WordPress 存儲庫的替代品來了：FAIR 包管理器——它到底是什么？

幾天前，一年一度的WordCamp歐洲聚會在風(fēng)景如畫的瑞士巴塞爾舉行。通常，這項活動被認為是每年WordPress三大盛事之一，并且通常會發(fā)布許多激動人心的公告。正如你所料，這些公告都與WordPress有關(guān)，并且通常由社區(qū)中的重要成員牽頭發(fā)布。

今年的情況也大同小異，除了一件事：最大的公告來自對 WordPress.org 主題和插件生態(tài)系統(tǒng)的外部威脅。這個威脅就是 FAIR 軟件包管理器——一個由 WordPress 長期貢獻者發(fā)起、Linux 基金會支持的項目。

那么，讓我們來聊聊 FAIR 究竟是什么，它目前的樣子，以及更重要的是，你應(yīng)該使用它嗎？最后，我們再來看看 WordPress 聯(lián)合創(chuàng)始人 Matt Mullenweg 對此的看法。

FAIR 的起源和目的

FAIR 這個縮寫并非巧合，它的完整名稱——“可信插件和主題的聯(lián)合獨立存儲庫”——也并非巧合。它是對去年 #wpdrama事件后果的直接回應(yīng)，尤其是 10 月份Automattic 在生態(tài)系統(tǒng)中控制了 WP Engine 的 ACF 插件 slug事件。

正如企業(yè)機構(gòu) Crowd Favorite 首席執(zhí)行官兼該項目發(fā)起人之一 Karim Marucchi 所解釋的那樣：

我清楚地記得那些電話。來自不同大企業(yè)的多位首席法律顧問在電話里直截了當(dāng)?shù)貑栁遥骸甂arim，如果一個人可以單方面做出危及我們供應(yīng)鏈的改變，而且沒有任何明顯的制衡措施，我們?yōu)槭裁匆湃?WordPress？’ ^”

卡里姆并非唯一一個聽到有人擔(dān)憂開源 WordPress 項目“治理問題”的人。還有很多人呼吁建立一個公平、不集權(quán)的替代方案。

因此，F(xiàn)AIR 誕生了——聯(lián)合且獨立——或者換句話說，非集中式。

該項目歷經(jīng)六個月的合作，由來自十多個組織的一百多位貢獻者共同完成。為了確保治理的中立性，該團隊與Linux基金會進行了接洽。該組織也負責(zé)監(jiān)管Linux和Kubernetes等重要的開源項目。此外，三位德高望重的WordPress資深人士被任命領(lǐng)導(dǎo)技術(shù)指導(dǎo)委員會：Carrie Dils、Mika Epstein和Ryan McCue（WordPress REST API的創(chuàng)建者）。

如果 FAIR 最終被廣泛采用，它可能會挑戰(zhàn) Automattic 首席執(zhí)行官 Matt Mullenweg 自 WordPress 創(chuàng)立以來對它的控制。因此，WordPress 社區(qū)的許多人將此視為 WordPress 歷史時間線上的一個潛在分叉。

盡管如此——這一點需要強調(diào)——從技術(shù)角度來看，FAIR 并非 WordPress 的分支。它仍然是 100% 的 WordPress。它只是消除了對 WordPress.org 插件和主題的依賴。FAIR 的意義遠不止于此，但這才是重點。

WordPress 切換到 FAIR 的兩個選項

截至撰寫本文時，WordPress 可通過兩種方式使用 FAIR：

• 作為插件
• 作為一個完整的 WordPress 安裝，捆綁了 FAIR 插件（預(yù)安裝）

WordPress 完整安裝主要面向為新客戶提供 WordPress 安裝選項的托管公司。大多數(shù)現(xiàn)有 WordPress 網(wǎng)站的用戶可以像其他插件一樣直接下載并安裝該插件。

使用 FAIR

要嘗試 FAIR 插件，您需要做的第一件事就是前往其GitHub 發(fā)布頁面并下載它：

然后，在 WordPress 儀表盤中，前往插件→添加插件→選擇文件。在硬盤上找到fair-plugin-0.2.0.zip （請直接使用最新版本）。然后點擊立即安裝，然后點擊激活插件：

成功激活插件后，您會注意到左側(cè)邊欄中有一個新的 FAIR 設(shè)置菜單選項：

目前實際上只有一個功能——可以覆蓋強制使用 Gravatar設(shè)置用戶頭像的默認設(shè)置。該功能默認啟用（標(biāo)題為“FAIR Avatars”）。但是，如果您出于某種原因更喜歡使用 Gravatar，可以隨時恢復(fù)使用。

除此之外，您還會注意到屏幕右下角有一條微妙但重要的信息：Updates served from the FAIR Package Manager and AspirePress.

相同的消息將顯示在 WordPress 管理儀表板的其他區(qū)域 – 例如插件和主題頁面。

這只是讓您知道 FAIR 正在運行，并且您主題和插件的任何未來更新都不會來自 WordPress.org。而是來自 FAIR 和 AspirePress。

如果你好奇的話，AspirePress 是另一個與 FAIR 有著相似目標(biāo)和價值觀的開源項目。根據(jù)一位直接參與 FAIR 構(gòu)建的人在 Reddit 上的帖子，Aspire 團隊也參與了這個過程。在 FAIR 發(fā)布他們的插件的第二天，Aspire 也發(fā)布了他們自己的類似插件。所以看起來這兩個項目正在協(xié)同工作。

有什么激勵？

如果你不是開發(fā)人員或 WordPress 高級用戶，你可能會想——我為什么要安裝這個？這是一個合理的問題。

對于普通用戶來說，選擇采用 FAIR 更多的是出于意識形態(tài)而非實用性考慮。該插件不會顯著改變您日常使用 WordPress 的方式。但是，如果您關(guān)心 WordPress，并且相信轉(zhuǎn)向更去中心化的系統(tǒng)是有益的，那么安裝該插件來表達您的支持并不會損害您的網(wǎng)站。

對于開發(fā)者來說，激勵機制會更加強大，因為它們會以積極的方式影響插件的分發(fā)。這是因為 FAIR 允許開發(fā)者將免費版和付費版插件捆綁到一個加密簽名的軟件包中。這可以簡化用戶體驗，并創(chuàng)造新的商業(yè)模式。

對于企業(yè)和托管公司而言，F(xiàn)AIR 解決了供應(yīng)鏈安全、法規(guī)遵從性和風(fēng)險管理等關(guān)鍵業(yè)務(wù)問題：

• 組織可以在防火墻后運行 FAIR，從而完全控制可訪問的插件和主題。
• FAIR 與 GDPR 以及《網(wǎng)絡(luò)彈性法案》等即將出臺的法規(guī)更加一致。
• 它減少了關(guān)鍵業(yè)務(wù)基礎(chǔ)設(shè)施中的單點故障。

該系統(tǒng)還引入了代碼簽名和改進的加密安全措施。這些都是企業(yè)客戶一直要求的附加功能。

這一切聽起來很美好，但也有一些反面觀點需要考慮。WordPress 聯(lián)合創(chuàng)始人馬特·穆倫維格 (Matt Mullenweg) 在 WordCamp Europe 的演講中迅速指出了這些反面觀點。

Matt 對 FAIR 的反應(yīng)

FAIR 發(fā)布僅幾小時后，Matt Mullenweg 與 WordPress 執(zhí)行董事 Mary Hubbard 進行了“爐邊談話”，并直接被問及與該項目的潛在合作。他的回答既展現(xiàn)了外交上的開放態(tài)度，也體現(xiàn)了重大的技術(shù)擔(dān)憂。

“當(dāng)然，我們會考慮所有因素，”穆倫維格說，“但即使如你所說，我認為也存在很多挑戰(zhàn)?！?/p>

他主要關(guān)注的幾個關(guān)鍵領(lǐng)域：

• 安全性：雖然 FAIR 旨在提高安全性，但穆倫維格認為這可能會帶來新的漏洞。“目前，供應(yīng)鏈攻擊需要攻破 WordPress.org，而該網(wǎng)站從未被黑客入侵過，”他指出。“但現(xiàn)在突然之間，就有 N 個地方可能被攻破?！?/em>
• 運營復(fù)雜性：他強調(diào)的挑戰(zhàn)包括多個鏡像可能存在正常運行時間問題、難以實施分階段推出（例如首先與 5％ 的用戶測試更新）以及失去為 PHP 版本和數(shù)據(jù)庫支持決策提供信息的集中式分析。
• 信任和質(zhì)量控制：Mullenweg 認為，用戶不一定要求提供更多的下載位置，而是要求提供信任指標(biāo)：“我怎么知道這是值得信賴的？我怎么知道這些評論是真實的？誰在審核？誰在檢查這些不同評論的 IP？插件評級是多少？兼容性如何？”
• 執(zhí)行問題：他質(zhì)疑如何在分布式系統(tǒng)中執(zhí)行現(xiàn)有政策，例如對管理員橫幅的限制。