实际上,他是Log4j 2 的初始作者,在这个小团队中,生动成员现在只有6个人,包括位于荷兰阿姆斯特丹的Volkan Yazici, 一位为 bol.com 事情的程序员。
只管只是一个业余项目,但是Log4j 在Java运用中无所不在,尤其是企业软件 。
你能想到的紧张软件公司都在利用它,它是互联网核心根本举动步伐的关键部分。
Log4j被放到商业公司的各个产品中,被发布,被利用。
由于Log4j是开源软件,不用花一分钱,相称于白嫖。
2021年11月24号,Log4j小组收到了阿里巴巴云安全组报告的一个安全漏洞,Log4j 的一个功能存在重大毛病,急需修复,否则会影响到全体互联网。
Log4j小组急速行动起来,开始猖獗抢修。
他们放弃了可以和家人共度的周末,不眠不休,轮班事情。
Volkan Yazici从早上6点事情到第二天凌晨4点,长达22个小时。
不要忘了,这并不属于他们的本职事情,他们没有报酬,没有人为。
但是他们却遭受了网络的批评和骚扰,一举一动都被核阅。
软件被白嫖,没有人为,还要被骂!
真是没有天理了。
这些骂人的家伙们,可能忘却了开源软件常常存在的一个声明:
开源软件的用户须要对软件的利用、分发卖力,并承担相应风险。
这些天下上顶级的程序员,无偿的开源掩护者(也不准确,有三个人在GitHub上给Ralph Goers捐赠),被全天下当成了自家的带薪安全工程师!
这让我想到了其余两个有名的开源软件的遭遇:
2014年4月,OpenSSL的掩护者收到了Google报的安全问题,哀求修复。他感慨道:为什么一个每年只能收到2000美元捐助的人,却要卖力加密17%的互联网流量?
2018年,一个每周下载数百万次的JavaScript库ua-parser-js被添加了恶意代码,用来盗取加密货币。缘故原由便是最初的作者没有动力掩护了,他把掌握权交给了匿名的人。
他肯定没有动力,由于这个项目只筹集到了微不足道的41.61美元的钱,但是他却要搪塞各种各样,海量的需求。
这实在是太不公正了,为什么开源软件会走入到这个田地?
有开源软件走了商业化的道路,如Docker, Elastic Search ,MongoDB 等, 他们的产品有免费版和商业版之分,商业版功能更强,但是技能支持和升级要付费。
互联网公司也在大量利用开源软件,并且对一些软件会有全职带薪的事情职员去参与开拓。
但是,更多的开源软件都不属于这两类,像Log4j , OpenSSL还是靠志愿者在背后默默努力,一旦暴雷,只有硬抗。
开源的掩护者通过有名的软件得到了声誉,对付职业发展有莫大的好处,这是毋庸置疑的,但是也不能指望他们完备凭借兴趣,在业余韶光把软件的漏洞都发掘出来,然后堵上。
这该怎么办呢?
一种办理方案是,白嫖了开源软件的巨子们,可以针对性地成立开源基金,帮助修复这些开源软件的漏洞。
Google 已经这么做了,它在9月份承诺供应一亿美元帮助提高开源项目的安全性,第一轮选了8个项目:
Git :最盛行的版本掌握软件
Lodash :一个非常有用的JavaScript工具库
Laravel :PHP Web框架
Slf4j :对各种日志框架的封装形成的Facade
Jackson-core & Jackson-databind:对JSON进行序列化的开源框架
Httpcomponents-core & Httpcomponents-client:简化HTTP客户端与做事器进行通信的框架
希望有更多的公司做出行动,支持开源吧!