共计 3985 个字符,预计需要花费 10 分钟才能阅读完成。
作者 | Paul Sawers
编译 | 李磊
导语:2021 年,开源首次被列入「十四五布局」,代码托管平台 Gitlab 上市、OpenHarmony 开源、CentOS 8 进行保护……从国家到集体,从商业到生存,开源愈发粗浅地扭转着咱们的世界。2021 年,开源圈产生了一些值得回顾和思考、意义重大的开源事件,本文将对其进行细数盘点。
PART ONE
Log4Shell,有史以来最大的安全漏洞
平安向来都是开源畛域探讨的重点,2021 年也不例外。要论 2021 年开源圈最大的安全漏洞,肯定是 Log4j 日志框架中的 Log4Shell 破绽。国内外少量 To C 和 To B 的公司,如苹果、腾讯、京东、网易、AWS、IBM、深服气等都在应用 Log4j,因此也都在本次破绽事件中受到了 Log4Shell 的影响。
Log4Shell 破绽早在 2013 年就已存在,直到去年 11 月底才被阿里巴巴的平安人员发现,并在两周后公开破绽细节。Log4Shell 破绽反对近程操控,并容许拜访敏感数据,因而它被 Apache 软件基金会认定为重大等级最高的 10 级,网络安全公司 Tenable 将其形容为「有史以来最大、最重大的破绽」。
2021 年 12 月 6 日,Apache 团队公布了 Log4Shell 破绽的修复程序,但因为 Log4j 在云服务、软件根底及各行各业中的宽泛应用,不少公司无奈在第一工夫更新零碎,甚至不晓得他们的软件应用了 Log4j。于是,黑客利用 Log4Shell 攻打这些小公司,并以勒索软件的形式不断扩大影响范畴。
Log4Shell 破绽事件给了技术圈上了重要的一课,正如 Reblaze 的开源项目经理 Justin Dorfman 所说:
「这件事裸露了一点:在基础设施代码中,看起来毫不起眼的破绽,足以威逼银行、科技公司、政府和任何组织的平安。」
在 Log4Shell 破绽事件后,不少人认为,平安问题是社区驱动型软件的人造缺点,这也是大家对开源的固有印象。反驳的声音则认为,技术公司从开源中受害,蓬勃发展,但却不回馈给开源任何奉献,只是在呈现问题后将锋芒指向开源。
暂且不管这两种观点的对错,一个更值得咱们思考的信息是:作为 Log4j 我的项目的外围维护者之一,也是修复此次破绽的工程师——Ralph Goers,有着一份软件架构师的全职工作,只是在业余时间从事「Log4j 和其余开源我的项目」。
PART TWO
谜之许可:
Elastic 起诉亚马逊,SFC 起诉 Vizio
另一个重要话题产生在 2021 年年初,开源社区 Elastic 发表,将来会将其数据库搜索引擎 Elasticsearch 从开源 Apache 2.0 许可证改为采纳 SSPL 和 Elastic License 的双重许可。此举目标是限度云服务提供商在没有回馈的状况下,将 Elasticsearch 作为一项服务提供给别人应用,这背地正是 Elastic 与亚马逊多年的交锋。
作为一个齐全开源的我的项目,任何公司都能够在各种中央自在应用 Elasticsearch。2015 年,亚马逊推出自家的 Elasticsearch 服务,并将其定名为 Amazon Elasticsearch Service,这引发了一系列连锁反应,最终导致 Elastic 将 Elasticsearch(以及 Kibana 可视化仪表板)转移到新的许可证上。
在 Elastic 看来,亚马逊擅自在自家的托管服务名中应用「Elasticsearch」一词,属于显著的商标侵权,并在市面上引发了对于 Elasticsearch 归属权的凌乱,于是 Elastic 在 2019 年起诉亚马逊。
但因为诉讼过程迟缓,Elastic 被动更改许可证,放慢亚马逊远离 Elasticsearch 品牌的步调。这一口头见效了,在 2021 年 9 月,Amazon Elasticsearch Service 更名为 Amazon OpenSearch Service。亚马逊高管也示意,将加紧建设并保护开源 Elasticsearch 与 Kibana 的 ALv2 许可分支。
许可证凌乱的状况在开源畛域随处可见。2021 年 10 月,软件自在爱护协会 SFC 起诉 Vizio,称 Vizio 电视应用的 SmartCast OS 是基于 Linux 开发而来的,而 Linux 受到了 GPLv2 的爱护。依据公共许可证 GPL 协定,任何开发者对源码的任何批改都须要开源,所以 Vizio 应该公开 SmartCast OS 的源代码。
然而 Vizio 回绝恪守该协定要求,并在向加州法院申请撤回案件时示意,消费者在 Copyleft 协定下没有第三方受益权,也就意味着消费者将丢失软件的修复权,无奈在软件呈现问题或 Vizio 进行保护时修复它。
SFC 执行董事凯伦·桑德勒(Karen Sandler)示意:这次诉讼突显了保护消费者权力方面所具备的独特性和历史性。在过来的诉讼中,被告始终是特定 GPL 代码的版权所有者,SFC 心愿通过此次诉讼证实,不仅是版权所有人具备权力,消费者也同样享有该权力。
PART THREE
商标纠纷:
PrestoSQL 更名,OBS 名称风波
商标纠纷并不只存在亚马逊与 Elastic 之间。2021 年 1 月,数据查问引擎 Presto 开创团队发表将 PrestoSQL 更名为 Trino,起因是 Facebook 注册了 Presto 商标。PrestoSQL 是最后的 Presto 创建者在来到 Facebook 时创立的一个分支,因而 PrestoSQL 不能再应用原有的名字。
2012 年 Presto 创始人 Dain、David 和 Martin 退出 Facebook 数据基础设施团队,并创立了 Presto,以解决 Facebook 海量 Hadoop 数据仓库的低提早交互剖析问题,并于 2013 年将 Presto 开源。
2018 年,Facebook 与 Presto 开创团队产生了一致,Presto 开创团队来到 Facebook,成立了 Presto 软件基金会 PSF。Presto 也因而决裂为两个分支:Facebook 主导的 Presto 以及 Presto 软件基金会主导的 PrestoSQL。
2019 年 9 月,Facebook 开始申请注册 Presto 的商标。Presto 开创团队也试图与 Facebook 进行交涉,心愿在持续应用 PrestoSQL 名字的前提下不会对单方社区产生负面的影响。遗憾的是,最初他们无奈造成统一的意见,因而 PrestoSQL 只能更名。
同样的事件也产生在了驰名的开源视频软件 Streamlabs OBS 上。2021 年 11 月,OBS 开源项目组在社交平台示意:
「在 Streamlabs OBS 公布之际,Streamlabs 分割咱们说要用『OBS』这个名字,咱们善意申请他们不要这样做,但他们还是持续用了『OBS』的名字,还偷偷申请注册了一个商标。咱们始终私下分割 Streamlabs 想解决这个问题,然而他们始终不理咱们。
因为 Streamlabs 的产品始终带着『OBS』的字样,连他们的用户都认为『Streamlabs OBS』和咱们的 OBS Studio 是同一个软件,所以常常有困惑的 Streamlabs 的用户找咱们退款。」
就在上个月,网友在抖音海外版 TikTok 新上线的 Live Studio 的桌面流媒体软件中,发现了 OBS 的源代码,而 Live Studio 没有恪守相干的开源许可条款,违反了 GPL 协定。
PART FOUR
开源吞噬火星,Linux 三十而立
因为开源的使用如此宽泛,以至于人们常说「开源吞噬世界」。但在火星上首次飞起直升机之后,这句话变成了「开源正在吞噬太阳系」。
2021 年 2 月,机智号无人直升机乘坐火星探测器毅力号登陆火星,成为有史以来第一架在地球之外的星球航行的直升机。这一历史性成的背地,是一个来自世界各地的「隐形开源团队」。
GitHub 前首席执行官 Nat Friedman 走漏,有大概 12,000 名开发者为机智号搭载的 Linux 零碎做出了奉献,而且这些开发者中,大多数都不晓得他们的代码,帮忙了人类实现第一次火星无人机航行。为了留念这一时刻,GitHub 在每一位奉献了代码的开发者的个人资料上搁置了一个「Mars 2020 Helicopter Mission」徽章。
机智号搭载的操作系统——Linux,于 1991 年 9 月 17 日首次公布,这个无处不在的开源操作系统在 2021 年迎来了 30 岁的生日。
Linux 在整个技术畛域的重要性怎么强调都不为过。世界上应用最宽泛的挪动操作系统——Android,正是基于 Linux 内核的批改版本。从陆上的汽车,到天上的航空交通管制,从医疗设施到 Web 服务器,都有 Linux 的身影。
能够说,过来 30 年来信息世界的倒退,很大水平上是由 Linux 和相似的开源软件推动的。如《时代》周刊所说:Linux 成为了率领一代人走进编程世界的明灯。
PART FIVE
小 结
有成长也有挫折,有播种也有辞别,这是 2021 年的开源畛域产生的事,也是咱们所处的世界正在经验的事。能见证历史是一种侥幸,更有幸的是参加历史,发明本人的价值。
2022 年,咱们置信开源圈将会更加精彩——资本的关注;开源治理、许可标准失去更系统化的器重;开源实际的教训传递得更加疾速……这些或将让开源的局中人开启更大的世界。
参考链接:
2021: A year in open source
Log4Shell – Wikipedia
Elastic vs. AWS highlights open source monetization dilemma
Open-source Vizio lawsuit takes an ugly turn | ZDNet
Trino | We’re rebranding PrestoSQL as Trino
OBS Project Twitter
腾源会(WeOpen)是腾讯云成立的汇聚开源我的项目、开源爱好者、开源领导者的凋谢社区,致力于帮忙开源我的项目健康成长、开源爱好者能交换帮助、开源领导者能施展首领价值,让寰球开源生态变得更加凋敝。
