网友:“这就是开源丑陋的一面”
由 Apache Log4j2 揭示的开源项目维护者艰难处境的问题 , 在网络上引起了轩然大波 。
有人 怀疑这只是项目维护者推脱的理由:
“如果他们得到报酬 , 他们会写出更好的代码吗?荒谬!”
也有人 为项目维护者打抱不平:
“也许不会 , 但至少有一些补偿可以让他们忍受那些免费使用他们的软件并在软件损坏时受到无尽抱怨的吃力不讨好 。 要知道 ,自由软件的全部意义在于您拥有源代码并且可以自由地自行修复它 。 ”
也有人 感慨这就是开源的现状:
“不幸的是 , 这就是开源丑陋的一面 。 当项目顺利进行时 , 一切都很好 。 但是当项目出问题了 , 每个人都会抱怨 。 可笑的是 , 通常抱怨最多的人贡献最少 , 这就导致 那些拥有一些世界上最常用项目的才华横溢的开发人员 , 几乎没有得到认可 。 ”
专家:安全漏洞无法避免
针对这场争议 , CSDN 也向几位开源领域的专家询问了对此事的看法 。
开源社理事长庄表伟指出 , 软件出现 Bug、漏洞或者安全风险 , 本质上是一个技术问题 , 无法避免 , 只能尽快修复 。 而随着软件世界使用的开源软件越来越多 , 引入的风险就会不断增加 , 同时一款开源软件被使用的范围越来越广 , 这款开源软件出现漏洞所造成的损失也会不断增大 。
庄表伟认为需要明确的一点是: 遇到大型开源漏洞事件 , 就去讨论“该不该给开源软件捐钱” , 有些本末倒置 。
Apache 软件基金会董事、Apache SkyWalking 创始人吴晟则指出 , Apache Log4j2 等部分底层技术的开源项目无法直接进行商业相关活动 , 因此很难长时间收到大量的捐款及资助 , 这也是开源软件的性质使然 。 但需要注意的是 , 这与漏洞本身并没有逻辑上的关系:“心情可以理解 , 但确实不是这个道理 。 ”
他表示 , 此次 Apache Log4j2 的 Bug 是一个很明显的安全漏洞 , 但也是多维度原因造成的 , 包括 log4j 2 默认打开了JNDI , 以及 JVM 是否也打开了JNDI 参数等 。 而安全漏洞其实每天都有很多 , 这次是因为 Apache Log4j 2 的适用范围广、漏洞注入简单才有了广泛的报道 , 因为即便是强大的操作系统如 Linux、甚至是商业项目 Windows 都被发现有很多安全漏洞 。 吴晟补充道:“Apache Log4j 建于 2003 年 , 一个快 20 年、几乎和 Apache 基金会同岁的项目 , 其持续性和持续参与都是已经被时间证明过的 。我觉得大家更多应该思考怎么看待开源 , 怎么去 Follow 开源社区以及参与开源 。 ”
SphereEx CEO、Apache ShardingSphere PMC Chair 张亮认为 ,能够长久坚持的开源项目维护者大多有开源情怀 , 和赞助人多少没有直接关系 。 而开源项目由于源码公开 , 难免会存在安全漏洞 , 此时那些所谓“白嫖”的公司有责任修复他们自己的业务代码 , 没有为 log4j2 社区负责的责任 , 但同样地 , 他们也无权向 log4j2 社区追责 。如果要追责 , 此次用非合规手段爆出安全漏洞的公司和团队 , 应负有不可推卸的责任 。
推荐阅读
- 快报|“他,是能成就导师的学生”
- 技术|“2”类医械有重大进展:神经介入产品井喷、基因测序弯道超车
- bug|这款小工具让你的Win10用上“Win11亚克力半透明菜单”
- 重大进展|“2”类医械有重大进展:神经介入产品井喷、基因测序弯道超车
- 历史|科普:詹姆斯·韦布空间望远镜——探索宇宙历史的“深空巨镜”
- 空间|(科技)科普:詹姆斯·韦布空间望远镜——探索宇宙历史的“深空巨镜”
- 精度|将建模速率提升10倍,消费级3D扫描仪Magic Swift在2021高交会大显“身手”
- 四平|智慧城市“奥斯卡”揭晓!祝贺柯桥客户荣获2021世界智慧城市治理大奖
- |南安市司法局“加减乘除” 打造最优法治营商环境
- ASUS|华硕预热ROG Flow Z13:称其是“全球最强悍的游戏平板”