网站制作洋网络,企业工商信息查询系统官网,企业整站网站模板下载,去成都需要隔离吗#xff08;首发地址#xff1a;学习日记 https://www.learndiary.com/2024/04/xz-tar/#xff09; 嗨#xff0c;大家好#xff01;我是来自淘宝网“学习日记小店”的 learndiary#xff0c;专注于 Linux 服务领域。今天我要和大家谈谈近期备受瞩目的 XZ 供应链投毒事件…首发地址学习日记 https://www.learndiary.com/2024/04/xz-tar/ 嗨大家好我是来自淘宝网“学习日记小店”的 learndiary专注于 Linux 服务领域。今天我要和大家谈谈近期备受瞩目的 XZ 供应链投毒事件并借此引申到开源世界中小型基础软件项目的生存困境。本文基于“通义千问”归纳视频字幕生成文本修改。视频演示【开源项目生存现况xz投毒事件引发的思考与GNU tar维护挑战】 https://www.bilibili.com/video/BV1Nm411r76N/ 开源项目生存现况xz投毒事件引发的思考与GNU tar维护挑战 最近热议的焦点在于 JiaT75 这位开发者在一个开源项目中潜伏长达三年试图植入后门。这起事件引发了我对开源社区中小型基础项目如 xz 的生存状况的关注。Deepin Linux 社区论坛上的一个转贴见参考链接1揭示了 xz 项目的原唯一维护者 Lasse Collin 早已不堪重负仅能应对修复已知bug无力进行新功能开发。这种情况使得 JiaT75 能够险些成功地在其代码中注入恶意内容而这与小软件项目因资源有限而面临的挑战紧密相关。
我自己也曾亲历过相似的开源项目困境这次是针对 Linux 下常用的归档工具 GNU tar。我发现 GNU tar 当时无法正确恢复通过 chattr 设置的不可更改文件属性见参考链接2。当我向 tar 的邮件列表提问该功能是否存在时得到了明确答复目前 GNU tar 不具备恢复此类属性的功能且短期内也没有将其纳入开发计划。尽管 tar 的维护者认可这是一个有价值的特性但可能由于时间和精力有限暂时无法着手实施。
此外另一位程序员用户提交了另一个 tar 的补丁但他也被告知维护者们正忙于其他事务尚未对此补丁进行全面评估和整合。这些迹象表明GNU tar 项目似乎也面临着与 xz 类似的维护难题。我分析是随着 Linux 使用人数的增长对软件维护的需求增加而小型基础软件的维护压力也随之增大尤其是在缺少充足人力和长期专注维护的情况下。
回顾 OpenSSL 曾经爆发的“心脏出血”漏洞事件参考链接3我们可以看出开源社区在面对危机时展现出的自我修复能力和生命力。尽管 OpenSSL 曾面临严重的管理问题和资金短缺但在事件曝光后不久Linux 基金会迅速采取行动通过成立核心基础设施联盟CII等方式筹集资金并加强关键开源项目的维护力度。这证明了即使在面临重大挫折时开源模式依然能够凭借其透明性和广泛参与的优势找到解决问题的办法。
因此我认为我们不应因这次 xz 供应链投毒事件而否定开源模式的价值。开源本质上倡导的“我为人人人人为我”的理念有助于构建一个更加安全、公平和美好的信息社会避免陷入互相伤害的恶性循环。同时开源还能有效缩小数字鸿沟削弱数字霸权的影响。
总结来说尽管诸如 xz 和 GNU tar 这样的基础开源软件可能会遭遇维护困境但只要我们坚定开源立场积极寻求解决方案一定能够改善它们的生存状态确保开源世界健康有序的发展。让我们共同期待并努力营造一个更加繁荣、安全、公正的开源生态环境。再次感谢大家的关注希望这些分享能引起更多人对开源项目可持续发展问题的重视。下次再见
参考链接
【转载】从 xz 后门事件看开源项目维护者和用户关系 https://bbs.deepin.org/post/270171Linux tar 保留文件特殊属性使用小结 https://www.learndiary.com/2024/03/gnu-tar/开源软件和OpenSSL的真实故事到底是什么样的 https://www.geekpark.net/news/212283
