Log4j漏洞背后的更大问题——开源项目的资金来源( 三 ) 微软|全球第一|Gartner|阿里云

除了制造流量、渗漏文件之外，它还将具备c2c功能。
— Greg Linares (@Laughing_Mantis) 2021年12月12日
美国网络安全与基础设施安全局（CISA）也发布了警告，指出该漏洞“正在被愈发广泛的恶意攻击者所利用；鉴于影响的广泛性，网络防御一方正面临着紧迫挑战。”该局建议各组织禁用运行有Log4j的一切面向外部的设备，并根据漏洞相关特性设置规则以增强现有防火墙的安全水平。
安全研究人员昨晚发现，Log4j bug会影响到所有Java版本。因此即使大家运行的Java已经是最新版本，也仍然需要额外安装Log4j修复补丁。
JNDI-Exploit-Kit中刚刚添加了对LDAP序列化载荷的支持。所以只要序列化载荷中使用的类位于应用程序的classpath当中，那么此次漏洞就会影响到*一切* java版本。别以为使用最新版本的java就安全无忧了，请尽快更新您的log4j！pic.twitter.com/z3B2UolisR
— Márcio Almeida (@marcioalm) 2021年12月13日
The Verge网站的一份报告指出，如果研究人员将设备名称更改为能够利用漏洞的特定字符串，就能从苹果和特斯拉等服务器处获取ping权限。
开源社区贡献者报酬过低问题已经引起公愤
此次发现的Log4j bug再次表明，全球大型企业正高度依赖于免费开源软件。这种依赖性本身并没有问题，但开源社区贡献者报酬过低的问题已经引起公愤。
谷歌公司密码学家Filippo Valsorda在自己的个人博客上提到，修复Log4j bug的兼职维护者们为项目做出了巨大贡献，但该项目在GitHub上只有三个赞助者愿意为项目志愿者们支付酬金。
他还指出，贡献者只能通过GitHub或Patreon获得少量资金回报，但他们的开发成果却往往支撑着价值数百万美元的业务。另外，这些重要系统中的bug很可能令整个互联网瞬间倾覆，我们也没理由对这些只是拿业余时间以几乎免费方式参与贡献的平民英雄们要求太多。
这些维护者们正在修复可能导致数百万美元（甚至再高几个数量级）损失的严重漏洞。
“我用业余时间研究Log4j。”
“一直梦想能全职从事开源工作。”
“有三位赞助者正在资助@rgoers的工作：Michael、Glenn与Matt。”
各位，我们在搞什么…… pic.twitter.com/2hAxUWCjuC
— Filippo ${jndi:ldap://filippo.io/x} Valsorda (@FiloSottile) 2021年12月10日
约翰霍普金斯大学密码学教授Matthew Green认为，开源行业需要一份真正具有广泛影响力的开源库与技术清单，以便更多人能够参与到这些对于互联网顺畅运行极为重要的项目当中。
好吧，我想强调的是，如果大家想要解决这个问题，那最紧急的资源可能并不是钱。“可见性”更为重要。我们都知道有问题，但不知道问题究竟在哪。
— Matthew Green (@matthew_d_green) 2021年12月11日
安全厂商Chainguard公司创始人Dan Lorenc表示，虽然企业有意愿资助开源项目，但却很难找到合适的关键项目、特别是项目维护者本人。他还提到，在理想状况下，整个行业可以直接资助那些负责维护三到四个项目的团队。
这听起来不太现实，但真正的难题在于如何分配、而非如何筹钱。毕竟互联网行业是出了名的有钱。
企业有预算、也愿意花钱，但却特别缺时间。遗憾的是，寻找真正需要帮助的项目、特别是愿意用精力和投入换取金钱的开源维护者才是真正的难题。pic.twitter.com/mFkOoOVYXn
— Dan Lorenc (@lorenc_dan) 2021年12月12日
【 Log4j漏洞背后的更大问题——开源项目的资金来源】贡献者们表示，他们通过开源贡献获得的报酬非常有限，单凭这一份工作也几乎维持不了生计。这样的境况只能用可悲来形容。