整理 | 宋彤彤
责编 | 屠敏
开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外今日的开源大事件吧!
开源大新闻
开源软件专区
开源工具推荐
用 GPL 开源后想转闭源,法院判决 GPL 协议终身有效
2021 年 4 月 30 日,罗盒公司状告风灵创景公司侵权获赔 50 万元,同时法院要求风灵公司停止侵权行为,该案例是中国首个明确 GPL3.0 协议具有法律效力的案例。而在 2021 年 9 月 29 日,罗盒公司状告玩友公司侵权却败诉。此案件是罗盒公司状告玩友公司未经购买而使用了它的商业软件 VirtualApp,玩友反驳称其软件是开源的,无需付款。最后法院认定 VirtualApp 是开源软件,且认可 GPL 的效力。这个案例指出了一个问题:用了 GPL 后能否转闭源?
此前罗盒曾删除 GPL 声明,也不再维护 GitHub 上的开源版本,专注于闭源商业版。但玩友使用的是 GitHub 上的 VirtualApp 。而罗盒的逻辑是即便使用的是 GitHub 上的版本同样也需付费,因为 GitHub 上的版本已不是 GPL,需购买商业使用授权。最终法院的判决认定 GitHub 上的软件仍然属于开源,符合 GPL。虽然罗盒删掉了 GPL 声明,但曾经声明过,便不能撤销。你可以在后续版本使用新协议,但 GitHub 版本已不能更改。
一场持久战:H2 数据库中发现类似 Log4j 的漏洞
近日,JFrog Security(软件分发社交平台)的一名安全研究人员在 H2 数据库(开源 Java SQL 数据库)控制台中发现了一个基于 JNDI 的严重漏洞,与 Log4Shell 类似,该漏洞存在于 Apache 日志库中。此漏洞现在被跟踪为 CVE-2021-42392。
而在 1 月 10 日,美国网络安全与基础设施安全局(CISA)高级官员表示,安全人员与 log4j 安全漏洞的斗争将是一场持久战。在 10 日的电话会议期间,CISA 主管 Jen Easterly 向记者透露,尽管还有许多攻击未公开,但除了对比利时国防部的攻击之外,目前美国联邦机构还没有看到直接 Log4j 漏洞进行的重大网络攻击。(ZDNet)
GitHub 又发生中断,用户无法使用 AWS CodePipiline 进行部署
世界标准时间 1 月 12 日 2:22,GitHub Pages 性能下降,随后 GitHub Actions 性能也开始下降,影响了许多用户的操作。在服务状态发生错误一个小时内问题得到解决。一些网友纷纷发言表示,“能否仔细检查服务器,至少希望服务不会宕机”;“由于 GitHub 错误,我无法使用 AWS CodePipiline 进行部署”;“ Github Actions 出现问题,但显示 Github Pages 的服务降级。我想知道这是否意味着他们在这两个组件之间共享服务器。”据悉,新的一年才过去十多天,GitHub 已出现两次事故。
Red Hat / Fedora Anaconda 安装程序转向基于 Web 的 UI
用于执行新操作系统安装的 Red Hat / Fedora Anaconda 安装程序正在对其用户界面进行重大改写,并将继续基于 Web 进行改进。Anaconda 长期以来一直是基于 GTK 的,但现在他们正在考虑将 UI 重写为基于 Web 浏览器的 UI,以利用 Red Hat 的 Cockpit 项目。新 UI 将在本地或远程运行,对于那些希望进行无头服务器安装的人来说,这比通过 VNC 等进行更容易。(Phoronix)
Git.io 不再接受新的 URL
1 月 11 日,GitHub 团队发布博客,称用户不再允许在 git.io 上创建新的 URL,现有的 URL 将允许继续访问,未来他们将弃用 git.io 工具,也呼吁大家使用更多可用的 URL 缩短服务。
Firefox 96 发布,主线程负载显著减少
1 月 11 日,Firefox 96 正式发布。Firefox 96.0 显著减少了浏览器主线程上的负载量,并且在噪声抑制和自动增益控制以及回声消除方面也有显著改进。除了该性能工作之外,还有修复了 WebRTC 降低屏幕共享分辨率的问题,改进了 cookie 策略以降低跨站点请求伪造 (CSRF) 攻击的可能性,视频质量下降修复和其他修复等。
更多详情见:http://ftp.mozilla.org/pub/firefox/releases/96.0/
Ubuntu Touch OTA-21 发布
Ubuntu Touch 是 UBports 推出的尊重隐私和自由的移动操作系统。Ubuntu Touch OTA-21 发布,此版本的 Ubuntu Touch 仍然基于 Ubuntu 16.04。此版中有一些改进:系统设置中的存储统计(空闲/占用空间)全面进行调整;Greeter 进行了重新设计;为 Halium 10 做准备;Media-Hub 重构以及其他改进等。
更多详情见:https://ubports.com/blog/ubports-news-1/post/ubuntu-touch-ota-21-release-3798
QingScan:一个批量漏洞挖掘工具,黏合各种好用的扫描器
QingScan 是一款聚合扫描器,本身不生产安全扫描功能,但会作为一个安全扫描工具的搬运工; 当添加一个目标后,QingScan 会自动调用各种扫描器对目标进行扫描,并将扫描结果录入到 QingScan 平台中进行聚合展示。支持 web 扫描、系统扫描、子域名收集、目录扫描、主机扫描、主机发现、组件识别、URL 爬虫、XRAY 扫描、AWVS 自动扫描、POC 批量验证,SSH 批量测试、vulmap 等功能。
GitHub 地址:https://github.com/78778443/QingScan
【欢迎投稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:[email protected]。开源世界的一切,由你我共同创造!