这个作业的要求是: https://bbs.csdn.net/topics/607938212
在阅读了《2022 中国开源发展蓝皮书》后,产生了如下一些疑问
1.
法律风险表现在开源许可证法律效力有待进一步明确,著作权边界纵横交织,专利权体系复杂,商业秘密判断困难等方面
经过网络查询,我了解到开源软件几乎等同于免费,无偿分享出去,因此其他人在使用时,相当自由,而开源软件有许多许可证,如BSD、GPL等,那么如何保证使用者遵守了这些许可,未遵守又该如何界定?这其中会产生相当多的问题,比如
Apache基金会在2017年7月禁止Apache 产品中使用遵循BSD+Patents License的JAR包。质疑漩涡进一步发酵,社区激烈地质疑Facebook违背了开源的精神。
在持续发酵的情况下,Facebook承诺更换许可证,并于9月26日遵守承诺在发布React16时更换为MIT许可证。
对于Facebook这种大企业,外部压力和法律效力可以进行约束,问题也比较容易发现,而一些小型企业又如何整治,诉讼成本和回报能否匹配?
2.
大型云服务商很 容易获取到优质的开源项目,并将其作为托管服务提供给客户。这些大企业并没有动力去回馈开源 社区,很自然地从这些别人的工作中获得不公平的利润,从而破坏了开源创新所需要的发展动力。如果这种现象持续存在,将会极大地对开源从业者创办企业和获得投资方面产生抑制作用。
对于这种大企业垄断行为,小型企业、团队、个人开发者该如何反制,因为垄断行为和恶性竞争是很模糊的界定,单纯依靠法律手段很难行之有效,而其余手段对大企业而言更难生效,遇到这种情况是否放弃开源是更好的选择?
3.
开源带货”逐渐盛行,通过开源的方式帮助产品及企业触及更多用户,由此带来了巨大的商业化或专业版本服务的机会。
企业开源可以提高知名度,带动付费项目收入,而个人开发者开源除了用爱发电又有什么好处?开发过程中的成本该如何回收?是否有一个合理的运营模式?
4.
2021年12月10日,Apache Log4j2被发现其某些功能存在递归解析功能,存在攻击者可直接构造恶意 请求,触发远程代码执行的漏洞。根据工信部发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络 安全风险提示》,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危 害,属于高危漏洞。
开源软件出现的bug导致的问题该交由谁负责?这些bug修复后如何及时通知广大软件使用者?那些间接使用的又该如何修复?
5.
项目开源很多人可以提供修改、debug、补丁、这些内容的审核和测试该如何高效进行?
之前软工小组协作时,就遇到过队友上传了有bug的版本,其他组员pull下来了,导致出错,一个小团队尚且如此,对于开源项目如果不能有很好的审核,会出现的问题可想而知。而其中的维护难度更高,维护成本也水涨船高,对免费的开源软件而言,维护该由谁负责,成本如何承担,假如无人维护,难道这一软件的运营就要停摆了吗?