众所周知,开源维护需要“用爱发电”,不仅没有工资,还要负责开源项目的支持。对于那些开源维护者来说,他们往往有着自己的工作,而开源维护只是他们的兴趣爱好,并不能够为他们提供任何收益。
相比之下,许多公司却在不提供任何资金支持的情况下,利用这些开源项目进行牟利,反过来还要求开源维护者要尽快完成好他们的维护工作,这对于维护者来说无疑是雪上加霜。
最近,cURL作者Daniel Stenberg表示,自己收到了来自某500强企业发来的邮件,以下是原邮件内容:
最新发现的”零日漏洞”正影响着Apache Log4j,可能会导致服务器受到攻击者的控制。
对于我们而言,安全性和客户信息非常重要,因此我们想要了解您对这一漏洞的风险评估和缓解计划。
烦请您回答下列问题:
1.您使用的是什么版本的Log4j?
2.您的团队是否发生过任何安全事件?
3.如果有,哪些软件、产品和服务受到了影响?
4.是否有任何我司产品和服务受到影响?
5.我司的非公开信息或用户个人信息是否受到影响?
6.如果是,请您提供受影响的信息细节。
7.多久能够完成补救措施?请具体列出日期。
8.您需要采取什么行动来进行补救?为确保此次调查的完整性,您务必不要将与我司有关的信息透露给您的团队以外的人。
Daniel收到这封邮件还觉得奇怪,他既不是Log4j的作者,也没有参与过Log4j漏洞的维护。因此他在推特上调侃道:“既然贵司是一家价值近百亿元的公司,并且很重视Log4j这个漏洞,为什么不给OSS作者发邮件并让他们在24小时内回复你呢?反正你们公司也是在白嫖。”
此后,开源维护者Alessandro Ranellucci表示自己也收到了类似的邮件,信中该公司表示希望能够确保Silc3r的安全性。对此Alessandro非常无语,他表示自己同样不是作者,而只是一名维护者。
从该公司所发的两封邮件可以看出,该公司并不了解开源维护相关项目,对于这些安全事件也是后知后觉。Log4j漏洞已经出现了一段时间,从邮件中提到的问题我们可以发现这家公司对于这个事件并不了解,却一味的要求“白嫖”。一方面从开源社区获取利益,另一方面不给予任何回馈。对此,你怎么看?
参考链接:https://twitter.com/bagder/status/1484672924036616195