一方面是因为维护人力确实有限 , 另一方面则是财力上的巨大差距 。
世界上所有伟大的商业软件 , 都离不开开源软件的支持 , 就像安卓离不开Linux , iOS离不开FreeBSD 。
但回过头来 , 开源项目也因为没有足够的人力物力 , 导致使用起来难用和稳定性差 。
大厂们虽然也会派员工去参与代码维护 , 但大多数情况下都是能白嫖就白嫖 , 反正以大厂的反应能力 , 出了问题也能光速修复 。
商业软件享受了开源代码带来的好处 , 但出现问题带来的损失和谩骂 , 几乎是开源项目的维护者在承受 。
再聊回阿里云这次做得不对的地方 。
阿里云的安全技术人员在11月就发现了这个漏洞 , 也确实很快就报告了给apache软件基金会 。
这个操作没问题 , 毕竟Log4j是Apache旗下的开源项目 。
但在发现漏洞后 , 阿里云居然没有尽快向工信部报告 , 在代码界 , 漏洞上报的及时性是很重要的 。
然而 , 从阿里云上报漏洞到Apache , 到工信部得知漏洞 , 这中间隔了足足有十几天 。
好家伙 , 这十几天都足够小雷在网上吃遍今年所有的瓜了 。
如果黑客别有用心 , 利用这漏洞窃取资料造成巨大损失 , 这算不算是阿里云的锅?
目前阿里云也对这事儿作出看回应 , 表示是当时没有意识到漏洞的严重性 , 才导致最终未及时上报 。
不过怎么说 , 阿里云确实没遵守《网络产品安全漏洞管理规定》 , 被取消合作伙伴资格6个月的事实也板上钉钉 。
希望在这次事件发生后 , 大厂们都能更加重视开源项目的安全性吧 。
总不能只顾着白嫖 , 不帮开源项目的开发者分担下维护压力呀 。
相关经验推荐
- vivo NEX|vivo高端旗舰稳了,7英寸大屏+微云台2.0+骁龙8 Gen,年后发布!
- 阿里巴巴|Intel计划以代号Bonanza Mine的ASIC架构处理器跨入挖矿热潮
- 云米|抖音推出了电脑客户端,终于可以方便的在电脑上刷抖音了
- 苹果|有颜有值有实力,云米AI扫拖机器人Alpha 3体验:做个懒人,真舒坦
- CPU|龙蜥利器:系统运维工具 SysAK的云上应用性能诊断
- 云盘|免费不用花钱,教你一招,让你的电脑空间瞬间增加300G!
- 云米|冬天属于我的第一把键盘——米物ART系列机械键盘Z870冬之旷野
- vivo|vivo平板或将支持44W充电 NEX 5新机可能无缘微云台功能
- 方太|茅忠群眼中的方太和厨电业, 不畏浮云遮望眼
- 奥维云网|2K手机真不给力?首发ColorOS 12,功能向旗舰看齐该是你的菜了吧