程序员每天住的"房子",房东本周改了三条规则
作者:随机比特
你每天 push 代码的那个地方,本周发生了四件事,单拎出来每一件都不算大新闻。但叠在一起这一周,开发者从某种长达七年的心智惯性里被叫醒了——GitHub 不是水电煤,不是基础设施,是一家公司开的房子,开发者一直是租户。
这件事我自己感受很具体。从 2010 年前后开始用 GitHub 到现在十多年,push、PR、Actions 跑 CI、Copilot 写代码,这套流程闭着眼都能走。这十多年里没人逼你想一个问题:万一这家公司哪天动一下规则,你会怎么办?这周之前回答这个问题像杞人忧天。这周之后,去翻一下自己仓库里那些没备份的脚本和那条一直在用 @main 引外部 action 的 workflow,是个具体得不能再具体的动作。
2018 年微软花 75 亿美金把 GitHub 买下来。当年也吵过一阵——开源社区担心微软会动手,老用户担心商业化会变味。后来七年时间过去,没出大事,大家都松了口气,把"GitHub 是程序员的家"这件事当默认接受了。2022 年 Copilot 上线那次有过一波小震荡,有开发者第一次公开说"用我代码训练你模型这事没经过我同意",但很快也就过去了。这七年里集体形成了一个共识:GitHub 不会出事,GitHub 不会动你的工作流,GitHub 是免费的午餐。
本周这四件事,是这个共识第一次同时被四个独立信号戳破。
第一件,一个写终端项目的开发者把仓库从 GitHub 搬走了。他自己写的离开声明里有一段话很重——他说"过去一个月几乎每天 GitHub 都因为故障让我没法工作几个小时,有一次因为 Actions 宕机两个小时没法做 PR 审查"。这位开发者从 2008 年开始用 GitHub,他在声明里直接写"GitHub 已经不是一个能进行严肃工作的地方"。他强调自己对 GitHub 的批评"个人化得不理性"——因为他真的爱过这个平台。这不是一个折腾型开发者在炫耀搬家,这是一个把 GitHub 当家用了 17 年的人,在告诉所有人他要走。第二件,同一周里 GitHub 自己发了一份可用性公告。公告里坦白了两件事:4 月 23 日有 658 个仓库、2092 个 PR 通过合并队列合并时产生了错误的合并 commit;4 月 27 日搜索系统因为可能的僵尸网络攻击挂了,PR、issue、项目页全部搜不出东西。第三件,4 月 27 日 GitHub 官方 changelog 公布了一条新规则:6 月 1 日起,Copilot 代码评审会开始吃 Actions 分钟。这个功能之前是从 Copilot 自己的 PRU 配额里扣的,从 6 月 1 日起它会同时占用你公司或你 OSS 项目原本用来跑 CI 的那份 Actions 月度配额。第四件,一篇分析长文把 GitHub Actions 称作"开源供应链最弱的一环",举了过去两年八起有名有姓的事件——其中 tj-actions 那次有 23000 个下游仓库引用了被攻陷的 action,nx 那次让 5000 多个本来私有的仓库短暂公开。
把这四件事放在一起算一笔账。
| 之前 | 之后 | |
|---|---|---|
| Copilot CR 计费 | 从 PRU 池扣,多数人感知不到 | 6 月 1 日起同时吃 Actions 分钟 |
| 合并队列正确性 | 默认 push 按下去什么样合并就是什么样 | 已经发生 2092 次 PR 实际合并内容和你以为的不一致 |
| Actions 第三方依赖 | uses: foo/bar@v3 一直这么写 |
23000 个仓库因为同样的写法被一次性影响 |
| 平台可用性 | “GitHub 不会出事” | 一个 17 年老用户决定搬家走人 |
如果你在一个用了 Copilot CR 的中型团队,6 月 1 日后每月 Actions 分钟会比 5 月多被吃掉一截——这一截多多少没人能提前告诉你,因为它取决于你团队那个月点了多少次 review。如果你的某个 OSS 项目是公开仓库,那条公开仓库 Actions 免费的规则还在,但如果你哪天把仓库切到私有,账单就会突然出现一个之前从来没见过的数字。
这四件事拼在一起的真正含义,不在每件事本身——而是这四件事第一次同时让开发者意识到:把 GitHub 当成水电煤的时候,水电煤背后是有公司的,是有政策的,是会调价的。开发者和 GitHub 的关系从来都不是用户和工具的关系,是租户和房东的关系。房东这周做了三件事:换了一面墙的承重结构(合并队列出错)、贴了一张新告示(6 月 1 日起 Copilot 计费变了)、装修期间偶尔停水停电(搜索挂了一次,Actions 挂了一次)。租户里最老的那位决定搬走,剩下的人这才抬头看一眼自己住了七年的房子。
<figure><img src=“images/01-github-tenant-checklist.png” alt=“01-github-tenant-checklist”></figure>
接下来该做什么。不是劝你搬家。一个写了 17 年代码的人决定从 GitHub 搬走,是他做了七年的心理建设,不是这周就该跟着做的事。但有几个动作可以这周就做:
第一个,去你公司或者你最重要的那个 OSS 项目,看一眼上个月的 Actions 分钟用了多少。这个数字 6 月 1 日之后会变,你需要先知道基线。第二个,把你最常用的那几条 workflow 里的第三方 action 引用从 @v3 或 @main 改成具体的 SHA。这一行动作会让你以后在第三方 action 被攻陷时不会自动中招。第三个,给你那几个最重要的代码仓库设一个本地或者第三方镜像。GitHub 是好用的房东,但好用不等于不会动。
你不必搬家。但你得知道自己住的是什么样的房子,房东是什么人,租约是什么条件。这件事,过去七年没人逼你想,本周开始你绕不过去了。