如今开源软件已经遍地开花,其中独角兽就有估值65亿美元的Mulesoft、估值40亿美元的MongoDB等。IBM去年也以320亿美元收购了Redhat。
到2025年,与目前的IT支出相比,70%以上的企业将增加在开源软件上的IT支出。此外,SaaS将成为开源软件的首选消费模式,因为它能够提供更好的操作简单性、安全性和可扩展性。
过去几年,开源界一片火热,开源软件技术已全面进军操作系统、云原生、人工智能、大数据、半导体、物联网等行业领域。
最近,有两幅关于 Vue 安全问题的截图在业界广为传播,截图内容表明目前有多家公司统计软件开发过程中使用 Vue.js 和 SonarQube 的情况,疑似有黑客利用 Vue.js 和 SonarQube 中的漏洞对我国境内机关和重要企事业单位实施网络攻击探测。
但不可否认的是,在过去的一两年,开源在全球呈高速发展趋势,越来越成为跨越国界和语言的共识。
在当下软件应用的开发过程当中,自研的内部代码所占的比例逐步地减少,开源的框架和共用库已经得到了广泛的引用。如下图所示,在一个Kubernetes部署的应用当中,我们自己开发代码所占的比例可能连0.1%都不到。
作者|George Anadiotis 译者|进击的辣条 开源将继续存在,云正在催化其增长,区块链生态系统正在不断发展和多样化。 近期,在过去的几年中,我们每年都回顾了驱动数据库、数据管理和人工智能等关键技术发展的源动力。在 2021 年的年尾上,我们也对开源、云计算、区块链等技术在 2021 年的发展进行了回顾,试图找出塑造 2022 年的新模式。 该回顾属于系列文章,后续作者将对AI、知识图谱等领域盘点进行输出,感兴趣的读者可持续关注该系列报道。 PART ONE 开源和云:火热的增长与“独角兽
开源软件已经成为了软件开发的主要部分,但其安全性仍然是关键的关注点。本文深入探讨了开源软件的安全性,挑战与机会并为如何确保安全提供策略。
随着近些年来国内外局势的变幻,更多企业开始重视IT基础设施的自主创新。作为涉及国计民生的支柱性产业,金融业尤为关注此点。而在IT基础设施之中,数据库更是作为三大基础软件之一、交易和数据的主要载体则受到更多的关注。本文在数据库技术发展趋势下,结合金融行业特点,阐述金融企业如何做到数据库自主创新。在正式展开之前,先谈谈对“自主创新”的理解。一方面是基础软件的供应链安全问题:就是采用主权范围内厂商具有完全知识产权掌控力的软件,不受国外产品和服务体系供应的限制。另一方面企业可根据自主意志,按自己的需求、想法,在不违反授权的情况下,自由地修改和使用软件,无论是开源软件还是商业授权软件。
采访嘉宾 | Brian Behlendorf、董国伟 编辑 | Tina 开源安全正在经历一个加速变革的时期。 Log4Shell 爆发后,负责 Log4j 的三位没有酬劳的维护人员一边忍受抨击,一边不眠不休地工作了一个多星期,为这份影响世界的代码打上了补丁。 Log4Shell 再次凸显了在 SolarWinds 攻击后备受关注的供应链安全问题。2022 年本应是“供应链安全元年”,不幸的是,一年后的现在这个漏洞仍然普遍存在,修复版本采用率没有想象中的高,而且数据显示,软件供应链攻击频次反而呈
就在5年前,投资者对于开源软件这种商业模式依旧持怀疑态度。他们都认为Redhat就像一片雪花(意指看上去很美腻,但随时可能化为虚无),当时也没有其他开源公司在软件领域获得较为出彩的成绩。
InfoWorld 2018年云计算最佳开源软件奖得主包括Kubernetes、Prometheus、Envoy、Jaeger和Helm
开源和免费软件商业模式的持续性问题一直是技术和商业领域的热门话题。近期,数据库公司MariaDB因财务困境裁减了28%的员工,这一事件再次引发了人们对开源和免费软件商业模式可持续性的讨论。
前面两篇谈完了开源软件的发展背景,以及这几年会蓬勃发展的原因,接着来谈究竟开源软件的商业模式如何发展。
总的来说,开源软件通过提供开放的创新模式、快速迭代和反馈循环、共享知识和资源、建设生态系统和推动标准化等方式,为技术创新提供了一个良好的环境和平台。它不仅促进了技术的发展和进步,也为全球社会带来了更多的机会和可能性。
开源软件(Open source software, OSS)是指一种可查看、可修改的公开计算机程序,它对我们今天的软件开发产生了巨大的影响。从宏观分析,几乎所有的应用程序都会应用第三方开源软件,复杂的软件间调用和不同软件版本上下游依赖形成了一条多个软件和多层依赖关系的供应链。然而,在开源软件带来高效开发的同时,也带来了快速增长的软件漏洞的安全问题。对于那些有意破坏网络安全环境的人或组织而言,针对软件供应链的攻击是一个极具吸引力的切入点。本文将从两方面出发,先对本年度的开源安全现状进行分析和说明,然后针对软件生态系统中存在的安全问题,总结了多种开源软件的安全研究动态。
<数据猿导读> 在去年的Strata+Hadoop World大会中,巨杉数据库作为唯一的中国参展商在大会上做了展览和演讲,在本次《数据猿巅峰思享会》现场,王涛以“大数据和数据库的未来趋势”为主题再次
去年发生了一些令人震惊的攻击,这使得开源软件供应链的安全性备受质疑。成千上万的计算机被一个免费的安全软件工具CCleaner故意损坏,同一周内一群黑客向Python Package Index(PyP
开源软件同普通人有啥关系? 普通人只要使用智能手机或者上网,就在不知不觉中使用开源软件。智能手机的Andriod系统是开源的,iOS系统也是源于开源的Darwin。大部分网站系统是基于开源的操作系统(Linux),开源的Web服务器(nginx、Apache)和开源的数据库(MySQL)。据统计,世界排名前一万的网站中有75%由开源软件驱动,因此开源软件同每个人都息息相关。 开源等于免费吗? 开源软件(Open Source)同自由软件(Free Software)的根本区别就是开源软件仅仅把开源当成
对于web应用的渗透测试,一般分为三个阶段:信息收集、漏洞发现以及漏洞利用。下面我们就分别谈谈每个阶段需要做的事情。
俄乌冲突背景下,俄国媒体发文称,世界第一开源软件平台 GitHub 正在考虑限制俄罗斯软件开发者访问开源软件源代码储存库。此外,数据库巨头 Oracle 也宣布已经暂停了在俄罗斯的所有业务。这些消息迅速刷屏,原因之一便是现在的 IT 世界已离不开开源。
看任何事情都具有两面性,开源有开源的劣势,闭源也有闭源的优势,虽然我喜欢并且提倡使用开源软件,但开源软件并不是万能的,在特定的场景下还是需要闭源来支撑。咱先说闭源。气象部门的软件开发大多采用项目制外包,承接公司一般根据需求进行定制化开发。虽然大多数项目合同要求公司提交源代码及说明文档,但有几个气象单位建立了自己的代码库和文档库呢?一个项目一个源码包,闲置在电脑的某个角落再也不碰了,升级运维呢就是谁开发谁管,满足项目要求了就不再管优化升级的事儿了。这就导致软件系统没有生命力、升级优化跟不上节奏、重复开发重复建设频繁等诸多问题的出现。当然也有些现实问题摆在面前,有些气象部门根本就没有信息系统建设部门,也缺少信息系统开发的人员来管理本单位的信息系统开发和建设,常常是派一个学气象专业的人盯着项目、和开发公司对接,只能做到需求的解释传达,很难做到本单位气象软件系统建设的长远规划和规范实施,更别说去阅读和管理开发公司的程序源码了。问题和困难都有,但并不是不可解决的,“借他山之石,逐己身之玉”。作为气象部门,寻找到一家靠谱的可长期合作的开发公司是多么的重要。气象业务系统真正的价值在于应用,在于快速响应业务变化,在于有旺盛的生命力,而这些就需要标准化、规范化、可复用、高性能的开发模式做支撑。软件的核心在于程序源码,我们可以不去开发源码,但不能不去管理源码、应用源码。靠谱的乙方合作公司加上有软件工程建设思维的气象甲方,联合打造一套只为自己气象业务应用的闭源仓库、文档仓库,于公于私都将是一件提升业务核心竞争力的事情。
据Gartner的调查显示,99%的组织在其信息系统中使用了开源软件,而Sonatype对开源软件使用情况的调查结果显示,每年每家企业平均下载5000多个开源软件。
JavaScript Standard Style 是一个月下载量超过 300 万的流行 JS 库,该项目在 GitHub 上拥有接近 2.2 万 Star。它是一个 JavaScript 代码规范,自带 linter & 代码自动修正,根据其 ReadMe 文档,该工具通过以下三种方式为开发者及其团队节省大量时间:
1月15日,全球著名的大数据搜索与实时处理公司Elastic公司CEO Shay Banon突然发文宣布,Elasticsearch和Kibana的其中一项开源许可协议将发生变更。
Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。超过96%的产业机构在其开发实现的软件应用代码库中使用开源组件。由于开源体系安全意识的淡薄以及代码重用的盛行,这一比例将持续扩大。
近日,AWS宣布正式推出文档数据库服务:DocumentDB。AWS DocumentDB是一项支持MongoDB工作负载的文档数据库服务,硬怼MongoDB的意思非常之明显。
---- 新智元报道 编辑:袁榭 好困 【新智元导读】最近,东欧黑土地上的冲突已经蔓延到了技术圈。俄国准官媒表示:Github或封锁我们,不准使用开源软件。Github的CEO则发文表示:暂无此事。 2022年2月28日,俄国准官方大报《生意人报》放出消息,称世界第一开源软件平台GitHub正在考虑限制俄罗斯软件开发者访问开源软件源代码储存库。「虽然乍看去开源软件是自由使用的,但开源协议仍然存在,而且内含部分限制,比如禁止受制裁国家的居民使用免费贴出的代码。」 3月2日,GitHub官方回应称,
从2016年起,笔者在腾讯公司负责QQ后台的海量服务分布式组件的架构设计和研发工作,例如微服务开发框架SPP、名字路由CMLB、名字服务、配置中心、NoSQL存储等,在分布式架构、高性能架构、海量服务、过载保护、柔性可用、负载均衡、容灾、水平扩展等方面做了大量的工作,以公共组件的形式,支撑了来自QQ后台和其他BG海量服务的海量流量。后来在2018年底,笔者负责监控大数据平台的研发工作,目标是解决现有监控后台成本高昂的痛点,和支撑内部和外部的海量监控数据的需求,打造千亿级监控大数据平台。 笔者发现当前在监控技术领域缺乏优秀的监控系统,尤其是在海量监控数据场景,很多团队常用的一种做法是堆机器和堆开源软件,比如采用大量高配置的机器,单机百CPU核数、TB内存、数十TB的SSD存储,堆了一堆开源软件,例如Elasticsearch、Druid、Storm、Kafka、Hbase、Flink、OpenTSDB、Atlas、MangoDB等。
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决?关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题。 前段时间,ARM 开源项目宣布从 GitHub 迁移至 GitLab。当时,Arm 杰出工程师兼软件社区高级总监 Andrew Wafaa 解释道:“GitHub 其实是个黑箱,我们必须与之合作、或者
全球的软件基础架构大部分现在都基于开源软件。应用程序和软件工程负责人应该使用该成熟度曲线,跟踪了解促进使用开源软件或由开源软件提供支持的创新。 战略规划假设 到2025年,与目前的IT支出相比,超过70%的企业将增加开源软件方面的IT支出。 到2025年,SaaS将成为开源软件的首选消费模式,这是由于它能够提供更好的操作简单性、安全性和可扩展性。 到2025年,75%的应用程序开发团队将在其工作流程中实施软件组成分析工具,以便最大程度地降低与开源软件有关的安全和许可风险,而今天这一比例为40%。 到2025
自1998年Chris Peterson提出开源软件(Open Source Software)的概念以来,全球开源社区迅猛发展。直至今日,在“软件定义一切”的现实世界里,开源和闭源长期共存,构成主流业态。
【新智元导读】 在今天的数字世界中,开源软件几乎为现代社会和经济的全部赋能。了解构建,维护和使用这些开源项目的人员对于关心开源的可持续发展的任何人,以及依赖于这些项目的关键服务和技术网络都是至关重要的。这项调查的目的是为有关开源社区的的一系列主题提供高质量的数据,并为今后的研究提供信息。 本开源调查是GitHub的一个开放数据项目,合作者来自学术界,工业界,以及开源社区。 概述 GitHub与来自学术界,工业界和开源社区的研究人员合作,设计了这个调查,收集了关于开源软件开发实践和社区的高质量、最新数据。
开源许可证从最早的 GPL 开始, 逐渐演进到 GPLv2 和 v3,中间还有 Apache、MPL、AGPL、LGPL 等,但是近几年来有一批新的许可证的出现,引起了社区的一些激烈的讨论。这些新的许可证包括 BSL、SSPL、Elastic 以及一个比较特殊的附加条款 Commons Clause。
随着云计算的发展和普及,在云上使用软件已经成为了主流,为了帮助广大用户理解,我在这里对云上软件的三种主要形态以及如何做出选择做一个简单的分析。
大数据文摘出品 作者:Caleb 战争仍在持续。 4月18日,俄军继续炮轰乌克兰城市。在乌克兰西部的利沃夫,军事设施、汽车维修点遭俄军火箭袭击,已经有7人丧生;在俄军围困的南部重镇马里乌波尔,乌克兰军队无视了俄罗斯要求他们投降的最后通牒,马里乌波尔地方官员说,俄罗斯军队开始向当地人发放“通行证”,没有通行证不准上街、不准前往其它城区。 根据联合国统计,自乌俄战争爆发以来,已经有超过490万乌克兰人逃往国外。 而在世界范围内,这场战争的影响也在持续扩大。 最近,不少俄罗斯开发者都表示,他们在GitHu
陈育兴:大家好,我是开源项目3TS的指导导师——陈育兴,一名腾讯云数据库高级工程师,博士毕业于芬兰赫尔辛基大学。主要参与腾讯数据库TDSQL团队的研究和开发工作,专注于数据库管理系统的高性能、高可用性和强一致性等核心技术。
我是 Bob Jiang (个人博客:https://www.bobjiang.com/),开源软件领域的新人。我从2018年加入区块链领域开始认识和了解开源。当时我创立了HiBlock 区块链社区,目标是在中国推广区块链技术。所以我开始学习比特币、以太坊、智能合约等。而所有这些区块链的产品(或项目)都是开源的。如比特币:https://github.com/bitcoin 以太坊:https://github.com/ethereum 等等
人类社会正在加速数字化。一个显而易见的事实是,人们生活、工作的方方面面都离不开各种各样的软件。不久以前,人们还不知道什么是软件;从今往后,软件正在吞噬整个世界[https://a16z.com/2016/08/20/why-software-is-eating-the-world/]。当我们仔细考察当今大多数软件的结构时,令人惊讶的是绝大多数软件都依赖开放源代码(简称“开放源码”,Open Source Code)。开放源码并不是人们通常想的那样,由类似微软、甲骨文等这样的专业软件公司开发和维护,并像其他商品那样销售。它们完全是由一些软件开发者和专业人士组织起来的社群来负责开发和维护,而且完全免费给用户使用。除此之外,开放源码完全是公开的,用户可以自由的更改和完善代码,并无限的拷贝和再发行。
在小米安全峰会上,教主提到了另一个问题:“是否安全问题会影响多个产品,甚至整个行业?”
开源软件已经深深地渗透到了我们的日常生活和商业实践中。它不仅改变了软件开发的方式,还对全球经济产生了深远的影响。但在商业和社区之间找到一个平衡点是一个持续的挑战。本文将探讨开源的经济影响,以及如何在商业和社区之间找到一个和谐的平衡。
机器之心发布 机器之心编辑部 解决卡脖子问题,最关键的还是要建立好自己的开源社区。 2020年6月,哈工大师生陆续发现MATLAB软件无法使用,MATLAB 是美国MathWorks公司出品的商业数学软件,受到全世界上百万名数学家和工程师的喜爱,尤其是中国工科学生绘制论文图表的首选软件。而哈工大的学生却突然收到了正版软件取消激活的通知。 向开发公司MathWorks询问之后得知,因哈工大被纳入实体清单,在特朗普政府的要求下,MATLAB将对哈工大师生强行停止授权,即使是在已付费的情况下。目前,国内共有 1
一、背景情况 开源软件具有开放、共享、自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分。据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件。而来自Sonatype公司的一项调查则显示,在参与调查的3000家企业中,每年每家企业平均下载 5000个开源软件。 然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,
逛Github时经常看到项目README旁边,有个License tab,不知道大家是不是跟我一样,撇了一眼就过去了,不太清楚这个license具体作用,有点法律意识的朋友可能会意识到这个可能是版权声明,不过难免还是会有其他疑问:既然都开源了,怎么还有各种条件限制?除了GPL还有Apache、MIT等,这些"License"又有哪些区别呢?
国际公认的开源许可证有 80 多种,共同特征是允许用户免费使用、修改、共享源码,只是都有各自使用的条件。
最近和客户交流的时候,听到一些的关于开源可控与开源软件使用的声音。正直华为被制裁,多个中国企业上榜美国商务部进出口管制实体名单,又有一些自媒体在带节奏,描绘开源软件同样受到实体名单限制的影响,似乎一时间,加强自主可控的声音、避免被卡脖子的声音似乎等同于拒绝采购,拒绝开源厂商的服务。
开源软件现在成为整个互联网时代的支撑技术,你可能已经无法离开由开源软件构建起来的网络世界了。下面我们就来看看一些最重要的开源技术。 为互联网而生的操作系统linux Linux是一款免费的操作系统,诞生于1991年,用户可以通过网络或其他途径免费获得,并可以任意修改其源代码。 它能运行主要的UNIX工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳 定的多用户网络操作系统。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受
Linux基金会和哈佛大学创新科学实验室的研究人员进行了广泛调查和深入研究,得出了有关企业内常用的免费开源软件(FOSS)的一些重要结论与潜在安全风险。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
