几天前,一年一度的WordCamp欧洲聚会在风景如画的瑞士巴塞尔举行。通常,这项活动被认为是每年WordPress三大盛事之一,并且通常会发布许多激动人心的公告。正如你所料,这些公告都与WordPress有关,并且通常由社区中的重要成员牵头发布。
今年的情况也大同小异,除了一件事:最大的公告来自对 WordPress.org 主题和插件生态系统的外部威胁。这个威胁就是 FAIR 软件包管理器——一个由 WordPress 长期贡献者发起、Linux 基金会支持的项目。
那么,让我们来聊聊 FAIR 究竟是什么,它目前的样子,以及更重要的是,你应该使用它吗?最后,我们再来看看 WordPress 联合创始人 Matt Mullenweg 对此的看法。
FAIR 的起源和目的
FAIR 这个缩写并非巧合,它的完整名称——“可信插件和主题的联合独立存储库”——也并非巧合。它是对去年 #wpdrama事件后果的直接回应,尤其是 10 月份Automattic 在生态系统中控制了 WP Engine 的 ACF 插件 slug事件。
正如企业机构 Crowd Favorite 首席执行官兼该项目发起人之一 Karim Marucchi 所解释的那样:
我清楚地记得那些电话。来自不同大企业的多位首席法律顾问在电话里直截了当地问我:‘Karim,如果一个人可以单方面做出危及我们供应链的改变,而且没有任何明显的制衡措施,我们为什么要信任 WordPress?’ ”
卡里姆并非唯一一个听到有人担忧开源 WordPress 项目“治理问题”的人。还有很多人呼吁建立一个公平、不集权的替代方案。
因此,FAIR 诞生了——联合且独立——或者换句话说,非集中式。
该项目历经六个月的合作,由来自十多个组织的一百多位贡献者共同完成。为了确保治理的中立性,该团队与Linux基金会进行了接洽。该组织也负责监管Linux和Kubernetes等重要的开源项目。此外,三位德高望重的WordPress资深人士被任命领导技术指导委员会:Carrie Dils、Mika Epstein和Ryan McCue(WordPress REST API的创建者)。
如果 FAIR 最终被广泛采用,它可能会挑战 Automattic 首席执行官 Matt Mullenweg 自 WordPress 创立以来对它的控制。因此,WordPress 社区的许多人将此视为 WordPress 历史时间线上的一个潜在分叉。
尽管如此——这一点需要强调——从技术角度来看,FAIR 并非 WordPress 的分支。它仍然是 100% 的 WordPress。它只是消除了对 WordPress.org 插件和主题的依赖。FAIR 的意义远不止于此,但这才是重点。
WordPress 切换到 FAIR 的两个选项
截至撰写本文时,WordPress 可通过两种方式使用 FAIR:
- 作为插件
- 作为一个完整的 WordPress 安装,捆绑了 FAIR 插件(预安装)
WordPress 完整安装主要面向为新客户提供 WordPress 安装选项的托管公司。大多数现有 WordPress 网站的用户可以像其他插件一样直接下载并安装该插件。
使用 FAIR
要尝试 FAIR 插件,您需要做的第一件事就是前往其GitHub 发布页面并下载它:
然后,在 WordPress 仪表盘中,前往插件→添加插件→选择文件。在硬盘上找到fair-plugin-0.2.0.zip (请直接使用最新版本)。然后点击立即安装,然后点击激活插件:
成功激活插件后,您会注意到左侧边栏中有一个新的 FAIR 设置菜单选项:
目前实际上只有一个功能——可以覆盖强制使用 Gravatar设置用户头像的默认设置。该功能默认启用(标题为“FAIR Avatars”)。但是,如果您出于某种原因更喜欢使用 Gravatar,可以随时恢复使用。
除此之外,您还会注意到屏幕右下角有一条微妙但重要的信息:Updates served from the FAIR Package Manager and AspirePress.
相同的消息将显示在 WordPress 管理仪表板的其他区域 – 例如插件和主题页面。
这只是让您知道 FAIR 正在运行,并且您主题和插件的任何未来更新都不会来自 WordPress.org。而是来自 FAIR 和 AspirePress。
如果你好奇的话,AspirePress 是另一个与 FAIR 有着相似目标和价值观的开源项目。根据一位直接参与 FAIR 构建的人在 Reddit 上的帖子,Aspire 团队也参与了这个过程。在 FAIR 发布他们的插件的第二天,Aspire 也发布了他们自己的类似插件。所以看起来这两个项目正在协同工作。
有什么激励?
如果你不是开发人员或 WordPress 高级用户,你可能会想——我为什么要安装这个?这是一个合理的问题。
对于普通用户来说,选择采用 FAIR 更多的是出于意识形态而非实用性考虑。该插件不会显著改变您日常使用 WordPress 的方式。但是,如果您关心 WordPress,并且相信转向更去中心化的系统是有益的,那么安装该插件来表达您的支持并不会损害您的网站。
对于开发者来说,激励机制会更加强大,因为它们会以积极的方式影响插件的分发。这是因为 FAIR 允许开发者将免费版和付费版插件捆绑到一个加密签名的软件包中。这可以简化用户体验,并创造新的商业模式。
对于企业和托管公司而言,FAIR 解决了供应链安全、法规遵从性和风险管理等关键业务问题:
- 组织可以在防火墙后运行 FAIR,从而完全控制可访问的插件和主题。
- FAIR 与 GDPR 以及《网络弹性法案》等即将出台的法规更加一致。
- 它减少了关键业务基础设施中的单点故障。
该系统还引入了代码签名和改进的加密安全措施。这些都是企业客户一直要求的附加功能。
这一切听起来很美好,但也有一些反面观点需要考虑。WordPress 联合创始人马特·穆伦维格 (Matt Mullenweg) 在 WordCamp Europe 的演讲中迅速指出了这些反面观点。
Matt 对 FAIR 的反应
FAIR 发布仅几小时后,Matt Mullenweg 与 WordPress 执行董事 Mary Hubbard 进行了“炉边谈话”,并直接被问及与该项目的潜在合作。他的回答既展现了外交上的开放态度,也体现了重大的技术担忧。
“当然,我们会考虑所有因素,”穆伦维格说,“但即使如你所说,我认为也存在很多挑战。”
他主要关注的几个关键领域:
- 安全性:虽然 FAIR 旨在提高安全性,但穆伦维格认为这可能会带来新的漏洞。“目前,供应链攻击需要攻破 WordPress.org,而该网站从未被黑客入侵过,”他指出。“但现在突然之间,就有 N 个地方可能被攻破。”
- 运营复杂性:他强调的挑战包括多个镜像可能存在正常运行时间问题、难以实施分阶段推出(例如首先与 5% 的用户测试更新)以及失去为 PHP 版本和数据库支持决策提供信息的集中式分析。
- 信任和质量控制:Mullenweg 认为,用户不一定要求提供更多的下载位置,而是要求提供信任指标:“我怎么知道这是值得信赖的?我怎么知道这些评论是真实的?谁在审核?谁在检查这些不同评论的 IP?插件评级是多少?兼容性如何?”
- 执行问题:他质疑如何在分布式系统中执行现有政策,例如对管理员横幅的限制。
尽管如此,穆伦维格也承认了积极的一面:“我认为大家能够互相传递代码,而不是仅仅争论、聊天或写博客文章,这真是太棒了。”他进一步强调,在做出任何合作承诺之前,他希望先审查代码,并仔细考虑了该项目可能采取的方向。
在我看来,考虑到他处理公告的时间很短,我觉得这是一个很好的回应。他提出的观点也很合理——虽然是双关语。
更大的图景
FAIR 项目是自该平台创建以来对 WordPress 基础设施进行去中心化最重要的尝试,其影响可能是深远的。
它能否获得广泛采用还有待观察。然而,它的存在本身——由Linux基金会支持,并由受人尊敬的社区人物开发——标志着生态系统对治理、控制以及支撑43.5%网络的平台未来发展的看法发生了转变。
Mullenweg 提出的技术挑战也是切实存在的,并非仅仅是一些转折点。他们需要解决方案。另一方面,促使 FAIR 成立的治理和供应链安全问题也同样重要。这些相互竞争的优先事项如何相互影响,很可能决定 WordPress 未来十年的未来。
你觉得 FAIR 怎么样?你会在你的 WordPress 网站上安装这个插件吗?
注:本文出自 https://wpshout.com/fair-package-manager-wordpress-org-alternative/,由 WordPress大学 翻译整理。
