2019 年 3 月 11 日,F5 Networks——一家美国西雅图的网络设备公司——宣布以 6.7 亿美元收购 NGINX 公司。NGINX 的两位创始人 Igor Sysoev 和 Maxim Konovalov,以及当时的 CEO Gus Robertson,正式加入 F51

要理解这笔收购的政治含义,需要回溯 NGINX 的来历。

Igor Sysoev 是俄罗斯人。1990 年代后期,他在莫斯科为 Rambler——当时俄罗斯最大的搜索引擎——做系统管理员。Rambler 在 2002 年遇到一个问题:他们的 Apache HTTP Server 在高并发场景下性能不够。Sysoev 决定自己写一个新的 Web 服务器,专门为高并发场景优化。这就是 NGINX 的开端2

2004 年,Sysoev 发布 NGINX 0.1.0。它的核心创新是 event-driven 架构——一个进程能处理上万个并发连接,而当时的 Apache 是 thread-per-connection 模型,几千个连接就会让服务器崩溃。NGINX 立即在高流量网站中获得采用——Yandex(俄罗斯版 Google)、VKontakte(俄罗斯版 Facebook)、Mail.ru 都是早期用户。

NGINX 一直是 Sysoev 个人维护的开源项目。它用 BSD 风格的许可证,意味着任何人可以自由使用、修改、衍生作品。到 2011 年,NGINX 在全球高流量网站市场份额已经超过 Apache。Sysoev 决定围绕开源 NGINX 创建一家商业公司——NGINX Inc. 在莫斯科成立,提供企业级支持和商业版(NGINX Plus)3

公司发展顺利。到 2018 年,NGINX 是全球部署最广的 web 服务器之一——估计在 4 亿+ 网站4。但 2018-2019 年发生了几件事改变了它的命运:

  • 美国对俄罗斯的制裁压力增强(2014 克里米亚 + 2016 选举干预指控之后)
  • Rambler(NGINX 的“前东家”)2019 年起诉 NGINX 公司——声称 Sysoev 在 Rambler 工作时写了 NGINX,因此 Rambler 拥有版权。这场诉讼有强烈政治色彩——莫斯科甚至对 NGINX 莫斯科办公室进行了搜查5

F5 收购 NGINX 完成于 2019 年 5 月。这个收购在表面上是普通商业交易——一家美国公司买了一家俄罗斯创业公司。但它的实际意义是把 NGINX 的法律实体从俄罗斯迁到美国。Sysoev 和 Konovalov 后续也离开了 F5——分别在 2022 年和 2023 年。他们没有公开抱怨,但实际效果是:NGINX 的开源项目仍然存在,但它的法律和管理已经完全美国化

2022 年 俄乌战争开始后,NGINX 的位置变得清楚:它是个“逃离俄罗斯”的开源项目,避免了 Astra Linux、ALT Linux 那种“被制裁”的命运。但 Igor Sysoev——一个在俄罗斯长大的工程师,写了世界部署最广的 web 服务器之一——他不能再在俄罗斯做这个项目了。

ClickHouse 是另一个“逃离俄罗斯”的故事。

ClickHouse 是一个 column-oriented 分析数据库——为大数据 OLAP 工作负载优化。它的创建者 Alexey Milovidov 2009 年在 Yandex 写下第一行代码。当时 Yandex 需要一个能快速分析点击流的数据库——传统 MySQL/Oracle 不行,开源 Hadoop 太慢。Milovidov 和他的团队写了 ClickHouse,作为 Yandex 内部工具6

2016 年 Yandex 把 ClickHouse 开源(Apache 2.0 license)。开源后几年,它迅速被全球数据团队采用——Cloudflare、Uber、Bloomberg、阿里、字节跳动都成为重要用户。到 2020 年它已经是全球部署最广的开源分析数据库之一。

但 ClickHouse 仍然由 Yandex 控制。Milovidov 和团队是 Yandex 员工,所有开发资源由 Yandex 提供。2021 年这种状态开始改变。

2021 年 9 月 20 日,Yandex 宣布把 ClickHouse 剥离成独立公司。ClickHouse, Inc. 在 Delaware 注册——美国公司。Milovidov 和团队从 Yandex 离职,换 RSU 为新公司的早期股权,搬到阿姆斯特丹7

公司联合创始人除了 Milovidov 之外是 Yury Izrailevsky(前 Netflix VP)和 Aaron Katz(前 Elastic 业务)。Milovidov 任 CTO,Izrailevsky 管产品和工程,Katz 任 CEO。Series A 融资 5000 万美元,由 Index Ventures 和 Benchmark 主导,Yandex N.V. 等参与8

注意时间。这个剥离 2021 年 9 月完成——俄乌战争前 5 个月。Milovidov 和团队搬到阿姆斯特丹——俄乌战争前几个月。这不是事后诸葛——这是一次相当精确的“主权风险预见”。

2022 年 3 月,俄乌战争升级后,ClickHouse 公司发布了一份公开声明 “We Stand With Ukraine”——表达对乌克兰的支持,谴责俄罗斯入侵9。这种立场对一个起源于 Yandex 的项目来说是个明确的“切割”——ClickHouse Inc. 跟俄罗斯 Yandex 的关联从此被法律和声誉两个维度都最大化分离。

Yandex 本身后来面临制裁——美国在 2022 年对部分 Yandex 子公司施加制裁,欧盟也跟进。但 ClickHouse Inc.(Delaware 美国公司)完全不受影响。它的法律实体已经“美国化”。

这是一个值得记住的范本。如果你是 2020 年俄罗斯科技公司的高管,你预见到俄罗斯被美国制裁加深的风险,你想保护一个具体的开源项目——ClickHouse 给出了一个清晰的策略:剥离 → 美国注册 → 关键人物迁出俄罗斯。这个策略在 2021 年看起来相对昂贵(涉及融资、移民、股权置换),但在 2022 年后被证明是必需的。

NGINX 和 ClickHouse 的故事告诉我们:当国家间冲突升级时,开源项目的法律实体位置成为决定性因素

如果你的项目的法律实体在被制裁的国家,整个项目可能被切断。如果你的项目的法律实体在中立的国家(或者敌对方),你能继续运作。

但还有一种情况:项目根本没有强法律实体。这是 PostgreSQL 的情况。

PostgreSQL 是世界上最重要的关系数据库之一——估计在数百万部署。它的开发由 PostgreSQL Global Development Group (PGDG) 协调——一个非正式的协调机构,没有正式的法律注册。PGDG 包括来自 EnterpriseDB(美国)、Crunchy Data(美国)、2ndQuadrant(已被 EDB 收购)、Postgres Pro(俄罗斯)、NTT(日本)、富士通(日本)等公司的开发者10

PostgreSQL 项目本身没有一个“母公司”。它没有 Linux Foundation 那种集中治理。它的决策通过 mailing list 共识达成。代码版权分散——每个 commit 由作者持有。

这种治理结构有一个有趣的副作用:它让 OFAC 等制裁工具难以适用。OFAC 没法“起诉 PostgreSQL”——因为 PostgreSQL 不是法人。OFAC 可以制裁 Postgres Pro(俄罗斯公司),但不能强制 PostgreSQL 项目本身切断与 Postgres Pro 的关系。

2022 年俄乌战争后,PostgreSQL 社区面对了一种独特的处境。Postgres Pro 是俄罗斯最大的 PostgreSQL 服务商,在莫斯科。它的公司材料在 2014 年和 2022 年都公开支持俄罗斯立场——“反对腐烂的西方产品”、“赞美原生俄罗斯 DBMS”。它给 Gazprom、State Treasury、Russian Ministry of Defense 等签合同11

如果 PostgreSQL 像 Linux 那样有美国注册基金会,那么 2024 年大概率会进行类似的“删除俄籍 maintainer”事件。但 PostgreSQL 没有。所以发生的是社区压力,而不是法律驱动的清理。

2024 年 PGDay UK 在英国举办,邀请了 Postgres Pro 的演讲者。一位社区成员在 Change.org 发起请愿,要求取消邀请——理由是 Postgres Pro 与俄罗斯军方的合同关系12。请愿获得相当数量签名。最终演讲被取消。Postgres Pro 演讲者没有出现在会议上。

这不是法律驱动——这是社区压力。它的效果跟 Linux 删除 11 人有些相似(具体俄罗斯关联开发者被排除),但机制完全不同。Linux 是基金会强制;PostgreSQL 是社区自决。

Bruce Momjian——PostgreSQL Core Team 创始成员之一——在 2022 年 Percona Community 播客采访中谈过这种张力:

“We have a lot of contributors from Russia. Many of them have been with us for many, many years. Most of them, when this war started, were privately devastated. Some of them, we even know personally that they oppose the war. But they can’t say it publicly because they live in Russia.”13

Momjian 的态度反映了 PostgreSQL 社区的主流——区分公司与个人,区分立场与处境,避免一刀切。这种“软约束”在 2024 年没有发生像 Linux 那样的硬清理——但隐性边缘化仍然存在。俄籍 contributor 在 mailing list 上的影响力明显下降;部分新功能开发由非俄籍 committers 接手。

PostgreSQL 没有美国注册基金会的好处:它不受 OFAC 直接约束。但它的代价:它失去了 Linux Foundation 那种集中协调能力。当一个跨国冲突升级时,它能做的只是社区压力——慢、不一致、有争议。

PyTorch 走了完全相反的路径——从企业项目主动迁到基金会。

PyTorch 起源于 Facebook AI Research (FAIR) 2016 年的内部项目。它在 2017 年开源,迅速成为机器学习社区的主流深度学习框架——与 Google 的 TensorFlow 平分天下。到 2022 年,PyTorch 在学术界已经压倒性占优——绝大多数 AI 论文使用 PyTorch14

但 PyTorch 仍然是 Meta 的项目。所有 PyTorch 核心开发者基本是 Meta 员工。PyTorch 的方向决定权在 Meta。PyTorch 的法律实体是 Meta。

2022 年 9 月 12 日,Meta 宣布把 PyTorch 转给 Linux Foundation——成立新的 PyTorch Foundation,由 Linux Foundation 旗下运作。创始成员包括 AMD、AWS、Google Cloud、Meta、Microsoft Azure、NVIDIA——基本是所有主要云厂商15

Meta 在公告里给的理由是 “neutral home”——中立家园。PyTorch 已经太大了,不能继续被一家公司控制;它需要中立治理。Linux Foundation 是这种中立治理的标准框架16

但 Meta 的转移决定有更深的逻辑。在 2022 年这个时刻:

  • 美中竞争加剧
  • AI 成为最重要的“战略技术”之一
  • 中国 AI 开发者在大规模采用 PyTorch
  • 如果 PyTorch 仍然是 Meta 私有项目,Meta 可能被强制限制中国使用——这会切断 Meta 与中国 AI 生态的关系
  • 把 PyTorch 转给 Linux Foundation 之后,Meta 仍然是核心贡献者,但不再是唯一决定者——这给了 PyTorch 一定的政治缓冲

读到这里要承认:这是我对 Meta 决策的合理推测,不是从内部材料证实的。Meta 公开的理由是“中立治理”。但时间点(2022 年 9 月,俄乌战争 7 个月后,美中 AI 竞争升级中)让“主权风险管理”这个解读相当 plausible。

Linux Foundation 接手 PyTorch 之后,治理变得更复杂。Linux Foundation 是美国 501(c)(6)——它必须遵守 OFAC。所以 PyTorch 仍然在美国法律框架下。但多家成员公司共同治理比单一公司决定有更多缓冲——如果美国想强制限制中国使用 PyTorch,必须穿过 Linux Foundation + 多家成员的集体决策17

到 2026 年初,PyTorch 仍然是全球最重要的 AI 框架。中国 AI 公司——百度、阿里、字节跳动、DeepSeek——都在大规模使用。这种“全球性”在 PyTorch 还是 Meta 私有时较脆弱;现在 PyTorch 是 Linux Foundation 基金会项目,相对更有结构性保护。

Apache Software Foundation 是另一种地缘画像——它在某种意义上是“最国际化”的开源基金会,但它的核心法律实体仍然在美国。

Apache 1999 年成立。它在 Delaware 注册为 501(c)(3) 慈善机构。它的旗舰项目最初是 Apache HTTP Server,后来扩展到几百个项目——Hadoop、Kafka、Spark、Cassandra、Tomcat 等。多数这些项目跟全球大数据 + 云计算 + 企业 IT 紧密关联18

到 2020 年代,Apache 的中国主导项目数量显著增加。几个突出的:

  • Apache Doris(前 Palo):百度开源的 MPP 数据库,2022 年 6 月成为 Top-Level Project
  • Apache DolphinScheduler:易观(Analysys)创建,2017 年开源,2021 年 4 月成为 TLP
  • Apache SeaTunnel:中国社区主导的数据集成工具,2023 年 5 月成为 TLP
  • Apache StreamPark:中国创建的流处理平台
  • Apache ShardingSphere:SphereEx(北京)主导的分布式数据库
  • Apache InLong:腾讯创建的数据集成平台
  • Apache Linkis:微众银行创建的数据中间件
  • Apache IoTDB:清华大学创建的物联网时序数据库19

这种“中国项目在美国基金会下毕业”是个独特现象。它跟 OpenAtom 路径形成对比——同样是中国创建的开源项目,可以选 OpenAtom(中国基金会)或 Apache(美国基金会)。两种选择各有利弊:

  • Apache 选择:更国际化、更受全球认可、容易获得全球贡献者;但暴露在 OFAC 风险下
  • OpenAtom 选择:更受国内市场认可、易获中国资金支持;但国际影响力受限

到 2026 年,两种选择都在继续。一些中国公司选 Apache(追求国际化),一些选 OpenAtom(追求国内主导)。少数选两边都做(同一公司不同项目走不同路径)。

Apache 没有像 Linux Foundation 那样进行俄籍/中籍 maintainer 的合规清理。原因是:Apache 项目的中国/俄罗斯主导项目较少有与 SDN list 实体的强关联——例如 Doris、SeaTunnel 等的主要 contributors 多数是大学或非制裁公司的工程师。如果将来有强关联的中国/俄罗斯 contributor 进入核心 PMC,Apache 是否会跟 Linux 一样进行清理——这是个 open question。Apache 当然受 OFAC 约束(它是美国 501(c)(3)),但它至今没有触发 trigger 条件20

Tor Project 是这个章节里政治讽刺最深的项目。

Tor(The Onion Router)是匿名通信工具——它通过多层加密 + 多跳路由让用户的网络流量难以被追踪。它被全球异见人士、记者、活动家、安全研究员广泛使用。它是 surveillance state 的天然对立面21

但 Tor Project(管理 Tor 软件的非营利机构)的资助结构有一个让人不舒服的事实:美国政府是它最大的资助者

具体数字:2023-2024 财年,Tor Project 总营收 $7.28 million。其中:

  • 美国国务院 Bureau of Democracy, Human Rights, and Labor (DRL) 提供 $2.12 million——29.1%
  • Open Technology Fund (OTF) 提供 $340,681——4.7%
  • 加起来,美国政府资助占 35%22

OTF 本身是美国国会拨款资助的项目——目标是“促进互联网自由”。它资助 Tor、Signal、Tails 等隐私技术。从美国政府的角度,资助 Tor 是为了让美国对外宣传“互联网自由”的工具能继续运作——尤其是用于绕开中国、伊朗、俄罗斯等国家的网络封锁。

讽刺的部分:这些被资助的工具最大用户群正在成为反美国监控的群体。Tor 被全球反 NSA 监控的活动家使用。它被记者用来保护源。它在 Snowden 之后的全球加密运动中是核心工具。美国政府一方面发起 PRISM 项目监控全球;另一方面又资助让人能逃避 PRISM 的工具23

这种矛盾不是 bug——是 feature。美国国务院和 NSA 在不同部门有不同议程。国务院想推广“互联网自由”作为软实力工具;NSA 想做全球 SIGINT。这两个议程经常冲突,但都是美国国家利益的一部分。Tor 在两者之间。

Tor Project 自己长期试图减少对美国政府的依赖。它的目标是把美国政府资助比例降到 50% 以下(已经做到——35% 在 2023-2024)。它从各国基金会、个人捐款、其他政府(瑞典、德国等)获得越来越多资助24。但完全去美国化对 Tor 来说仍然是个长期任务。

Tor 的存在本身证明了开源运动的一个张力:一个旨在反对国家监控的项目,可能在结构上仍然受国家资助。这种张力没有简单解。Tor 拒绝美国资助就会衰弱;Tor 接受美国资助就有隐性影响力风险。它选择了“接受 + 透明 + 多元化”的策略——所有资助公开,努力多元化资助源。

RISC-V International 走了“中立避险”路线。

我们在第 1 章已经提过它 2019 年 11 月从 Delaware 迁到瑞士的决定。这里需要细看这个决定的具体含义。

RISC-V 是开放指令集架构(ISA)。它的设计目标是让任何人都能实现遵循 RISC-V 标准的 CPU——不需要付授权费给任何公司。这跟 ARM(英国公司,但有美国技术依赖)和 x86(Intel + AMD 双头垄断)形成对比25

RISC-V Foundation 2015 年在 Delaware 成立。Delaware 注册是美国法律实体——这意味着它受美国出口管制约束。2019 年的时候这个状态变成问题:中国公司大规模采用 RISC-V(看到它作为绕开美国半导体管制的路径),美国国会有声音要求把 RISC-V 列入管制清单。

RISC-V Foundation 的董事会做了一个相对快速的决定:迁瑞士。2019 年 11 月,基金会改名 RISC-V International,重新注册为瑞士非营利26

这个决定的逻辑:

  • 瑞士是国际中立国,不参与美国出口管制体系
  • 瑞士法律保护“标准化组织”的多边性
  • 美国政府不能强制瑞士基金会做特定决定
  • 这给了 RISC-V 一个“主权避险点”

但这个避险不是完美的。RISC-V Foundation 自己迁到瑞士,但它的成员公司(包括 Intel、Google、Western Digital 等美国公司)仍然受各自国家法律管辖。如果美国想要限制 RISC-V 在中国的使用,它可以通过限制美国成员的参与来达到效果——而不必直接管辖瑞士基金会。

这正是 2024 年开始发生的事。美国商务部对中国使用 RISC-V 展开调查(2024-04),一些美国国会议员提议限制美国公司在 RISC-V 工作组中与中国实体合作。如果这种立法通过,RISC-V Foundation 在瑞士的中立性会被部分穿透——通过限制美国成员的活动来达到管辖效果27

把这些项目放在一起,能看到几种典型的“地缘画像”:

项目法律实体主要风险应对策略
Linux美国 LFOFAC 穿透接受合规清理
NGINX美国 F5(前俄罗斯)俄罗斯司法穿透主权迁移
ClickHouse美国 Delaware(前俄罗斯 Yandex)同上主权迁移 + 公开切割
PostgreSQL无强法律实体(PGDG)社区压力软约束、隐性边缘化
PyTorch美国 LF(前 Meta)美国施压 Meta中立化到基金会
Apache 项目美国 ASF受 OFAC(未触发)等待 trigger
OpenAtom 项目中国 OpenAtom中国合规 + 国际化弱国内市场
Astra Linux俄罗斯 RusBITech西方制裁国内 + 国防
Tor美国非营利资助来源单一多元化资助
RISC-V瑞士非营利美国成员被限制中立避险

每个项目的位置决定了它的可达性、可用性、可贡献性。一个伊朗开发者可以贡献到 Apache 项目(暂时未触发 OFAC trigger),但不能贡献到 Linux maintainers 名单(被 OFAC 穿透)。一个中国开发者可以使用 PyTorch(暂时未限制),但可能在未来某天面对“中国 AI 公司不能使用 PyTorch”的要求。

这种“项目级别的地缘画像”在 2014 年之前不存在。当时开源项目主要按技术 stack 划分——web 服务器、数据库、操作系统等。今天它们额外按法律实体地理位置、暴露风险、主权策略划分。

读到这里有人可能会问:为什么有些项目主动迁移(ClickHouse、RISC-V),有些被迫迁移(NGINX),有些没法迁移(PostgreSQL)?

简单的回答是:取决于项目的资本结构和创建者意愿

ClickHouse 有 Yandex 作为资源后盾——Yandex 能支持把核心团队迁到阿姆斯特丹、做股权重组、找美国 VC 投资。这是一次昂贵但可执行的操作。

NGINX 没有 Yandex 那种资源后盾——Sysoev 个人创业。但 F5 的收购给了它“被迁移”的路径。F5 付钱,问题解决——只是 Sysoev 个人失去了对项目的控制。

PostgreSQL 是真正去中心化的——没有单一实体能“决定迁移”。所有 contributor 都是独立的,分散在不同公司。没有人能代表 PostgreSQL 做迁移决定。

RISC-V 是个标准化组织——它的决定由董事会做,需要成员国共识。瑞士迁移是个集体决定,对所有成员都有利。

这给了开源治理一个新的维度:项目的治理结构决定它的主权应对能力

  • 紧凑治理(一个核心团队 + 创业公司)→ 可以快速主权迁移
  • 中心化基金会(Linux Foundation、Apache)→ 受基金会注册地法律约束
  • 去中心化社区(PostgreSQL、Debian)→ 不能集中决定但也较难被穿透
  • 中立性平台(RISC-V International)→ 可以选择避险但需要主动维护中立性

读懂这个,能看到开源未来主权博弈的可能形态。如果你创立一个新的开源项目,你的治理选择不只是“技术决定”——它也是“主权暴露选择”。

最后回到 Igor Sysoev。

他是世界上让 web scale 的核心工程师之一。他写的 NGINX 让全球几亿网站能高效运行。他在莫斯科起家,1996-2018 期间用俄罗斯本土资源建立了一个全球性开源项目。但 2019 年之后,他在 F5 工作了几年,然后离开。他没有公开抱怨。但他个人不再是 NGINX 项目的领导者——这个项目从此由 F5(一家美国公司)管理。

Sysoev 现在在做什么——公开材料里没说。他不写 blog,不上 LinkedIn,不接受采访。一个被全球依赖的项目的创始人,从主舞台上消失。这件事的具体细节我们不知道;只能猜测——可能是他对项目美国化的态度,可能是他想做新项目,可能是各种私人原因。

但他这个角色的“消失”本身是个故事。

20 年前,开源运动的关键人物——Stallman、Linus、Behlendorf——都在主舞台上。他们参加大会,写博客,做演讲。他们公开自己的观点。开源是个有面孔的运动。

今天,多数关键 maintainer 不在主舞台上。Lasse Collin 不接受采访。Andres Freund 强调自己只是性能工程师。Daniel Stenberg 关掉 bug bounty 以保护心理健康。Igor Sysoev 从公众视野消失。这些人都是开源生态实际运转的人——但他们都在退到幕后。

为什么?因为主舞台变得不友好。当开源项目卷入国家间冲突时,公众角色变成负担。每一次公开发言可能被解读为政治站队。每一个 commit 可能被审视寻找隐藏含义。每一个 maintainer 可能被国家级行为者 target。

这是 2024 年后开源世界的一个少被注意的变化:它的核心人物在“去公众化”。他们仍然写代码,仍然维护项目,但他们越来越少出现在媒体、大会、公共讨论中。开源运动失去了它的“明星制”——剩下的是一群在幕后默默工作的工程师,承担越来越多的压力。

下一章我们要看的是这种压力如何被“标准化”——SBOM、SLSA、Sigstore、CRA、Reproducible Builds——这些试图让开源供应链可验证的工具和法律。它们试图把“可信任性”从个人转移到流程,但它们也制造了新的合规分裂。

References

  1. F5 Networks press release 2019-03: F5 Acquires NGINX. Link →

  2. HackMag: “The Origins of Nginx: Igor Sysoev on Building the Iconic High-Performance Web Server”. Link →

  3. Wikipedia: NGINX. 项目起源与公司成立的时间线。

  4. Netcraft 2018-2019 Web Server Surveys. NGINX 在高流量网站的部署比例。

  5. The Register 2019-12: 关于莫斯科 NGINX 办公室被搜查的报道。Rambler 起诉细节。Link →

  6. Wikipedia: ClickHouse. 包括 Alexey Milovidov 2009 起源描述。Link →

  7. Yandex press release 2021-09-20: “Yandex Spins Off ClickHouse into Standalone Company”. Link →

  8. BigDATAwire: “Speedy Column-Store ClickHouse Spins Out from Yandex, Raises $50M”. Link →

  9. ClickHouse blog 2022-03: “We Stand With Ukraine”. Link →

  10. PostgreSQL Global Development Group 官方页面。治理结构描述。

  11. Percona Community Podcast 68: 关于 Postgres Pro 2014 和 2022 立场的描述。Link →

  12. Change.org petition: “Request for the Removal of Postgres Professional from PGDAY UK 2024 - Poland”. Link →

  13. Bruce Momjian 在 Percona Community Podcast 68 的引述。

  14. PyTorch Wikipedia / 官方历史。FAIR 2016 创建。

  15. Linux Foundation press 2022-09-12: “Meta Transitions PyTorch to the Linux Foundation”. Link →

  16. Meta blog 2022-09: “Announcing the PyTorch Foundation”. Link →

  17. PyTorch Foundation: The First Six Months(2023 年中报告)。Link →

  18. Apache Software Foundation 官方历史与项目列表。

  19. 多个 Apache TLP 公告:Apache SeaTunnel 2023-05、Apache DolphinScheduler 2021-04 等。SeaTunnel link → DolphinScheduler link →

  20. Apache 治理与法律合规相关讨论。Apache 至 2026-05 没有进行类似 Linux 的 maintainer 清理。

  21. Wikipedia: The Tor Project. Link →

  22. Tor Project blog: “Transparency, Openness, and Our 2023-2024 Financials”. Link →

  23. Wikipedia: Open Technology Fund. 美国国会拨款资助项目的历史。Link →

  24. CyberInsider: “Tor Project received $2.5M from the US government to bolster privacy”. 包括 Tor 努力多元化资助的描述。Link →

  25. Wikipedia: RISC-V. ISA 设计与开放标准描述。

  26. The Register 2019-11-26: “RISC-V business: Tech foundation moving to Switzerland because of geopolitical concerns”. Link →

  27. The Register 2024-04-24: “US government reportedly probes China’s use of RISC-V”. Link →

  28. Center for Security and Emerging Technology (CSET): “RISC-V: What it is and Why it Matters”. Link →

  29. EnterpriseDB: “Postgres Rising in Russia”. 关于 PostgreSQL 在俄罗斯的应用增长。Link →

  30. Index Ventures: “The Fast and the Furious: How ClickHouse, the World’s Fastest Open Source Database”. 关于 ClickHouse 商业化的资本视角。Link →