十年 Java API 版权案终落地、Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点

2022年01月14日 阅读数:8
这篇文章主要向大家介绍十年 Java API 版权案终落地、Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

以开源首次被归入十四五规划为开端,2021 年,对开源届来讲是激动人心的一年。Linux 30 周岁,伴随机智号首次离开地球,开源开始渗入火星;华为捐赠 HarmonyOS 核心基础架构、EulerOS 欧拉操做系统,OceanBase 开源 300 万行核心代码,开源届持续发力;Databricks、TDengine、Neo4j、PingCAP 获资本青睐,资本助力开源…开源届的繁荣景象数不胜数!git

2021 年,对开源届来讲也是不平凡的一年。在这一年,开源项目的一些现实性问题逐渐涌现出来,其中 Log4j 的安全问题影响极为深远,冲击了全球互联网,致使许多服务器权限丢失;还有一些开源项目的财务现状不容乐观,譬如 Babel 因为储备资金不足已经陷入财务困境;开源社区的现状也有待改善,Rust 审核团队集体辞职的缘由就在于社区成员的明显分离;AWS 和 Elastic 关于开源协议的大战、甲骨文与谷歌的 Java 源代码侵权案…web

让咱们跟随着小编的脚步,来盘一盘 2021 的年度开源大事件吧!数据库

开源吞噬世界

Linux 30 周年之际,开源渗透火星

1991 年 8 月 25 日,21 岁的 Linus Torvalds 作了一个免费的操做系统“Linux”,并在这一天向外界公布这个由“业余爱好”主导的我的项目。2021 这一年,正值 Linux 的三十周年,它不只让全球超级计算机 500 强和超过 70% 的智能手机都在运行本身,还搭乘了美国“毅力号”登上了火星。api

Linux 30 周年官方海报

华为捐赠 HarmonyOS 核心基础架构和 EulerOS 欧拉操做系统

2021 年 6 月 4 日,华为将鸿蒙(HarmonyOS)最核心的基础架构部分所有捐赠给了“开放原子开源基金会”,由其负责开源鸿蒙(OpenHarmony)的工做。做为一款面向全场景的开源分布式操做系统,各个厂家均可以平等地在“开放原子开源基金会”得到 OpenHarmony 代码,根据不一样的业务诉求来作产品。根据介绍,OpenHarmony 在传统单设备系统能力的基础上,创造性地提出了基于同一套系统能力适配多种终端形态的理念,支持多种终端设备上运行。安全

也是在这一年的 11 月,华为携手社区全体伙伴共同将欧拉开源操做系统(openEuler,简称“欧拉”)正式捐赠给开放原子开源基金会。这标志着欧拉从创始企业主导的开源项目演进到产业共建、社区自治,将来将快速汇聚更多创新力量,以更加开放的模式整合全球参与者的贡献,从开放治理走向自治繁荣,加速操做系统产业发展,进一步推进行业数字化转型深刻。服务器

OceanBase 开源 300 万行核心代码

2020 年儿童节,以 7.07 亿 tpmC 的性能记录二度登顶 TPC-C 榜首的 OceanBase 正式从蚂蚁独立,开启了公司化的运做,加速走上了大规模商业化的道路。2021 年依旧是儿童节这一天,OceanBase 带来了最新的 3.0 发布,并正式宣布全面开源,基于木兰许可协议,采用当前很是受开源商业公司欢迎的 Open Core 模式,开源了 300 万行核心代码。网络

图片: https://uploader.shimo.im/f/1CYIuz854JdVw0Wu.png!thumbnail?accessToken=eyJhbGciOiJIUzI1NiIsImtpZCI6ImRlZmF1bHQiLCJ0eXAiOiJKV1QifQ.eyJhdWQiOiJhY2Nlc3NfcmVzb3VyY2UiLCJleHAiOjE2NDE0NDg5NDUsImciOiJ3a2pkUjh0eFA4ckN5NkhUIiwiaWF0IjoxNjQxNDQ4NjQ1LCJ1c2VySWQiOjg3ODA5ODN9.s6_WNhwP8Bwec3WwsmCMcQ8vzFs8BLpDFW0nDR5OLdI

在宣布 OceanBase 正式开源后,OceanBase CEO 杨冰深刻分享了对于 OceanBase 开源背后的思考:首先对于软件自己而言,它是一个递增的数据库,让它有更广阔的发展空间最好的方式就是开放;其次三百万行核心代码开源,但愿以开放开源的方式,一块儿来共建分布式数据库的将来;最后,相信 OceanBase 的开源可以让软件更长远、更健康地发展。架构

资本下的开源,融资助力

在技术自己迎来的巨大发展的同时,开源创新力持续提高,也吸引了大量资本汇入。据不彻底数据统计,仅在 2021 年期间,中国开源项目就有 29 家得到了融资。
并发

来源:https://gitcode.net/open-source-lab/List-of-Chinese-Open-Source-Project-Financing/-/blob/master/README.md框架

而放眼全球,也有几个颇为值得关注的开源融资事件。

大数据独角兽 Databricks 完成 10 亿美圆 G 轮融资,估值高达 380 亿美圆

2021 年 2 月,Databricks 官网发布消息称已完成 10 亿美圆融资。据悉,新一轮融资由最大的上市基金管理公司富兰克林·邓普顿(Franklin Templeton)领投,新加入的投资方还有亚马逊网络服务(AWS)、GapitalG 和 SalesForce venture 等等,此前 Databricks 已完成 6 轮融资,仅 2019 年一年就完成两轮。目前,该公司估值已经达到 380 亿美圆。

TDengine 完成 4700 万美圆 B 轮融资

2021 年 5 月,全球领先的物联网大数据平台涛思数据宣布完成 4700 万美圆 B 轮融资。本轮融资由经纬中国领投,红杉资本中国基金、GGV 纪源资本、指数资本跟投。融资资金将主要用于技术研发与市场拓展。对于 2017 年成立的涛思数据而言,用了四年的时间,先后共得到了来自红杉、经纬、GGV、明势等近 7000 万美圆的投资,估值已超 3 亿美圆。

Neo4j 完成 3.25 亿美圆融资,数据库史上最大的融资

2021 年 6 月,知名 NOSQL 图形数据库 Neo4j 宣布将得到 3.25 亿美圆的投资。该轮投资由 Eurazeo 领投,GV(前身为 Google Ventures)参与。据悉,该交易是对数据库公司的最大投资,并将 Neo4j 的估值提升到超过 20 亿美圆。

在这场融资中,现有投资者 One Peak(自 2018 年以来的投资者)、Creandum(自 2014 年以来的投资者)和 Greenbridge Partners(自 2016 年以来的投资者)以及新投资者 DTCP 和 Lightrock 也参与其中。而据 Markets and Markets 预计,到 2023 年图形数据库市场将从 2018 年的 8.218 亿美圆增至 24 亿美圆。

PingCAP 完成 2.7 亿美圆 D 轮融资,开创全球数据库历史新的里程碑

2021 年 11 月,企业级开源分布式数据库厂商 PingCAP 日前宣布完成 2.7 亿美圆的 D 轮融资,创造全球数据库历史新的里程碑。本轮融资由纪源资本、Access Technology Ventures、晨曦投资、时代资本、五源资本共同领投,贝塔斯曼亚洲投资基金、Coatue、天际资本、昆仑资本、挚信资本及老股东经纬中国、云启资本跟投,瑞银担任本轮融资的独家财务顾问。

机遇与挑战并存,当代开源现状

毋庸置疑,借助开源学习是最为有效的方式,也是铸造科技与产业新优点的创新模式。可是在开源带来诸多机遇的同时,一些亟需解决的痛点问题也逐渐在实践中呈现出来。

开源安全现状:Log4j“史诗级”漏洞席卷全球,冲击互联网

2021 年开源届最大的安全漏洞,非 Log4j 日志框架中的 Log4Shell 漏洞莫属。 Log4Shell 漏洞被利用,影响了数百万 Java 应用和包括苹果、腾讯、京东、网易、AWS、IBM 在内的多个公司,同时该漏洞还引起了全球性的修补漏洞行动。

据悉,早在 2013 年 Log4Shell 漏洞便已存在,直到 2021 年 11 月才被阿里巴巴安全人员发现并向 Apache 报告了漏洞。这一漏洞最终引起了一场修复计算机系统的全球“竞赛”,美国高级网络安全官员将这一发现描述为“重大威胁”。曾经有警告迹象代表,Log4j 可能容易受到攻击,包括在 2016 年黑帽网络安全会议上的一次演讲中也有提到。可是为何没有修复 Log4j 呢?Curl 的创始人 Stenberg 说道,“彷佛 Logj4 的做者真的不明白,即便在突出显示以后,他们的代码中也有一个滴答做响的‘炸弹’。”

现今,开源安全问题愈来愈受到重视,此前白宫曾为提升开源安全性邀请软件行业者座谈。开源软件安全基金会(OpenSSF)总经理还曾提出安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来下降安全风险。无论如何,开源安全问题得重要性不用多说,将来的开源世界开须要咱们一块儿守候,开源安全问题须要咱们共同努力。

开源财务现状:因财务问题 Babel 陷入困境

2021 年 5 月,拥有百万用户的开源项目 Babel 宣布,因为花钱速度持续高于获取捐赠的速度,Babel 已经陷入了财务困境,当前剩余的资金将很快被用完,该项目储备资金目前只够维持到 2021 年末。

彼时在 2018 年时,Babel 现任负责人、核心维护者之一 Henry Zhu 辞去了工做,开始全职从事 Babel 项目开发工做。起初,在来自 Handsak 的巨额赠款以及一些赞助商的支持下,Babel 的资金尚能周转。后来为了建立更强大的团队,经过 Babel 提供更多的功能和改进,Babel 团队但愿得到更多的捐款和支持。屋漏偏逢连夜雨,2020 年的疫情对 Babel 的融资产生了极大的负面影响。Babel 失去了一些大赞助商,贡献者之一的 Kai 不得不辞职,找到另外一份全职工做。

所以,Babel 但愿社区可以提供帮助,经过 Open Collective 和 GitHub Sponsors 获取更多捐款,同时 Babel 也在积极寻求企业赞助。但捐款请求一经发出,受到很多质疑。

其中 Babel 项目创始人 Sebastian McKenzie 经过推特发声,表示 Babel 资金困境的缘由是现负责人 Henry Zhu 领取了 13 万年薪,却并未实际参与项目。Vue.js 做者尤雨溪也发文驳斥了 McKenzie 的说法。他表示「Working on a project」不只仅指要提交代码文件,还须要作出决策、筹措资金、管理团队,而且负责人经常面临着巨大的心理压力。然后 McKenzie 删去了此前质疑 Henry 的言论,并发文表示为以前的言论道歉。

虽然关于 Henry 薪资的争议已经告一段落,可是 Babel 项目的资金问题仍然存在。Babel 团队表示,尽管存在这些资金困难,他们仍然但愿继续为核心成员支付薪资。将来 Babel 将专一于使 Babel 更容易配置,具备更好地性能,并产生更优化的输出,在执行新语法的同时,确保现有功能坚如磐石。

Babel 团队的想法不难理解,诚然,维护优秀的开源项目不该该仅仅依靠贡献者“为爱发电”,劳有所获,劳有所得才是持续发展、持续产出的长久之道,这也是开源项目必需要面临的问题。如今开源已经逐渐被你们熟知并接受,但仍是有一些优秀的开源项目由于资金问题难以支撑,这须要咱们你们共同努力,帮助优秀的开源项目走下去,助力开源,成就开源!

开源社区现状:Rust 审核团队集体辞职

2021 年 11 月,为了抗议 Rust 核心团队不对除本身之外的任何人负责的行为,Rust 审核团队在 GitHub 上发布公告宣布辞职。在发布公告三天后,Rust 核心团队进行官方回应称,对于这个声明他们正在进行探讨和分享。大约又过了三周后,Rust 团队发布长文进行回应,表示致使该问题的最直接缘由是审核团队的前成员与核心团队之间,在如何处理一个核心团队自己也是利益方的审核问题上存在分歧。

从过去看,涉及 Rust 团队成员的审核操做是在审核团队和核心团队之间合做审查的。可是,因为核心团队的参与,没有明确的流程可循。两个团队都付出了大量努力来试图解决这种缺少流程的问题,但在八个月的时间里,因为沟通不顺畅和分歧,这升级为审核团队和核心团队之间的信任问题。

从该事件这些细节看来,社区和 Rust 项目成员之间彷佛有明显的分离。一个有生命力的开源社区应该是多样性、平等性和包容性的,有充足的贡献者与维护者来支撑项目的发展。于是一个庞大且可持续的社区不能仅仅创建在我的贡献者的肩膀上,而是须要公正透明,每一个社区成员都有平等的权利来了解项目的状态。

开源协议现状:AWS 和 Elastic 之间关于开源协议的大战

2021 年 1 月 15 日,Elastic 的创始人 Shay Banon 官网发文,宣布更改开源协议,即从 Elastic 7.11 版本开始,Elasticsearch 与 Kibana 代码由原先遵循的 Apache 2.0 许可协议调整为 SSPL 与 Elastic License 双许可协议。然而这一更改,引起了业界不少开源技术人讨论与 AWS 的不满。

早在 2012 年,Elasticsearch Inc 公司成立并在 2015 年将公司品牌改名为 Elastic。同一年,亚马逊于基于 Elasticsearch 推出本身的服务,将其称为——Amazon Elasticsearch Service。

在 Elastic 看来,亚马逊推出的产品名有很明显的商标侵权行为,且亚马逊针对 Elasticsearch 的 Open Distro 分支,进一步分裂了社区,引起了至关多的混乱。所以,其于 2019 年将亚马逊告上法庭。

在 AWS 看来,Elastic 的限制性许可只是为了阻止其余人提供托管 Elasticsearch 服务,帮助 Elastic 创建起更庞大的业务体系,丧失了“开源精神”。

2021 年 1 月 20 日,因 AWS 的说法让 Elastic 的创始人 Shay Banon 在官网发文怒怼,称他们更改开源协议彻底是由于 AWS 的逼迫不得以而为之,同时指责 AWS 自己的种种恶行。AWS 回应 Elastic 公司的声明,否定本身威逼 Elastic 公司,表示本身一系列作法彻底是为了创造一个更好的开源社区,也强调本身的作法获得了不少公司的支持。

虽然说开源软件表明着任何人均可以自由共享和修改的代码,可是开源协议的细则边界该如何去守护,这须要咱们进一步在开源应用过程当中不断地完善。

开源版权现状:甲骨文诉谷歌 Java 侵权案败诉

2021 年 4 月 5 日,美国最高法院以 6 票支持 2 票反对,断定谷歌并未侵权,自此甲骨文和谷歌之间关于安卓系统 Java 源代码侵权案终于尘埃落定。

此前甲骨文诉称,谷歌抄袭了旗下 Java API 超过 11000 行的源代码用以开发安卓系统,对此提出索赔 90 亿美圆的要求。而谷歌拒绝支付这笔赔偿金,认为对相关代码的使用属于合理使用范畴,所以无需承担版权责任。所以,双方法律诉讼案一打就是十年之久,而期间谷歌也曾败诉两次,判赔 88 亿美圆。最终在持续上诉过程当中,谷歌翻盘,甲骨文败诉。

在判决结果公布后,谷歌负责全球事务的高级副总裁肯特-沃克(Kent Walker)在推特上发文表示:
最高法院在谷歌诉甲骨文案当中的判决是创新、互操做性与计算的一大胜利。感谢美国领先的创新者、软件工程师和版权学者的支持。

甲骨文则经过公司官网以执行副总裁兼总法律顾问 Dorian Daley 名义发布简短声明称,谷歌平台变大了,市场力量也变得更强,但因为新竞争者进入壁垒抬高致使它的竞争能力也变低了:
(谷歌)偷走了 Java,并且花了十年时间应对诉讼,这只有垄断者才能作获得,而这也正是包括美国在内的全世界监管当局正在审查谷歌商业行为的缘由。

尽管裁决结果并无直接否认 API 能够享有版权的事实,但它明确地表示了,根据版权法中“合理使用”的原则,API 拥有者并不能随意阻止其余开发者使用其 API 来构建新程序。也就是说,广大开发者依旧能够像从前同样继续在项目中自由使用 API。不管如何,这项判决对于安卓来说意义非凡。

历经风雨,也迎接了彩虹,以上,即是过去一年中发生的一些极具影响力的开源大事件,也是咱们亲身见证与经历的一些大发展,相信 2022 年的开源世界也将更加精彩。