聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

又有一名开源软件开发人员对企业免费使用自己辛苦维护的代码表达不满。上周二，开源软件 Apache PLC4X 的创建者 Christofer Dutz 在 GitHub 发布文章称，如果企业用户不提供经济资助则将停止支持社区支持。

他在文章中指出，“整体而言，这个行业似乎喜欢使用 PLC4X 和其它开源软件，但却不愿意支持为此而付出努力的人。因此，我将停止提供免费的 PLC4X 社区支持。”

Dutz 是Apache PLC4X 的六名公开列出的维护人员之一。PLC4X 是用于和可编程逻辑控制器进行通信的一系列库。他所要求的资助不涉及他在 Apache Foundation 中的工作；他维护一个单独的 IT 咨询机构 c-ware，帮助企业涉及并实现 PLC4X以便开展业务。

C-ware已发布多个众筹计划，将 Apache PLC4X 适用到 Python、Rust 和 TypeScript 等，但几乎没有收到任何资助。

最后，缺少众筹或企业支持使他萌生退意。

他写道，“这是我最后一次努力。如果最终我的工作得不到某种资助，我将关闭业务并我个人不再提供其它支持。”

从他所给出的关于运行 Apache PLC4X 的潜在价值而言，这种缺少资助的情况尤为显著。此前他在博客文章中指出，某数据收集系统使用该软件做原型，节约了2000万欧元。

Dutz 面临的窘境曾发生在另外一名开源软件开发人员 Marak Squires 身上。Marak 劫持了自己创建的两个项目，而此前9个月他曾抱怨使用开源软件的人不愿意为此付费。

承担费用

近几年来，曾经认为可以微薄报酬或不计报酬地为社区做攻陷的软件开发人员，开始质疑自己所创造的价值与从自己所贡献的时间和专业而牟取暴利之间的不对等。

亚马逊等公司大规模爆发了被称作“开源可持续性”的问题。这些公司被指利用开源项目扼杀规模较小的竞争对手如 Elasticsearcch 和 MongoDB。Log4j 漏洞曝光后，一些人非但自己不做任何贡献而且还要求获得更好的安全性（这些做法和2014年 OPenSSL “心脏出血”漏洞发生后的人们的做法并无二致），一名维护人员回怼了这一行为，。那些不为人所知的项目面临着同样无解的问题。

2019年，GitHub 的开源项目经理 Devon Zuegel 发布博客文章写道，“虽然开源软件随处可见，但它缺少金钱和人力资源。虽然开发人员和企业从活跃的开源生态系统获益，但他们缺少奉献时间和金钱来创建并维护项目的动力，这就大大限制了开源软件巨大的潜力发挥。”

GitHub 确实采取了一些措施来解决这个问题：测试一年后，它在2020年12月启动了“GitHub 赞助商”计划。另外也存在一些类似计划如OpenCollective 的“开源资助”和开发人员使用npm安装程序包时出现的资助提醒，但这些努力都掩盖了酌情支付的根本性的剥削本质。

这种做法没有比企业举行大赛以获得创造性工作的权益好到哪里去，虽然大赛会向一些参与人员颁发一定的象征性金钱奖励，但远远低于所提供的市场价值。捐赠并非托起所有船只的浪潮，而是扔向所有涉水船只中极少数幸运儿的救生圈。

在其它形式的劳动中，报酬通常会以合同的形式声明，通常称为“工资”。这种合同形式包括佣金，销售人员通常会获得预先声明比例的销售额。某些行业还有小费一说，将劳动成本转嫁给客户。

但软件开发人员不会因创建和维护关键代码基础设施而获得报酬，甚至没有小费的预期，而饭店工人和食品交付承包商则可根据社会制约、面对雇主节约成本而获得的慷慨以及app接口暗黑模式合理地预测小费。

然而，开源软件开发者发现自己位于时富时贫的模式中，Spotify 和 App Store 重新定义了数字化商品的出售方式。幸运儿可以通过 “GitHub 赞助商”等计划每年获得超过10万美元的资助，但这并非常态。

令人难以置信的低报酬

2019年，开发人员 André Saltz 查看了OpenCollective 和 GitHub 公开的捐赠数据。他当时发布文章表示，“结果让我大吃一惊：虽然显而易见有两个可持续的开源项目，但我们通常认为可持续的主要（超过80%）项目获得的收入实际上低于行业标准甚至在贫困线以下。”

2020年，Spotify 平台上收入排名在前2%以外的音乐艺术家，每月从作品仅可获得约为12美元和15美元。而Spotify 创始人 Daniel Elk 从版权内容和订阅获得的净收入达数十亿美元。

科幻作者 William Gibson 有一句非常有名的对于未来的论断：“未来已来，只是分布不均而已”。这句话堪称经济报酬的真实写照。

著名的开源开发人员 Feross Aboukhadijeh 在谈到 Log4j 情境下的开源可持续性时认为，开源开发人员面临的酬劳问题将表现为可选软件许可证的形式。

或许我们将看到更多关于使用条件的许可证，就像游戏工具制造商 Unity 提供的那样：如果你用该工具制作的游戏获得的年收入小于10万美元则可免费试用，如果项目收入超过10美元，则需提交许可证费用。

或者，通过陌生人的善意解决，因为在监管瘫痪之时的政府干预看起来就像在做白日梦，而如果真的发生政府监管，可能会让情况变得更加糟糕。

推荐阅读

在线阅读版：《2021中国软件供应链安全分析报告》全文

白宫和科技巨头在开源软件安全峰会上说了啥？

不满当免费劳力，NPM 热门库 “colors” 和 “faker” 的作者设无限循环

钱少事多，开源项目维护人员几乎集体出走

NIST 发布关于使用“行政令-关键软件”的安全措施指南

NIST 按行政令关于加强软件供应链安全的要求，给出“关键软件”的定义及所含11类软件

SolarWinds 攻击者再次发动供应链攻击

美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了

软件供应链安全现状分析与对策建议

“木马源”攻击影响多数编程语言的编译器，将在软件供应链攻击中发挥巨大作用

GitHub 在 “tar” 和 npm CLI 中发现7个高危的代码执行漏洞

流行的 NPM 包依赖关系中存在远程代码执行缺陷

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市

热门开源CI/CD解决方案 GoCD 中曝极严重漏洞，可被用于接管服务器并执行任意代码

GitKraken漏洞可用于盗取源代码，四大代码托管平台撤销SSH密钥

因服务器配置不当，热门直播平台 Twitch 的125GB 数据和源代码被泄露

彪马PUMA源代码被盗，称客户数据不受影响

原文链接

https://www.theregister.com/2022/01/13/opensource_apacheplc4x_payment/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~