Log4j 2再现新漏洞；缺乏资助不是开源软件安全的唯一问题；微软公布 Entity Framework 7.0 计划

整理 | 宋彤彤
责编 | 屠敏

开源吞噬世界的趋势下，借助开源软件，基于开源协议，任何人都可以得到项目的源代码，加以学习、修改，甚至是重新分发。关注「开源日报」，一文速览国内外今日的开源大事件吧！

一分钟速览新闻点！

OpenSSF：缺乏资助不是开源软件安全的唯一问题
Log4j 2.17.1 现已发布，修复了新的远程代码执行漏洞
2022 技术趋势预测，开源趋势大好
微软公布 Entity Framework 7.0 计划
英特尔为 Linux 5.17 准备“PFRUT”，允许在不重新启动的情况下更新系统固件
英特尔 Alder Lake N 音频支持将在 Linux 5.17 之前引入
lamp-cloud 4.2 发布，基于 SpringBoot 实现的单体版后端工程首次发布
ShopXO v1.1.0 发布：企业级免费开源商城系统
Polychromatic 0.7.3 发布，支持新的 Razer 设备
immudb：世界上最快的不可变数据库，建立在零信任模型上

开源大新闻

OpenSSF：缺乏资助不是开源软件安全的唯一问题

近期 Log4j 高危漏洞引发了大家对开源软件安全问题的激烈讨论，大多数人认为开源软件的维护者主要在业余时间维护，缺乏资助。而在开源软件安全基金会（OpenSSF）的一篇博客文章中，总经理 Brian Behlendorf 指出，缺乏资助不是开源软件安全的唯一问题，博客概述了 OSS 基金会可以采取包括安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来降低安全风险，唯独没有提到资金。

相反，Behlendorf 在这些观点之前说到，“太多组织未能应用筹集到的资金或制定标准流程来改进其安全实践，只是不明智地倾向于增加数量而不是提高代码质量。”Behlendorf 确实就资金和筹款提出了一些观点，但他的观点不是缺乏资金，而是这些资金的分配以及它们需要专注于付费审计和“提供资源以推动关键项目或将代码段转换为内存安全语言，以及为更多测试提供奖励”。同时他表示，在新的一年里，OpenSSF 将努力“提高”开源安全性。（Solidot、Slashdot）

Log4j 2.17.1 现已发布，修复了新的远程代码执行漏洞

近日，Apache 发布了另一个 Log4j 版本 2.17.1，修复了 2.17.0 中新发现的编号为 CVE-2021-44832 的远程代码执行（RCE）漏洞。攻击者对原始 Log4Shell 漏洞（CVE-2021-44228）的大规模利用始于 12 月 9 日，当时 GitHub 上出现了针对该漏洞的 PoC 漏洞利用。本月已经发现了影响 Log4j 的四种不同的 CVE，在 2.16 版中发现 DoS 漏洞后，官方建议用户迅速升级到被认为是最安全的 2.17.0 版。

图片来源：CSDN 下载自东方 IC

但现在被追踪为 CVE-2021-44832 的第五个 RCE 漏洞已在 2.17.0 中发现，该漏洞的严重性评级为“中等”，CVSS 评分为 6.6，该漏洞源于缺乏对 log4j 中 JDNI 访问的额外控制。避免攻击者利用漏洞侵入，Log4j 用户应立即升级到最新版本 2.17.1（适用于 Java 8），同时修复程序的反向移植版本 2.12.4（Java 7）和 2.3.2（Java 6）预计也将很快发布。

2022 技术趋势预测，开源趋势大好

根据全球领先的信息技术研究和咨询公司 Gartner 的 2021 年开源软件 (OSS) 技术成熟度曲线，“到 2025 年，与目前的 IT 支出相比，超过 70% 的企业将增加在 OSS 上的 IT 支出。此外，到 2025 年，软件即服务（SaaS）将成为 OSS 的首选消费模型，因为它能提供更好的操作简单性、安全性和可扩展性”。当谈到数据库和数据管理领域的开源时，Gartner 对整个开源的预测更加大胆和具体。早在 2019 年，Gartner 就预测数据库的未来是云，同样也是开源。Gartner 预测，到 2022 年，70% 以上的新内部应用程序将在开源数据库上开发，50% 的现有专有关系型数据库实例将被转换或正在转换中。（ZDNet）

图片来源：CSDN 下载自东方 IC

微软公布 Entity Framework 7.0 计划

近期，微软公布 Entity Framework 7.0 计划。Entity Framework Core 7.0 是微软开源、跨平台、对象关系映射器 (ORM) 的计划更新，它将重点关注 JSON 和 SQL 查询等主题。据微软近期博客来看，该更新也被称为 EF Core 7、或 EF7，将于 2022 年 11 月发布，是继上个月发布的 EF Core 6 之后的下一个版本。微软表示，为 EF7 计划的许多工作涉及对 .NET 跨不同平台和域数据访问体验的改进。目前 EF7 的目标是与 .NET 6 一起使用，但未来可能会更新到计划的 .NET 7 版本。同时微软还表示，现阶段没有发布 EF Core 6.1 版本的计划。（InfoWorld）

英特尔为 Linux 5.17 准备“PFRUT”，允许在不重新启动的情况下更新系统固件

据外媒报道，英特尔开源工程师已经为平台固件运行时间的更新准备了“PFRUT”支持，允许在有能力的系统上执行（U）EFI 封装更新，而无需重新启动系统以消除停机时间。英特尔一直致力于开发 PFRUT，它现在是 ACPI 规范的一部分，允许平台固件组件即时更新，而无需重新启动系统。这样做的目的是为了那些需要“100% 的时间可用”的服务器以及必须将停机时间保持在最低限度的情况。（Phoronix）

英特尔 Alder Lake N 音频支持将在 Linux 5.17 之前引入

在 Linux 5.17 周期之前，一些 Alder Lake 音频更新将引入声音子系统的“for-next”分支。目前，已将 Alder Lake P 的另一个变体添加到 hda_intel 驱动程序中。Alder Lake P 支持已经到位，但另一个 PCI ID 最终被引入 (0x51cd)。现在 Linux 5.17 已经存在该 ID，如果需要的话，可以很容易地进行反向移植。与此同时，Alder Lake N 开始支持 Linux 5.17 的初始音频。

Alder Lake N 支持只是添加了一个新的 PCI ID (0x54c8) ，使用基于 DSP 的 Sound Open Firmware (SOF) 驱动程序或其他系统的普通 intel_hda 驱动程序的规则。从声音方面来说，不需要对 Alder Lake N 支持进行其他更改。英特尔还一直在准备 ADL-N 所需的 Alder Lake N 图形支持和其他内核添加，但对成熟的 Alder Lake S 和 P 系列支持进行了非侵入性更改。英特尔的 N 系列处理器用于低功耗、低性能的赛扬/奔腾级硬件。Linux 5.17 合并窗口在 1 月份正式开放，而稳定的内核应该会在 3 月底左右发布。（Phoronix）

开源软件专区

lamp-cloud 4.2 发布，基于 SpringBoot 实现的单体版后端工程首次发布

近日，lamp-cloud 4.2 发布。更新版本中，lamp-boot-datasource-column：基于 SpringBoot 实现的单体版后端工程首次发布；docs：基于 4.2 版本编写的第一版文档首次发布；lamp-cloud-pro：优化 uri 权限相关配置；lamp-web-pro: 按钮权限校验支持 withoutAny 模式等。
具体详情见：https://www.kancloud.cn/zuihou/zuihou-admin-cloud/1465302

ShopXO v1.1.0 发布：企业级免费开源商城系统

12 月 29 日，ShopXO 开源商城 v1.1.0 版本发布。据悉，ShopXO 是免费开源 B2C 商城系统，遵循 MIT 开源协议发布、基于 ThinkPHP6 框架研发。在 v1.1.0 版中，后台管理功能列表的改进包括：优化轮播图片与手机端分离、新增问答/留言、新增手机端管理、新增支付宝小程序（轮播、首页导航）、调整平台类别、新增支付宝小程序支付插件、优化部分 BUG；前端功能列表的改进包括：购物流程优化（去掉用户选择快递）、优化部分 BUG；手机端的改进包括：新增支付宝小程序、支持后台配置基础信息、支持后台生成程序包。

Polychromatic 0.7.3 发布，支持新的 Razer 设备

Polychromatic 与开源社区维护的 OpenRazer 合作，支持 Linux 下的 Razer 外围设备和其他设备，用于管理Linux 下的 RGB 照明和各种设备设置，Razer Inc. 没有任何官方支持。在Polychromatic 0.7.3 中，为 Razer Blade 2021 Advanced 和 Razer Basilisk V3 硬件添加了设备映射。对于具有如此高轮询率的最新 Razer 鼠标，现在还支持高达 8000Hz 的轮询率。Polychromatic 0.7.3 还有一个可能的崩溃修复、改进的故障排除检查和其他更改。
具体详情见：https://github.com/polychromatic/polychromatic/releases/tag/v0.7.3

开源工具推荐

immudb ：世界上最快的不可变数据库，建立在零信任模型上

immudb 是一个内置密码证明和验证的数据库。它跟踪敏感数据的变化，客户端保护历史记录的完整性，无需信任数据库。它既可以用作键值存储，也可以用作关系数据库 (SQL)。传统的数据库事务和日志是可变的，因此无法确定用户的数据是否已被泄露。但 immudb 是不可变的，用户可以添加现有记录的新版本，而不会更改或删除记录。

immudb 存储的数据在密码学上是一致且可验证的。与区块链不同，immudb 每秒可以处理数百万笔交易，并且既可以用作轻量级服务，也可以作为库嵌入到您的应用程序中。immudb 可以在任何地方运行，可以在 IoT 设备、笔记本、服务器、内部部署或云中运行；它也可用作键值存储或关系数据结构，并支持事务和 blob，因此对用例没有限制。公司可以使用 immudb 来保护和防篡改的日志数据、传感器数据、敏感数据、交易、软件构建配方、规则库数据，甚至工件甚至视频流。
GitHub 地址：https://github.com/codenotary/immudb

【欢迎投稿】源码面前，了无秘密。大家还有哪些推荐的开源工具或者开源软件，亦或是想了解的开源资讯，可以投稿至邮箱：tumin@csdn.net。开源世界的一切，由你我共同创造！

你参与开源有多长时间了？是否通过开源获得过收入？对亲身经历的开源世界有什么样的看法?
欢迎参与 CSDN 重磅推出的《2021 中国开源开发者年度有奖大调查》活动，惊喜礼品等你拿！