Log4j2 維護者吐槽沒工資還要捱罵_風聞

基於 Java 的日誌記錄工具 Apache Log4j2 近日出現了一個高危漏洞，攻擊者可以利用其 JNDI 注入漏洞遠程執行代碼，此漏洞牽涉面非常廣，以至於國內外的個人或公司用户都對此高度關注，而 Log4j2 開發組在漏洞曝光後及時發佈了 Apache Log4j 2.16.0 維護版本，默認禁用 JNDI，使此漏洞得到控制。

Log4j2 的維護者之一 @Volkan Yazıcı 在推特上吐槽：Log4j2 維護者只有幾個人，他們無償、自願地工作，沒有人發工資，也沒人提交代碼修復問題，出了問題還要被一堆人在倉庫裏留言痛罵。

Log4j 維護者一直在為緩解措施而失眠：修復、文檔、CVE、對查詢的回覆等。然而，沒有什麼能阻止人們痛罵（bush）我們，因為這份沒有報酬的工作。其實我們都不喜歡這個出於向後兼容性問題而需要保留的功能（指 JNDI ）。

這是一個非常現實的問題，我們姑且將這個問題稱之為“開源可持續性問題”。通常來説，一個開源項目，要不就是反響平平無法形成生態，導致開發者熱情逐漸降低、慢慢停掉；或者項目是大熱門，很多個人和公司都在用，但 —— 除了出問題的時候問一下，幾乎沒有人會為開發者提供財務支持或貢獻代碼修復。

而那些使用免費資源而從不回饋社區的公司，他們對開源軟件的利用一直是開源項目維護者的痛處。他們使用開源項目達到企業成本最小化和利潤最大化，然而這些利潤跟開發者一毛錢關係沒有，甚至還有公司出了問題趕緊甩鍋給開源作者，比如前段時間 curl 作者吐槽蘋果把他當做免費工具人：

“想象一下，一家市值萬億美元的公司將各種開源組件應用到自己的產品中，每年賺取數十億美元的利潤。當這家公司的一個用户向它提供的產品尋求幫助時，公司卻把用户推給開源項目。這個開源項目是由志願者運營和維護的，這家公司從未贊助過一分錢。”

這樣的情況已經持續了相當一段時間，不過現在已經有人在思考這個問題，並給出了一些權衡的建議。上週六，谷歌密碼學家和 Go 語言安全負責人 Filippo Valsorda 在個人博客呼籲：開源項目維護者應當和那些使用軟件的公司進行更專業的交流，以獲得付費支持，使開源更具可持續性。

當然Log4j2也不是無辜的，一個簡單的日誌程序沒有必要大而全，沒有必要使用JNDI，真讓人懷疑開始者在其中有什麼後門，而這個後門恰好被黑客利用。當然每一個系統軟件的開發者都忍不住在軟件中開後門，一個是為了方便調試，一個是滿足自己的控制慾。