实际上,他是Log4j 2 的初始作者,在这个小团队中,生动成员现在只有6个人,包括位于荷兰阿姆斯特丹的Volkan Yazici, 一位为 bol.com 事情的程序员。

只管只是一个业余项目,但是Log4j 在Java运用中无所不在,尤其是企业软件

你能想到的紧张软件公司都在利用它,它是互联网核心根本举动步伐的关键部分。

php为什么挨骂软件被白嫖还要负无穷义务没有待遇还要挨骂开源太惨了 PHP

Log4j被放到商业公司的各个产品中,被发布,被利用。

由于Log4j是开源软件,不用花一分钱,相称于白嫖。

2021年11月24号,Log4j小组收到了阿里巴巴云安全组报告的一个安全漏洞,Log4j 的一个功能存在重大毛病,急需修复,否则会影响到全体互联网。

Log4j小组急速行动起来,开始猖獗抢修。

他们放弃了可以和家人共度的周末,不眠不休,轮班事情。

Volkan Yazici从早上6点事情到第二天凌晨4点,长达22个小时。

不要忘了,这并不属于他们的本职事情,他们没有报酬,没有人为。

但是他们却遭受了网络的批评和骚扰,一举一动都被核阅。

软件被白嫖,没有人为,还要被骂!
真是没有天理了。

这些骂人的家伙们,可能忘却了开源软件常常存在的一个声明:

开源软件的用户须要对软件的利用、分发卖力,并承担相应风险。

这些天下上顶级的程序员,无偿的开源掩护者(也不准确,有三个人在GitHub上给Ralph Goers捐赠),被全天下当成了自家的带薪安全工程师!

这让我想到了其余两个有名的开源软件的遭遇:

2014年4月,OpenSSL的掩护者收到了Google报的安全问题,哀求修复。
他感慨道:为什么一个每年只能收到2000美元捐助的人,却要卖力加密17%的互联网流量?

2018年,一个每周下载数百万次的JavaScript库ua-parser-js被添加了恶意代码,用来盗取加密货币。
缘故原由便是最初的作者没有动力掩护了,他把掌握权交给了匿名的人。

他肯定没有动力,由于这个项目只筹集到了微不足道的41.61美元的钱,但是他却要搪塞各种各样,海量的需求。

这实在是太不公正了,为什么开源软件会走入到这个田地?

有开源软件走了商业化的道路,如Docker, Elastic Search ,MongoDB 等, 他们的产品有免费版和商业版之分,商业版功能更强,但是技能支持和升级要付费。

互联网公司也在大量利用开源软件,并且对一些软件会有全职带薪的事情职员去参与开拓。

但是,更多的开源软件都不属于这两类,像Log4j , OpenSSL还是靠志愿者在背后默默努力,一旦暴雷,只有硬抗。

开源的掩护者通过有名的软件得到了声誉,对付职业发展有莫大的好处,这是毋庸置疑的,但是也不能指望他们完备凭借兴趣,在业余韶光把软件的漏洞都发掘出来,然后堵上。

这该怎么办呢?

一种办理方案是,白嫖了开源软件的巨子们,可以针对性地成立开源基金,帮助修复这些开源软件的漏洞。

Google 已经这么做了,它在9月份承诺供应一亿美元帮助提高开源项目的安全性,第一轮选了8个项目:

Git :最盛行的版本掌握软件

Lodash :一个非常有用的JavaScript工具库

Laravel :PHP Web框架

Slf4j :对各种日志框架的封装形成的Facade

Jackson-core & Jackson-databind:对JSON进行序列化的开源框架

Httpcomponents-core & Httpcomponents-client:简化HTTP客户端与做事器进行通信的框架

希望有更多的公司做出行动,支持开源吧!