十年 Java API 版权案终落地、Log4j 漏洞蛰伏八年后席卷全球,2021 年开源圈大事件盘点
发布时间:2022-01-11 16:12:27来源:CSDN
整理|宋彤彤责编|屠敏
出品|CSDN(ID:CSDNnews)
以开源首次被纳入十四五规划为开端,2021年,对开源届来说是激动人心的一年。Linux30周岁,伴随机智号首次离开地球,开源开始渗入火星;华为捐赠HarmonyOS核心基础架构、EulerOS欧拉操作系统,OceanBase开源300万行核心代码,开源届持续发力;Databricks、TDengine、Neo4j、PingCAP获资本青睐,资本助力开源…开源届的繁荣景象数不胜数!
2021年,对开源届来说也是不平凡的一年。在这一年,开源项目的一些现实性问题逐渐涌现出来,其中Log4j的安全问题影响极为深远,冲击了全球互联网,导致许多服务器权限丢失;还有一些开源项目的财务现状不容乐观,譬如Babel由于储备资金不足已经陷入财务困境;开源社区的现状也有待改善,Rust审核团队集体辞职的原因就在于社区成员的明显分离;AWS和Elastic关于开源协议的大战、甲骨文与谷歌的Java源代码侵权案…...
让我们跟随着小编的脚步,来盘一盘2021的年度开源大事件吧!
开源吞噬世界
Linux30周年之际,开源渗透火星
1991年8月25日,21岁的LinusTorvalds做了一个免费的操作系统“Linux”,并在这一天向外界公布这个由“业余爱好”主导的个人项目。2021这一年,正值Linux的三十周年,它不仅让全球超级计算机500强和超过70%的智能手机都在运行自己,还搭乘了美国“毅力号”登上了火星。
华为捐赠HarmonyOS核心基础架构和EulerOS欧拉操作系统
2021年6月4日,华为将鸿蒙(HarmonyOS)最核心的基础架构部分全部捐赠给了“开放原子开源基金会”,由其负责开源鸿蒙(OpenHarmony)的工作。作为一款面向全场景的开源分布式操作系统,各个厂家都可以平等地在“开放原子开源基金会”获得OpenHarmony代码,根据不同的业务诉求来做产品。根据介绍,OpenHarmony在传统单设备系统能力的基础上,创造性地提出了基于同一套系统能力适配多种终端形态的理念,支持多种终端设备上运行。
也是在这一年的11月,华为携手社区全体伙伴共同将欧拉开源操作系统(openEuler,简称“欧拉”)正式捐赠给开放原子开源基金会。这标志着欧拉从创始企业主导的开源项目演进到产业共建、社区自治,未来将快速汇聚更多创新力量,以更加开放的模式整合全球参与者的贡献,从开放治理走向自治繁荣,加速操作系统产业发展,进一步推动行业数字化转型深入。
OceanBase开源300万行核心代码
2020年儿童节,以7.07亿tpmC的性能记录二度登顶TPC-C榜首的OceanBase正式从蚂蚁独立,开启了公司化的运作,加速走上了大规模商业化的道路。2021年依旧是儿童节这一天,OceanBase带来了最新的3.0发布,并正式宣布全面开源,基于木兰许可协议,采用当前非常受开源商业公司欢迎的OpenCore模式,开源了300万行核心代码。
在宣布OceanBase正式开源后,OceanBaseCEO杨冰深入分享了对于OceanBase开源背后的思考:首先对于软件本身而言,它是一个递增的数据库,让它有更广阔的发展空间最好的方式就是开放;其次三百万行核心代码开源,希望以开放开源的方式,一起来共建分布式数据库的未来;最后,相信OceanBase的开源能够让软件更长远、更健康地发展。
资本下的开源,融资助力
在技术本身迎来的巨大发展的同时,开源创新力持续提升,也吸引了大量资本汇入。据不完全数据统计,仅在2021年期间,中国开源项目就有29家获得了融资。
来源:https://gitcode.net/open-source-lab/List-of-Chinese-Open-Source-Project-Financing/-/blob/master/README.md
而放眼全球,也有几个颇为值得关注的开源融资事件。
大数据独角兽Databricks完成10亿美元G轮融资,估值高达380亿美元
2021年2月,Databricks官网发布消息称已完成10亿美元融资。据悉,新一轮融资由最大的上市基金管理公司富兰克林·邓普顿(FranklinTempleton)领投,新加入的投资方还有亚马逊网络服务(AWS)、GapitalG和SalesForceventure等等,此前Databricks已完成6轮融资,仅2019年一年就完成两轮。目前,该公司估值已经达到380亿美元。
TDengine完成4700万美元B轮融资
2021年5月,全球领先的物联网大数据平台涛思数据宣布完成4700万美元B轮融资。本轮融资由经纬中国领投,红杉资本中国基金、GGV纪源资本、指数资本跟投。融资资金将主要用于技术研发与市场拓展。对于2017年成立的涛思数据而言,用了四年的时间,前后共获得了来自红杉、经纬、GGV、明势等近7000万美元的投资,估值已超3亿美元。
Neo4j完成3.25亿美元融资,数据库史上最大的融资
2021年6月,知名NOSQL图形数据库Neo4j宣布将获得3.25亿美元的投资。该轮投资由Eurazeo领投,GV(前身为GoogleVentures)参与。据悉,该交易是对数据库公司的最大投资,并将Neo4j的估值提高到超过20亿美元。
在这场融资中,现有投资者OnePeak(自2018年以来的投资者)、Creandum(自2014年以来的投资者)和GreenbridgePartners(自2016年以来的投资者)以及新投资者DTCP和Lightrock也参与其中。而据MarketsandMarkets预计,到2023年图形数据库市场将从2018年的8.218亿美元增至24亿美元。
PingCAP完成2.7亿美元D轮融资,开创全球数据库历史新的里程碑
2021年11月,企业级开源分布式数据库厂商PingCAP日前宣布完成2.7亿美元的D轮融资,创造全球数据库历史新的里程碑。本轮融资由纪源资本、AccessTechnologyVentures、晨曦投资、时代资本、五源资本共同领投,贝塔斯曼亚洲投资基金、Coatue、天际资本、昆仑资本、挚信资本及老股东经纬中国、云启资本跟投,瑞银担任本轮融资的独家财务顾问。
机遇与挑战并存,当代开源现状
毋庸置疑,借助开源学习是最为有效的方式,也是铸造科技与产业新优势的创新模式。但是在开源带来诸多机遇的同时,一些亟需解决的痛点问题也逐渐在实践中呈现出来。
开源安全现状:Log4j“史诗级”漏洞席卷全球,冲击互联网
2021年开源届最大的安全漏洞,非Log4j日志框架中的Log4Shell漏洞莫属。Log4Shell漏洞被利用,影响了数百万Java应用和包括苹果、腾讯、京东、网易、AWS、IBM在内的多个公司,同时该漏洞还引发了全球性的修补漏洞行动。
据悉,早在2013年Log4Shell漏洞便已存在,直到2021年11月才被阿里巴巴安全人员发现并向Apache报告了漏洞。这一漏洞最终引发了一场修复计算机系统的全球“竞赛”,美国高级网络安全官员将这一发现描述为“重大威胁”。曾经有警告迹象表明,Log4j可能容易受到攻击,包括在2016年黑帽网络安全会议上的一次演讲中也有提到。但是为什么没有修复Log4j呢?Curl的创始人Stenberg说道,“似乎Logj4的作者真的不明白,即使在突出显示之后,他们的代码中也有一个滴答作响的‘炸弹’。”
现今,开源安全问题越来越受到重视,此前白宫曾为提高开源安全性邀请软件行业者座谈。开源软件安全基金会(OpenSSF)总经理还曾提出安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来降低安全风险。不管如何,开源安全问题的重要性不用多说,未来的开源世界开需要我们一起守候,开源安全问题需要我们共同努力。
开源财务现状:因财务问题,百万用户量的Babel项目陷入困境
2021年5月,拥有百万用户的开源项目Babel宣布,由于花钱速度持续高于获取捐赠的速度,Babel已经陷入了财务困境,当前剩余的资金将很快被用完,该项目储备资金目前只够维持到2021年底。
彼时在2018年时,Babel现任负责人、核心维护者之一HenryZhu辞去了工作,开始全职从事Babel项目开发工作。起初,在来自Handsak的巨额赠款以及一些赞助商的支持下,Babel的资金尚能周转。后来为了创建更强大的团队,通过Babel提供更多的功能和改进,Babel团队希望获得更多的捐款和支持。屋漏偏逢连夜雨,2020年的疫情对Babel的融资产生了极大的负面影响。Babel失去了一些大赞助商,贡献者之一的Kai不得不辞职,找到另一份全职工作。
因此,Babel希望社区能够提供帮助,通过OpenCollective和GitHubSponsors获取更多捐款,同时Babel也在积极寻求企业赞助。但捐款请求一经发出,受到不少质疑。
其中Babel项目创始人SebastianMcKenzie通过推特发声,表示Babel资金困境的原因是现负责人HenryZhu领取了13万年薪,却并未实际参与项目。Vue.js作者尤雨溪也发文驳斥了McKenzie的说法。他表示「Workingonaproject」不仅仅指要提交代码文件,还需要做出决策、筹措资金、管理团队,并且负责人常常面临着巨大的心理压力。而后McKenzie删去了此前质疑Henry的言论,并发文表示为之前的言论道歉。
虽然关于Henry薪资的争议已经告一段落,但是Babel项目的资金问题仍然存在。Babel团队表示,尽管存在这些资金困难,他们仍然希望继续为核心成员支付薪资。未来Babel将专注于使Babel更容易配置,具有更好的性能,并产生更优化的输出,在执行新语法的同时,确保现有功能坚如磐石。
Babel团队的想法不难理解,诚然,维护优秀的开源项目不应该仅仅依靠贡献者“为爱发电”,劳有所获,劳有所得才是持续发展、持续产出的长久之道,这也是开源项目必须要面临的问题。现在开源已经逐渐被大家熟知并接受,但还是有一些优秀的开源项目因为资金问题难以支撑,这需要我们大家共同努力,帮助优秀的开源项目走下去,助力开源,成就开源!
开源社区现状:Rust审核团队集体辞职
2021年11月,为了抗议Rust核心团队不对除自己以外的任何人负责的行为,Rust审核团队在GitHub上发布公告宣布辞职。在发布公告三天后,Rust核心团队进行官方回应称,对于这个声明他们正在进行探讨和分享。大约又过了三周后,Rust团队发布长文进行回应,表示导致该问题的最直接原因是审核团队的前成员与核心团队之间,在如何处理一个核心团队本身也是利益方的审核问题上存在分歧。
从过去看,涉及Rust团队成员的审核操作是在审核团队和核心团队之间合作审查的。但是,由于核心团队的参与,没有明确的流程可循。两个团队都付出了大量努力来试图解决这种缺乏流程的问题,但在八个月的时间里,由于沟通不畅和分歧,这升级为审核团队和核心团队之间的信任问题。
从该事件这些细节看来,社区和Rust项目成员之间似乎有明显的分离。一个有生命力的开源社区应该是多样性、平等性和包容性的,有充足的贡献者与维护者来支撑项目的发展。因而一个庞大且可持续的社区不能仅仅建立在个人贡献者的肩膀上,而是需要公正透明,每个社区成员都有平等的权利来了解项目的状态。
开源协议现状:AWS和Elastic之间关于开源协议的大战
2021年1月15日,Elastic的创始人ShayBanon官网发文,宣布更改开源协议,即从Elastic7.11版本开始,Elasticsearch与Kibana代码由原先遵循的Apache2.0许可协议调整为SSPL与ElasticLicense双许可协议。然而这一更改,引发了业界很多开源技术人讨论与AWS的不满。
早在2012年,ElasticsearchInc公司成立并在2015年将公司品牌更名为Elastic。同一年,亚马逊于基于Elasticsearch推出自己的服务,将其称为——AmazonElasticsearchService。
在Elastic看来,亚马逊推出的产品名有很明显的商标侵权行为,且亚马逊针对Elasticsearch的OpenDistro分支,进一步分裂了社区,引发了相当多的混乱。因此,其于2019年将亚马逊告上法庭。
在AWS看来,Elastic的限制性许可只是为了阻止其他人提供托管Elasticsearch服务,帮助Elastic建立起更庞大的业务体系,丧失了“开源精神”。
2021年1月20日,因AWS的说法让Elastic的创始人ShayBanon在官网发文怒怼,称他们更改开源协议完全是因为AWS的逼迫不得已而为之,同时指责AWS本身的种种恶行。AWS回应Elastic公司的声明,否认自己威逼Elastic公司,表示自己一系列做法完全是为了创造一个更好的开源社区,也强调自己的做法得到了很多公司的支持。
虽说开源软件代表着任何人都可以自由共享和修改的代码,但是开源协议的细则边界该如何去守护,这需要我们进一步在开源应用过程中不断地完善。
开源版权现状:甲骨文诉谷歌Java侵权案败诉
2021年4月5日,美国最高法院以6票支持2票反对,判定谷歌并未侵权,自此甲骨文和谷歌之间关于安卓系统Java源代码侵权案终于尘埃落定。
此前甲骨文诉称,谷歌抄袭了旗下JavaAPI超过11000行的源代码用以开发安卓系统,对此提出索赔90亿美元的要求。而谷歌拒绝支付这笔赔偿金,认为对相关代码的使用属于合理使用范畴,因此无需承担版权责任。因此,双方法律诉讼案一打就是十年之久,而期间谷歌也曾败诉两次,判赔88亿美元。最终在持续上诉过程中,谷歌翻盘,甲骨文败诉。
在判决结果公布后,谷歌负责全球事务的高级副总裁肯特-沃克(KentWalker)在推特上发文表示:
最高法院在谷歌诉甲骨文案当中的判决是创新、互操作性与计算的一大胜利。感谢美国领先的创新者、软件工程师和版权学者的支持。
甲骨文则通过公司官网以执行副总裁兼总法律顾问DorianDaley名义发布简短声明称,谷歌平台变大了,市场力量也变得更强,但由于新竞争者进入壁垒抬高导致它的竞争能力也变低了:
(谷歌)偷走了Java,而且花了十年时间应对诉讼,这只有垄断者才能做得到,而这也正是包括美国在内的全世界监管当局正在审查谷歌商业行为的原因。
尽管裁决结果并没有直接否定API可以享有版权的事实,但它明确地表示了,根据版权法中“合理使用”的原则,API拥有者并不能随意阻止其他开发者使用其API来构建新程序。也就是说,广大开发者依旧可以像从前一样继续在项目中自由使用API。无论如何,这项判决对于安卓来讲意义非凡。
历经风雨,也迎接了彩虹,以上,便是过去一年中发生的一些极具影响力的开源大事件,也是我们亲身见证与经历的一些大发展,相信2022年的开源世界也将更加精彩。你对开源在未来的发展,有哪些期待,欢迎评论区留言,分享你的想法。
《新程序员003》正式上市,50余位技术专家共同创作,云原生和数字化的开发者们的一本技术精选图书。内容既有发展趋势及方法论结构,华为、阿里、字节跳动、网易、快手、微软、亚马逊、英特尔、西门子、施耐德等30多家知名公司云原生和数字化一手实战经验!
