞,其中23个是谷歌工程师自己挖出来的。

这不是谷歌第一次对开源安全示好。2021年的Log4j漏洞让全球安全团队熬了三个通宵,谷歌当时承诺投入1亿美元改善供应链安全。Glasswing算是那笔钱的细化落地——从"撒胡椒面"变成"定点狙击"。不过有开发者吐槽:谷歌自己的Chrome和Android漏洞都没修完,现在跑来当开源救世主,多少有点讽刺。

项目名字Glasswing取自一种透明翅膀的蝴蝶,寓意"让不可见变得可见"。首批入选的10个项目已经公布,包括curl、SQLite、GNOME等。curl作者Daniel Stenberg在推特上发了张截图:谷歌发来的第一笔漏洞赏金,金额被码掉了,但备注写着"感谢您过去25年的工作"。