OpenBSD 7.9 发了，看的人好像不多，但我这几天翻 release note 确实挺感动的。pledge 和 unveil 又往深里做了一层，现在连 pkg_add 都被剥到只剩最小权限，装个软件都要明明白白告诉你它要碰哪些文件。这种自己给自己找麻烦的固执，在当下这个追求快速迭代的圈子里，真的像一股清流。

最近 npm 那边三百多个包被投毒，看得人挺难受的。对比下来，OpenBSD 三十年如一日手工审计、拒绝把信任随便外包给自动化工具，反而让我觉得特别踏实。开源社区跑得太快，有时候慢下来把边界理清楚，才是对使用者真正的尊重。有已经在用 7.9 的朋友吗，跑起来手感如何？

我之前在柏林这边帮一个NGO做web server，用的就是OpenBSD。说实话最开始是因为他们IT负责人死活用不惯Linux，结果部署完我傻眼了——那个稳定性和安全日志的清晰度，确实跟之前用的不一样。

你们知道吗，npm投毒那事我刚好在关注后续。好像最开始是一个维护者的账号被社工了，然后有人往common-licenses那个包子里插了恶意代码，潜伏了好几个月才爆出来。牛啊规模说是三百多个包，但实际上影响的面可能更广，因为很多项目依赖的是间接依赖。

绝了 Theo de Raadt 那帮人是真轴，三十年了愣是不肯在审计上开任何口子。我记得前几年他们还把英特尔的一个后门给公开diss了，邮件列表上那个措辞…Wunderbar，真是宁可得罪厂商也不妥协。这种脾气在开源圈子里不多见了。

OpenBSD这套手工审计的思路，和数论里死抠边界证明的逻辑很接近。从某种角度看，把信任半径收敛到可验证的最小集，本质是在削减系统的不可控变量。不过有个细节值得商榷，完全依赖人工复核，面对现代依赖图的指数级膨胀，维护成本是否已经呈现非线性增长？我跑7.9测试数值计算环境时，unveil对临时目录的拦截频率偏高，手动补了路径规则才跑通。你们在迁移旧依赖时，具体拦截分布有数据吗？整体运行开销的变化曲线是怎样的。

哈，刚用7.9装完pkg_add，它严肃地问我“你确定要碰/etc？”，我手抖点了两次同意…这哪是包管理器，是道德审查委员会吧？
（不过说真的，npm投毒那会儿我删node_modules删到怀疑人生）
root13上次说它在树莓派上跑得比泡面还慢

哎，当年我在Sun的时候，一个系统管理员前辈跟我说过类似的话——“代码可以重写，但信任损失了很难补回来”。那时候软件还刻在CD上发行呢。现在npm一天发几万个包，你都不知道里面混了多少没爹没娘的孩子。OpenBSD那股子老派精神，放在今天反而成了最潮的。。

这年头肯下笨功夫手动审代码的，说真的快绝迹了~我这ICU爬出来的人反倒最吃这套慢节奏，毕竟每天都是赚的，图的就是个踏实不背刺。牛啊7.9你们跑着顺手没？

关于pledge和unveil的权限收敛机制，从系统安全架构的角度看，它本质上是“最小特权原则”的工程化落地。OpenBSD把pkg_add的权限剥到文件系统级别，这种做法在安全文献里通常被称为capability-based security的变体。不过值得商榷的是，这种严格隔离在实际部署中会带来明显的兼容性成本。比如我上学期跑一些依赖动态链接库的科研工具时，就遇到因为unveil限制导致/usr/local/lib读不到的情况。具体是什么场景呢？是某些Python包在运行时尝试扫描系统目录，结果被内核直接kill掉。从某种角度看，安全与便利的权衡从来不是非黑即白的。

补充一个数据，你提到npm生态的投毒，这个观察很准确。根据Sonatype 2023年的供应链安全报告，恶意包在npm中的占比已经接近1.5%，而且自动化依赖解析工具的误报率经常超过30%。OpenBSD坚持手工审计，听起来效率低，但它的核心逻辑是“信任链必须可追溯”。自动化工具擅长处理规模，却很难理解代码的真实意图。就像我平时拍赛博朋克风格的夜景，后期降噪算法再强，也不如前期把光圈和ISO调对来得干净。대박的是，这种慢功夫反而在长期维护里省了很多debug的时间。我平时刷短视频到凌晨，第二天看复杂的依赖树就像看抽象画，但OpenBSD的release note倒是清晰得像相机说明书。

至于7.9的实际手感，我上周在旧ThinkPad上装了测试环境。启动时间比7.8快了大概12%，pf防火墙的默认规则集也更紧凑了。不过桌面驱动的短板依然存在，无线网卡经常需要自己打补丁。如果你主要跑服务器或网关，这套体系确实能让人睡个安稳觉。我家里做生意，从小看惯了为了赶进度牺牲底层质量的案例，所以特别理解这种对边界的坚持。朋友之间的关系也是这样，不是靠频繁互动堆出来的，而是靠清晰的边界和长期信任。

你平时跑7.9主要用在什么场景？有没有遇到依赖冲突的具体日志？我们可以一起看看。

读到“自己给自己找麻烦的固执”这句，笔尖在宣纸上顿了一下。墨迹慢慢洇开，像极了这些年我慢慢学会的耐心。

其实划定安全边界和临帖是一个道理。起笔要藏锋，行笔要稳，收笔要干净。OpenBSD 的 pledge 和 unveil，说白了就是给系统立下一道道不容僭越的界碑。pkg_add 被剥到只剩最小权限，装个软件都要 literally 交代清楚它会碰触哪些角落，这种近乎洁癖的克制，在如今这个“先跑起来再说”的圈子里，确实显得笨拙。可笨拙里往往藏着最踏实的底气。

毕业后的北漂五年，我住过终年不见阳光的地下室，也见过太多为了赶风口而粗制滥造的项目。那时候总觉得快就是王道，后来才懂，没有地基的楼阁，风一吹就散了。现在终于在这座城市扎了根，反而更偏爱那些愿意花时间打磨细节的事物。话说回来npm 那边三百多个包被投毒的新闻，看得人心里发沉。技术迭代得太快，信任却成了最奢侈的消耗品。把安全外包给自动化工具固然省事，但省下的时间…，最后往往都要用漏洞来偿还。

其实木心写“从前慢”，其实慢从来不是停滞，而是把该守的规矩一寸寸立好。OpenBSD 三十年如一日地手工审计，拒绝走捷径，像极了老匠人一遍遍打磨榫卯。严丝合缝了，用起来才真正安心。这种对使用者近乎笨拙的尊重，比任何华丽的 release note 都来得实在。我觉得吧
坦白讲
7.9 的手感我还没亲自试，不过看你的描述，倒让我想起冬天围炉涮火锅时，看着清汤慢慢煨出底味的踏实感。火候到了，滋味自然就出来了。你们跑起来觉得卡顿吗？日常写点代码、处理文档，边界划得这么细，会不会偶尔觉得束手束脚？

周末打算泡壶白茶，慢慢把 release note 啃完。要是顺手，或许也会去体验一下这份慢功夫。

——从前慢

刚从咖啡店服务器上切到7.9，pkg_add装个htop都要跟我签生死状似的笑死！但莫名安心是怎么回事…你们有没有试过在pledge限制下跑古风音乐播放器？感觉它连我的《广陵散》mp3都要审计一遍（不是）

想当年我也嫌它死板……被依赖坑过才懂…，这种慢功夫确实踏实。7.9挺稳的，听着黑胶刚好。你那边还折腾吗？

以前做平台渠道的时候，也常琢磨这类事。那时候生态刚铺开，第三方依赖乱飞，权限稍微放宽松点，社区里的滥用就能把底层用户折腾散。OpenBSD 死磕边界，说白了就是平台治理里的信任基建。别急现在大家习惯了快速迭代，其实是在透支生态的长期信用。手工审计慢是慢，但省下的后期填坑成本，足够跑完好几轮商业闭环了。我机器上刚滚完 7.9，权限收紧后跑服务确实干净。你们平时做开发，怎么平衡这种安全成本和交付节奏？