为什么为开源做贡献需要永久身份？

Source: Dev.to

（抱歉，您只提供了来源链接，未附上需要翻译的正文内容。请提供文章的文本，我将为您翻译成简体中文。）

Introduction

开源声称是关于代码的。
但在实践中，它往往关乎身份。

GitHub 上的每个公开 pull request 都会永久附带：

• 你的姓名
• 你的用户名
• 你的头像
• 你的贡献历史
• 你的时区模式
• 你的长期活动轨迹

即使你随后删除账户，fork 和镜像仍可能无限期保留这些元数据。

因此，这里有一个令人不适的问题：

贡献代码是否应该要求永久暴露身份？

隐藏在现代开源中的假设

我们已经把某件事常规化，却没有审视它：贡献等同于公开署名。

当以下情况时，这种做法运作得很好：

• 你在打造公开的职业生涯。
• 你想要获得认可。
• 你在为可见度进行优化。

但是对于以下贡献者呢：

• 在受限的企业环境中工作？
• 处于政治审查之下？
• 想要把职业工作和志愿工作分开？
• 将隐私视为原则？
• 不想留下永久可搜索的历史？

目前，他们唯一真正的选择是：

• 创建一次性账号（burner accounts）。
• 重复使用化名（pseudonyms）。
• 或者根本不贡献。

这种摩擦会扼杀参与。

“但透明度防止滥用”

This is the most common counterargument.

• Identity creates accountability.
• Accountability reduces spam and malicious behavior.

True. But let’s examine something uncomfortable:

GitHub already allows pseudonyms. Nothing stops someone from:

• Creating throwaway accounts.
• Rotating identities.
• Using temporary emails.
• Running bot swarms.

So what we actually have isn’t strong identity enforcement. We have:

• Persistent public metadata for honest contributors.
• Minimal friction for determined abusers.

That’s an asymmetry.

核心张力

开源价值观：

• 透明性
• 精英主义（能力至上）
• 署名权

隐私价值观：

• 自主性
• 上下文分离
• 摆脱永久曝光的自由

思考实验

想象一个系统：

• 通过隐私保护代理提交 Pull requests。
• 去除个人元数据。
• 维护者仍然像往常一样审查 diffs。
• Rate limits 防止垃圾信息。
• 仓库自愿 opt‑in。
• 滥用行为在代理层触发临时封禁。

没有神奇的匿名，也不绕过维护者，不移除审查——仅是可选的身份抽象。

这会毁掉开源吗？还是会扩大参与度？

真正的风险不是匿名

真正的风险是缺乏防护的大规模。一个没有以下措施的匿名提交系统：

• 速率限制
• 每个仓库的上限
• IP 限流
• 滥用检测
• 明确的非目标

将会变成垃圾邮件机器。

因此设计问题不是“是否应该存在匿名？”而是“我们能否负责任地设计匿名？”

权衡（让我们坦诚）

潜在收益

• 更具包容性的参与。
• 为敏感情境下的贡献者提供保护。
• 减少骚扰渠道。
• 降低首次贡献者的心理门槛。

潜在风险

• 更容易出现随手垃圾信息。
• 社会责任感降低。
• 声誉建立更困难。
• 可能增加审 moderation 工作量。

这些权衡是工程问题，而非道德绝对。

Permanent Metadata as Default

目前，身份永久性不是可选的——它是默认的。默认设置塑造生态系统。我们至少应该质疑永久身份曝光是否应该是：

• 必需的
• 可选的
• 在仓库层面可配置的

这并不是关于隐藏

这关乎选择。有些贡献者希望可见性，有些则希望隐私。现代软件基础设施应该能够安全地同时提供两者。

为什么我构建了原型

为了探索这一设计空间，我构建了一个小型开源代理实验：

👉 https://github.com/livrasand/gitGost

它具有：

• 限速
• 每个仓库有上限
• 围绕防止滥用而设计
• 明确非目标

这不是政治声明；而是一个架构问题。

社区开放性问题

• 在开源项目中，署名是否应当是强制性的？
• 永久元数据暴露是特性还是疏忽？
• 可选的身份抽象是否能提升参与度？
• 你会如何设计抗滥用的匿名贡献？

我真的很想了解有经验的维护者对此持何种立场。因为不管我们是否喜欢，开源基础设施都蕴含了社会假设。也许是时候重新审视其中的一些假设了。