易坊好文馆

  1. 首页 > 玩科技 >

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!( 二 )

用户 项目 工作 影响 漏洞 史诗 log Apache Log4 Curl 维护者 Babel


没有 , 几乎没有 。 从 Cryptogopher+Go 团队安全负责人 Filippo Valsorda 在推特上发布的截图来看 , 在本次事件发酵之前 , 赞助 Apache Log4j2 项目的只有 3 人—— 一个应用于整个互联网行业“半壁江山”的开源项目 , 只有 3 个人赞助 。

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

不仅如此 , 据网络安全采访人员 Catalin Cimpanu 表示 , Apache Log4j2 主要是由三名志愿者在他们的业余时间进行维护工作的 。

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

对此 , Filippo Valsorda 不禁发推呼吁:
“这就是修复了导致数百万美元损失的漏洞的维护者:‘ 我在业余时间维护 Log4j’、 ‘一直梦想全职做开源’、‘ 只有 3 个人在资助 Ralph Goers(Apache Log4j2 项目创始人)’ 。 人们 , 我们正在做什么啊?”

Log|开源“白嫖”遇上史诗级漏洞,Log4j 背后的开源人!
文章图片

所幸 ,截至发稿 , 项目赞助者已增至 63 人 。
被“白嫖”的项目比比皆是
除了 Apache Log4j2 , 还有许多开源项目也陷于类似处境 。

  • Babel
Babel 是一个用于 Java 的通用多用途编译器 , 开发者通过 Babel 可以使用(或创建)下一代的 Java 以及 Java 工具 , 许多主要框架(React , Vue , Ember , Polymer)以及著名公司(Facebook , Netflix , Airbnb)都是 Babel 的用户 。
可就是这样一个影响深远的开源项目 ,却依旧陷入了财务危机 :今年 5 月 Babel 宣布 , 由于花钱速度持续高于获取捐赠的速度 , Babel 已经陷入了财务困境 , 当前剩余的资金将很快被用完 , 该项目储备资金目前只够维持到 2021 年底 。
  • Curl
今年 11 月 , 有用户向苹果请求更新 macOS 12 中与 Curl 有关的信息 , 结果苹果直接回复用户让他自行联系 Curl , 并提供了 Curl 的帮助页面地址 。
此事引发开源项目 Curl 创始人 Daniel Stenberg 极度不满 , 直接怼了一通 :“想象一下 , 一家市值万亿美元的公司将各种开源组件组合在一起 , 每年可从中获利数十亿美元 。 当用户就其提供的产品寻求帮助的时候 , 这家公司反而将用户推给开源项目 。 这个开源项目是志愿者运营和维护的 , 而这家公司(苹果)从没有赞助过一分钱 。 ”
需要明确的是 , Daniel Stenberg 只是针对苹果利用 Curl 获利并将用户需求推给 Curl 的做法感到不满 , 他选择将 Curl 免费开源时也并非是为了挣钱 , 而是“曾在开源中受益匪浅 , 因此想通过开源的方式回馈给开源世界 , 让世界变得越来越美好 。 ”

推荐阅读


上一篇:硬件|适用于英特尔第12代处理器的亲民主板H670/B660/H610即将上市

下一篇:行星|嫦娥五号首批样品中隐藏的月球密码