<acronym id="eouyi"></acronym>
<sup id="eouyi"></sup><rt id="eouyi"><small id="eouyi"></small></rt>
<sup id="eouyi"><center id="eouyi"></center></sup>
您當前的位置 :環球傳媒網>科技 > 正文
太慘了吧!Log4j2維護者吐槽沒工資還要挨罵
2021-12-16 09:47:36 來源:開源中國 編輯:

基于 Java 的日志記錄工具 Apache Log4j2 近日出現了一個高危漏洞,攻擊者可以利用其 JNDI 注入漏洞遠程執行代碼,此漏洞牽涉面非常廣,以至于國內外的個人或公司用戶都對此高度關注,而 Log4j2 開發組在漏洞曝光后及時發布了 Apache Log4j 2.16.0 維護版本,默認禁用 JNDI,使此漏洞得到控制。

但小編在學(mo)習(yu)的時候,發現 Log4j2 的維護者之一 @Volkan Yaz?c? 在推特上吐槽:Log4j2 維護者只有幾個人,他們無償、自愿地工作,沒有人發工資,也沒人提交代碼修復問題,出了問題還要被一堆人在倉庫里留言痛罵。

這是一個非?,F實的問題,我們姑且將這個問題稱之為“開源可持續性問題”。通常來說,一個開源項目,要不就是反響平平無法形成生態,導致開發者熱情逐漸降低、慢慢停掉;或者項目是大熱門,很多個人和公司都在用,但 —— 除了出問題的時候問一下,幾乎沒有人會為開發者提供財務支持或貢獻代碼修復。

而那些使用免費資源而從不回饋社區的公司,他們對開源軟件的利用一直是開源項目維護者的痛處。他們使用開源項目達到企業成本最小化和利潤最大化,然而這些利潤跟開發者一毛錢關系沒有,甚至還有公司出了問題趕緊甩鍋給開源作者,比如前段時間 curl 作者吐槽蘋果把他當做免費工具人:

“想象一下,一家市值萬億美元的公司將各種開源組件應用到自己的產品中,每年賺取數十億美元的利潤。當這家公司的一個用戶向它提供的產品尋求幫助時,公司卻把用戶推給開源項目。這個開源項目是由志愿者運營和維護的,這家公司從未贊助過一分錢。”

這樣的情況已經持續了相當一段時間,不過現在已經有人在思考這個問題,并給出了一些權衡的建議。上周六,谷歌密碼學家和 Go 語言安全負責人 Filippo Valsorda 在個人博客呼吁:開源項目維護者應當和那些使用軟件的公司進行更專業的交流,以獲得付費支持,使開源更具可持續性。

Filippo 指出一個問題:目前大多數開源項目維護者屬于以下兩類之一:志愿者或大公司員工,有時兩者兼而有之,但這兩種模式其實都不健康。一個成功項目的普通維護者其實有資格成為高級軟件工程師,這些人每年可以輕松賺取 15W-300W+ 美元的年薪,但現在他們的開源項目經濟來源只有 GitHub Sponsors 和 Patreon(一個募捐網站),這是兩種不嚴肅且不穩定的薪資來源。

而被聘為大廠的全職開源員工也并非上策,踏入公司的第一步你就成為了資本的一部分,隨著主管和績效組的“如何證明你的工作和工資相匹配?”開發者開始背上各種 KPI ,主動或被動地卷,將越來越多的時間花在努力證明自己的工作和價值都非常重要 —— 在這種壓力之下,大部分開發者將逐漸喪失對開源項目的熱情,這種情況在多個公司和生態系統中一遍又一遍地上演。

綜合目前的情況,Filippo 提出了一個新的觀點:既然大公司需要項目供應鏈安全和質量達到標準,那么他們就有必要為使用的開源項目付費 —— 公司可以跟開源軟件開發者建立合同關系,按照市場價的薪資支付,然后要求開發者保證項目的質量和漏洞問題。反過來,項目的維護者仍然可以自由地持續關注項目,優先考慮項目的長期健康狀況,并滿足公司對項目的要求。

這種流程和生態的建立需要一些時間,重點在于如何轉變公司的態度 —— 公司,尤其是資本控制的上市企業,完全沒有為大型產品、項目和服務核心的開源組件付費的熱情,它們只會在開源許可證和法律底線的條件下做利益最大化的事情,而不是“公平交易”。而目前流行的一些許可證,像 Apache 、MIT,都是提供所有內容但要求的東西很少,更進一步滿足了企業白嫖的需求。

目前世界 500 強企業所使用的許多重要的開源項目都由志愿者在下班后的業余時間維護,這些企業甚至連代碼安全性都懶得審查和測試。開源維護者創造了大量價值,但幾乎一無所獲,這種開源文化是無法長久持續的,是時候做出一些改變了 —— 開源維護者這個角色應當成為一個真正的、有適當報酬的職業,而不是依賴寥寥無幾的捐款的業余愛好者或者企業的免費勞動力。

題外話:

Log4j2 的開發者和維護者 Ralph Goers 在 GitHub 上僅有 3 名贊助者。

我是 Apache 軟件基金會的成員,也是 Apache Commons、Apache Flume、Apache Logging Services 和 Apache Maven 的 PMC 成員。我創建了 Apache Log4j 2的初始版本,并繼續將我的大部分精力放在提供支持和改進上,以使 Apache Log4j 2 成為目前從事軟件架構師全職工作的 Java 開發人員的最佳日志記錄框架。我在業余時間從事 Log4j 和其他開源項目,我通常從事我最感興趣的那些問題。我一直夢想著全職從事開源工作,希望您的支持能實現這一夢想。

分享到:
版權和免責申明

凡注有"環球傳媒網"或電頭為"環球傳媒網"的稿件,均為環球傳媒網獨家版權所有,未經許可不得轉載或鏡像;授權轉載必須注明來源為"環球傳媒網",并保留"環球傳媒網"的電頭。

Copyright ? 1999-2017 cqtimes.cn All Rights Reserved 環球傳媒網-重新發現生活版權所有 聯系郵箱:8553 591@qq.com
自拍偷拍现在视频,偷拍王av,马尾抖胸独家在线,国产无码swag,swag 騒虎 av,久久4K岛国天然素人,韩国午夜影院,欧美明星们的床上戏,中文字幕哪个网站多 g1原创国产AV剧情沈娜娜| 绑架了一对情侣的国产片| 国产偷拍更新| 国产偷拍老阿姨卫生间在线| 2021国产拍一区二区| 久久国产福利主播| 韩国潜规则图| 麻豆传媒最新系列下载| 欧美红酒网站| 日本的黄金| 少年说抄袭日本| 91新人三哥 b365day| 女同性恋感情长久嘛| 芒果中文字幕软件| 富二代下载app国产| 免费国产a在线视频港澳毛片| 99久新品在线精品2019| 日本无码片午夜手机在线观看| 午夜云播伦理电影在线观看| 182情侣偷拍| 交换国产精品视频一区| 自拍偷拍第20页| 正在播放pr社做你的私人助理| 国产护士被| 国产剧情被片快递员| 萝莉国产注册| 情侣国产AV| 椰树国产偷拍| 偷拍视频2017国产免费| 国产区一区亚瑟| 有码国产重口制服| 韩国r片2017| 韩国vovo| 麻豆传媒欧美p| 欧美成电人影a| 日本浴衣| 妻子的秘密 日本| 空降上海沈芯语在线播放| 女同性恋电影大全她唇之下| 白白中文字幕免费视频| 对外道有夫之妇中文字幕电影| http://www.readershipmusic.com http://www.corkscrewshoresrealestate.com http://www.fandelareinedesneiges.com http://www.fandelareinedesneiges.com http://www.playrightentertainment.com http://www.mtp88.com