十年 Java API 版权案终落地Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点
Posted 开源头条
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了十年 Java API 版权案终落地Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点相关的知识,希望对你有一定的参考价值。
以开源首次被纳入十四五规划为开端,2021 年,对开源届来说是激动人心的一年。Linux 30 周岁,伴随机智号首次离开地球,开源开始渗入火星;华为捐赠 HarmonyOS 核心基础架构、EulerOS 欧拉操作系统,OceanBase 开源 300 万行核心代码,开源届持续发力;Databricks、TDengine、Neo4j、PingCAP 获资本青睐,资本助力开源…开源届的繁荣景象数不胜数!
2021 年,对开源届来说也是不平凡的一年。在这一年,开源项目的一些现实性问题逐渐涌现出来,其中 Log4j 的安全问题影响极为深远,冲击了全球互联网,导致许多服务器权限丢失;还有一些开源项目的财务现状不容乐观,譬如 Babel 由于储备资金不足已经陷入财务困境;开源社区的现状也有待改善,Rust 审核团队集体辞职的原因就在于社区成员的明显分离;AWS 和 Elastic 关于开源协议的大战、甲骨文与谷歌的 Java 源代码侵权案…
让我们跟随着小编的脚步,来盘一盘 2021 的年度开源大事件吧!
开源吞噬世界
Linux 30 周年之际,开源渗透火星
1991 年 8 月 25 日,21 岁的 Linus Torvalds 做了一个免费的操作系统“Linux”,并在这一天向外界公布这个由“业余爱好”主导的个人项目。2021 这一年,正值 Linux 的三十周年,它不仅让全球超级计算机 500 强和超过 70% 的智能手机都在运行自己,还搭乘了美国“毅力号”登上了火星。
华为捐赠 HarmonyOS 核心基础架构和 EulerOS 欧拉操作系统
2021 年 6 月 4 日,华为将鸿蒙(HarmonyOS)最核心的基础架构部分全部捐赠给了“开放原子开源基金会”,由其负责开源鸿蒙(OpenHarmony)的工作。作为一款面向全场景的开源分布式操作系统,各个厂家都可以平等地在“开放原子开源基金会”获得 OpenHarmony 代码,根据不同的业务诉求来做产品。根据介绍,OpenHarmony 在传统单设备系统能力的基础上,创造性地提出了基于同一套系统能力适配多种终端形态的理念,支持多种终端设备上运行。
也是在这一年的 11 月,华为携手社区全体伙伴共同将欧拉开源操作系统(openEuler,简称“欧拉”)正式捐赠给开放原子开源基金会。这标志着欧拉从创始企业主导的开源项目演进到产业共建、社区自治,未来将快速汇聚更多创新力量,以更加开放的模式整合全球参与者的贡献,从开放治理走向自治繁荣,加速操作系统产业发展,进一步推动行业数字化转型深入。
OceanBase 开源 300 万行核心代码
2020 年儿童节,以 7.07 亿 tpmC 的性能记录二度登顶 TPC-C 榜首的 OceanBase 正式从蚂蚁独立,开启了公司化的运作,加速走上了大规模商业化的道路。2021 年依旧是儿童节这一天,OceanBase 带来了最新的 3.0 发布,并正式宣布全面开源,基于木兰许可协议,采用当前非常受开源商业公司欢迎的 Open Core 模式,开源了 300 万行核心代码。
在宣布 OceanBase 正式开源后,OceanBase CEO 杨冰深入分享了对于 OceanBase 开源背后的思考:首先对于软件本身而言,它是一个递增的数据库,让它有更广阔的发展空间最好的方式就是开放;其次三百万行核心代码开源,希望以开放开源的方式,一起来共建分布式数据库的未来;最后,相信 OceanBase 的开源能够让软件更长远、更健康地发展。
资本下的开源,融资助力
在技术本身迎来的巨大发展的同时,开源创新力持续提升,也吸引了大量资本汇入。据不完全数据统计,仅在 2021 年期间,中国开源项目就有 29 家获得了融资。
而放眼全球,也有几个颇为值得关注的开源融资事件。
大数据独角兽 Databricks 完成 10 亿美元 G 轮融资,估值高达 380 亿美元
2021 年 2 月,Databricks 官网发布消息称已完成 10 亿美元融资。据悉,新一轮融资由最大的上市基金管理公司富兰克林·邓普顿(Franklin Templeton)领投,新加入的投资方还有亚马逊网络服务(AWS)、GapitalG 和 SalesForce venture 等等,此前 Databricks 已完成 6 轮融资,仅 2019 年一年就完成两轮。目前,该公司估值已经达到 380 亿美元。
TDengine 完成 4700 万美元 B 轮融资
2021 年 5 月,全球领先的物联网大数据平台涛思数据宣布完成 4700 万美元 B 轮融资。本轮融资由经纬中国领投,红杉资本中国基金、GGV 纪源资本、指数资本跟投。融资资金将主要用于技术研发与市场拓展。对于 2017 年成立的涛思数据而言,用了四年的时间,前后共获得了来自红杉、经纬、GGV、明势等近 7000 万美元的投资,估值已超 3 亿美元。
Neo4j 完成 3.25 亿美元融资,数据库史上最大的融资
2021 年 6 月,知名 NOSQL 图形数据库 Neo4j 宣布将获得 3.25 亿美元的投资。该轮投资由 Eurazeo 领投,GV(前身为 Google Ventures)参与。据悉,该交易是对数据库公司的最大投资,并将 Neo4j 的估值提高到超过 20 亿美元。
在这场融资中,现有投资者 One Peak(自 2018 年以来的投资者)、Creandum(自 2014 年以来的投资者)和 Greenbridge Partners(自 2016 年以来的投资者)以及新投资者 DTCP 和 Lightrock 也参与其中。而据 Markets and Markets 预计,到 2023 年图形数据库市场将从 2018 年的 8.218 亿美元增至 24 亿美元。
PingCAP 完成 2.7 亿美元 D 轮融资,开创全球数据库历史新的里程碑
2021 年 11 月,企业级开源分布式数据库厂商 PingCAP 日前宣布完成 2.7 亿美元的 D 轮融资,创造全球数据库历史新的里程碑。本轮融资由纪源资本、Access Technology Ventures、晨曦投资、时代资本、五源资本共同领投,贝塔斯曼亚洲投资基金、Coatue、天际资本、昆仑资本、挚信资本及老股东经纬中国、云启资本跟投,瑞银担任本轮融资的独家财务顾问。
机遇与挑战并存,当代开源现状
毋庸置疑,借助开源学习是最为有效的方式,也是铸造科技与产业新优势的创新模式。但是在开源带来诸多机遇的同时,一些亟需解决的痛点问题也逐渐在实践中呈现出来。
开源安全现状:Log4j“史诗级”漏洞席卷全球,冲击互联网
2021 年开源届最大的安全漏洞,非 Log4j 日志框架中的 Log4Shell 漏洞莫属。 Log4Shell 漏洞被利用,影响了数百万 Java 应用和包括苹果、腾讯、京东、网易、AWS、IBM 在内的多个公司,同时该漏洞还引发了全球性的修补漏洞行动。
据悉,早在 2013 年 Log4Shell 漏洞便已存在,直到 2021 年 11 月才被阿里巴巴安全人员发现并向 Apache 报告了漏洞。这一漏洞最终引发了一场修复计算机系统的全球“竞赛”,美国高级网络安全官员将这一发现描述为“重大威胁”。曾经有警告迹象表明,Log4j 可能容易受到攻击,包括在 2016 年黑帽网络安全会议上的一次演讲中也有提到。但是为什么没有修复 Log4j 呢?Curl 的创始人 Stenberg 说道,“似乎 Logj4 的作者真的不明白,即使在突出显示之后,他们的代码中也有一个滴答作响的‘炸弹’。”
现今,开源安全问题越来越受到重视,此前白宫曾为提高开源安全性邀请软件行业者座谈。开源软件安全基金会(OpenSSF)总经理还曾提出安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来降低安全风险。不管如何,开源安全问题得重要性不用多说,未来的开源世界开需要我们一起守候,开源安全问题需要我们共同努力。
开源财务现状:因财务问题 Babel 陷入困境
2021 年 5 月,拥有百万用户的开源项目 Babel 宣布,由于花钱速度持续高于获取捐赠的速度,Babel 已经陷入了财务困境,当前剩余的资金将很快被用完,该项目储备资金目前只够维持到 2021 年底。
彼时在 2018 年时,Babel 现任负责人、核心维护者之一 Henry Zhu 辞去了工作,开始全职从事 Babel 项目开发工作。起初,在来自 Handsak 的巨额赠款以及一些赞助商的支持下,Babel 的资金尚能周转。后来为了创建更强大的团队,通过 Babel 提供更多的功能和改进,Babel 团队希望获得更多的捐款和支持。屋漏偏逢连夜雨,2020 年的疫情对 Babel 的融资产生了极大的负面影响。Babel 失去了一些大赞助商,贡献者之一的 Kai 不得不辞职,找到另一份全职工作。
因此,Babel 希望社区能够提供帮助,通过 Open Collective 和 GitHub Sponsors 获取更多捐款,同时 Babel 也在积极寻求企业赞助。但捐款请求一经发出,受到不少质疑。
其中 Babel 项目创始人 Sebastian McKenzie 通过推特发声,表示 Babel 资金困境的原因是现负责人 Henry Zhu 领取了 13 万年薪,却并未实际参与项目。Vue.js 作者尤雨溪也发文驳斥了 McKenzie 的说法。他表示「Working on a project」不仅仅指要提交代码文件,还需要做出决策、筹措资金、管理团队,并且负责人常常面临着巨大的心理压力。而后 McKenzie 删去了此前质疑 Henry 的言论,并发文表示为之前的言论道歉。
虽然关于 Henry 薪资的争议已经告一段落,但是 Babel 项目的资金问题仍然存在。Babel 团队表示,尽管存在这些资金困难,他们仍然希望继续为核心成员支付薪资。未来 Babel 将专注于使 Babel 更容易配置,具有更好地性能,并产生更优化的输出,在执行新语法的同时,确保现有功能坚如磐石。
Babel 团队的想法不难理解,诚然,维护优秀的开源项目不应该仅仅依靠贡献者“为爱发电”,劳有所获,劳有所得才是持续发展、持续产出的长久之道,这也是开源项目必须要面临的问题。现在开源已经逐渐被大家熟知并接受,但还是有一些优秀的开源项目因为资金问题难以支撑,这需要我们大家共同努力,帮助优秀的开源项目走下去,助力开源,成就开源!
开源社区现状:Rust 审核团队集体辞职
2021 年 11 月,为了抗议 Rust 核心团队不对除自己以外的任何人负责的行为,Rust 审核团队在 GitHub 上发布公告宣布辞职。在发布公告三天后,Rust 核心团队进行官方回应称,对于这个声明他们正在进行探讨和分享。大约又过了三周后,Rust 团队发布长文进行回应,表示导致该问题的最直接原因是审核团队的前成员与核心团队之间,在如何处理一个核心团队本身也是利益方的审核问题上存在分歧。
从过去看,涉及 Rust 团队成员的审核操作是在审核团队和核心团队之间合作审查的。但是,由于核心团队的参与,没有明确的流程可循。两个团队都付出了大量努力来试图解决这种缺乏流程的问题,但在八个月的时间里,由于沟通不畅和分歧,这升级为审核团队和核心团队之间的信任问题。
从该事件这些细节看来,社区和 Rust 项目成员之间似乎有明显的分离。一个有生命力的开源社区应该是多样性、平等性和包容性的,有充足的贡献者与维护者来支撑项目的发展。因而一个庞大且可持续的社区不能仅仅建立在个人贡献者的肩膀上,而是需要公正透明,每个社区成员都有平等的权利来了解项目的状态。
开源协议现状:AWS 和 Elastic 之间关于开源协议的大战
2021 年 1 月 15 日,Elastic 的创始人 Shay Banon 官网发文,宣布更改开源协议,即从 Elastic 7.11 版本开始,Elasticsearch 与 Kibana 代码由原先遵循的 Apache 2.0 许可协议调整为 SSPL 与 Elastic License 双许可协议。然而这一更改,引发了业界很多开源技术人讨论与 AWS 的不满。
早在 2012 年,Elasticsearch Inc 公司成立并在 2015 年将公司品牌更名为 Elastic。同一年,亚马逊于基于 Elasticsearch 推出自己的服务,将其称为——Amazon Elasticsearch Service。
在 Elastic 看来,亚马逊推出的产品名有很明显的商标侵权行为,且亚马逊针对 Elasticsearch 的 Open Distro 分支,进一步分裂了社区,引发了相当多的混乱。因此,其于 2019 年将亚马逊告上法庭。
在 AWS 看来,Elastic 的限制性许可只是为了阻止其他人提供托管 Elasticsearch 服务,帮助 Elastic 建立起更庞大的业务体系,丧失了“开源精神”。
2021 年 1 月 20 日,因 AWS 的说法让 Elastic 的创始人 Shay Banon 在官网发文怒怼,称他们更改开源协议完全是因为 AWS 的逼迫不得以而为之,同时指责 AWS 本身的种种恶行。AWS 回应 Elastic 公司的声明,否认自己威逼 Elastic 公司,表示自己一系列做法完全是为了创造一个更好的开源社区,也强调自己的做法得到了很多公司的支持。
虽说开源软件代表着任何人都可以自由共享和修改的代码,但是开源协议的细则边界该如何去守护,这需要我们进一步在开源应用过程中不断地完善。
开源版权现状:甲骨文诉谷歌 Java 侵权案败诉
2021 年 4 月 5 日,美国最高法院以 6 票支持 2 票反对,判定谷歌并未侵权,自此甲骨文和谷歌之间关于安卓系统 Java 源代码侵权案终于尘埃落定。
此前甲骨文诉称,谷歌抄袭了旗下 Java API 超过 11000 行的源代码用以开发安卓系统,对此提出索赔 90 亿美元的要求。而谷歌拒绝支付这笔赔偿金,认为对相关代码的使用属于合理使用范畴,因此无需承担版权责任。因此,双方法律诉讼案一打就是十年之久,而期间谷歌也曾败诉两次,判赔 88 亿美元。最终在持续上诉过程中,谷歌翻盘,甲骨文败诉。
在判决结果公布后,谷歌负责全球事务的高级副总裁肯特-沃克(Kent Walker)在推特上发文表示:
最高法院在谷歌诉甲骨文案当中的判决是创新、互操作性与计算的一大胜利。感谢美国领先的创新者、软件工程师和版权学者的支持。
甲骨文则通过公司官网以执行副总裁兼总法律顾问 Dorian Daley 名义发布简短声明称,谷歌平台变大了,市场力量也变得更强,但由于新竞争者进入壁垒抬高导致它的竞争能力也变低了:
(谷歌)偷走了 Java,而且花了十年时间应对诉讼,这只有垄断者才能做得到,而这也正是包括美国在内的全世界监管当局正在审查谷歌商业行为的原因。
尽管裁决结果并没有直接否定 API 可以享有版权的事实,但它明确地表示了,根据版权法中“合理使用”的原则,API 拥有者并不能随意阻止其他开发者使用其 API 来构建新程序。也就是说,广大开发者依旧可以像从前一样继续在项目中自由使用 API。无论如何,这项判决对于安卓来讲意义非凡。
历经风雨,也迎接了彩虹,以上,便是过去一年中发生的一些极具影响力的开源大事件,也是我们亲身见证与经历的一些大发展,相信 2022 年的开源世界也将更加精彩。
以上是关于十年 Java API 版权案终落地Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点的主要内容,如果未能解决你的问题,请参考以下文章
前端周报:ECMAScript 2018语言规范新版本发布,苹果三星专利案终和解!