这几天发生了什么 XZ实用工具 和 FFmpeg 人们对自由软件的未来产生了很多担忧。 我意识到这个标题听起来像是标题党,但我的目的并不是要带来世界末日或产生访问量,而是要指出一个引起许多观察家担忧的事实。
理查德·斯托曼(Richard Stallman)是一位伟大的程序员,但了解人性并不是他的专长。 自由软件运动需要大多数参与者的良好意愿,而这似乎是所缺失的。
我并不是因为斯托曼的成功而责备他。但是,如果自由软件基金会是由更了解该行业如何运作的人管理的,那么可能可以采取预防措施来避免这些情况。
关于 XZ Utils 和 FFmpeg
正如我们在上述文章中所说,XZ Utils 是大多数 Linux 发行版通常包含的压缩库。由于主开发人员疲惫不堪,他将主动权交给了另一位自称简涛的开发人员。 一名程序员发现,JianTao 中包含的代码可能会在某些情况下促进未经授权的访问。 后来的调查显示,他已经在另一个项目中尝试这样做了。
FFmpeg 是一个用于录制、编辑和转码多媒体内容的开源库。
在 帐户 来自该项目的社交网络X发布:
xz 的惨败表明,对无偿志愿者的依赖会导致严重问题。价值数十亿美元的公司期待志愿者的免费和紧急支持。
@Microsoft @MicrosoftTeams 在志愿者运行的错误跟踪器上发帖称他们的问题是“高优先级”
在礼貌地向微软请求一份长期维护支持合同后,他们转而提供了一次性支付几千美元的费用。这是无法接受的。
这并不是志愿者第一次制造安全问题。
Heartbleed 是开源 OpenSSL 库的一个严重安全问题。 该漏洞允许攻击者读取服务器或客户端的内存,从而访问机密信息。 存储在内存中,例如服务器的 SSL 私钥。
该漏洞是在 志愿者在新年前一小时上传的补丁。当时并未怀疑有恶意。
问题的根源
在本世纪的前二十年,专门为大公司和组织提供解决方案的技术公司的商业模式发生了变化。传统上 它基于实物产品的销售。这是在物理介质上销售的硬件和软件组合解决方案。
随着互联网的普及和云的普及,盈利轴心从销售实体产品转向提供服务。 IBM、Red Hat、Oracle 以及后来的 Ubuntu 等公司通过收取技术支持费用,建立了基于 Linux 和其他开源产品的业务。随着时间的推移,微软本身也不得不将这些项目的支持添加到自己的云平台中。
问题是,许多公司从免费和开源软件中受益,但没有做出贡献。 我和我的同事都报道过几个项目更改了许可证的消息,因为它们被不给予任何回报的组织用来赚钱。
精疲力竭的开发商、不诚实、政府间谍活动和贪婪的结合正在创造出一种危险的鸡尾酒 由于缺乏志愿者和丧失可信度,这最终可能导致自由软件运动的结束。
怎么解决?
我认为应该对自由和开源软件的许可证进行更改,迫使那些获得经济利益的人为他们从中受益的项目做出贡献。