GitHub 限制俄罗斯、Google 奖励 25 名开源贡献者、Linux 内核曝高危漏洞｜开源月报 Vol. 04

「WeOpen Insight」是腾源会推出的「开源趋势与开源洞见」内容专栏，不定期为读者呈现开源圈内的第一手快讯、优质工具盘点等，洞察开源技术发展的风向标，预见未来趋势。

1

社区新闻

1、美国法院判决：未经 OSI 许可的开源是「假开源」！

3 月 17 日 ，OSI（Open Source Initiative，开放源代码促进会 ）发文转述了一项来自美国法院的判决，表示未获 OSI 开源许可证许可，而自称「开源」的软件属于虚假广告。但独立技术律师 Kyle E. Mitchell 反驳了 OSI 的文章，称其是「自私的、误导性的和错误的」，法院并未就「开源」的含义做出任何法律裁决。 新闻来源：https://opensource.org/blog/court-affirms-its-false-advertising-to-claim-software-is-open-source-when-its-not

2、GitHub 限制俄罗斯使用代码，React 项目 Issues 被「轰炸」

3 月 2 日，Github 官方发文称，会遵守美国政府的相关规定，限制俄罗斯通过 Github 获得军事技术能力。知名前端框架 React 也在官网中加入了声援乌克兰的横幅，引发了众多开发者的不满，更有甚者直接在 Issues 留言辱骂。 新闻来源：https://github.blog/2022-03-02-our-response-to-the-war-in-ukraine/

3、艾瑞咨询发布《2022 年中国开源软件产业研究报告》

上月，艾瑞咨询发布《2022 年中国开源软件产业研究报告》，报告指出，近年来中国使用开源的企业占比不断上升；近半开源参与者每周投入不足 5 小时，约三成开发者是「用爱发电」；未来 3-5 年是开源产业高速发展时期。 新闻来源：https://report.iresearch.cn/report_pdf.aspx?id=3931

4、开源社区纠纷不断：20 年的 Debian 开发者被排挤出项目

3 月 15 日，一篇 itwire 上的报道称，一位在 Debian 项目中服务超过 20 年的开发者 Norbert Preining 在去年 12 月被降级为维护者，这一行为导致他决定离开该项目。Debian 是一款为数极少的纯社区驱动的 Linux 发行版，而不是由商业公司或者政府机构所掌控。 新闻来源：https://itwire.com/business-it-news/open-source/debian-developer-demoted,-quits-after-two-decades-with-project.html

5、来自中国的超级码丽，中国开源码力榜权威发布！

3 月1 日，腾源会联合 SegmentFault、开源社、X-Lab 实验室，通过 GitHub 开发者协作影响力进行排名、评选，甄选出了 99 位中国开发者，发布了一个全新的、专属于开源开发者的榜单——中国开源码力榜。 新闻来源：https://github.com/opensourcewin

2

开源企业新闻

1、F5 暂停在俄业务，禁止俄罗斯员工为 Nginx 项目作贡献

3 月 15 日，美国网络公司 F5 发文，宣布 F5 停止在俄罗斯的所有销售活动，与此同时，移除俄罗斯员工对 F5 网络的访问权限，停止其对 Nginx 开源项目的贡献。Nginx 是一个俄罗斯人开发的开源项目，发展壮大后被美国公司 F5 收购，如今已是全球第一的轻量级 Web 服务器。 新闻来源：https://www.f5.com.cn/company/blog/standing-firm-in-support-of-the-people-of-ukraine

2、Google 公布 Open Source Peer Bonus 计划最新 25 名贡献者

3 月 22 日，Google 在官方开源博客发文，公开奖励 25 名开源贡献者，以感谢他们对 Rust 项目和生态所作出的贡献。「Google Open Source Peer Bonus」是由 Google 推行的开源奖励计划，旨在奖励由 Google 员工所提名的外部开源贡献者，表彰这些外部开源贡献者对开源所做出的特殊贡献。 新闻来源：https://opensource.googleblog.com/2022/03/Rewarding-Rust-contributors-with-Google-Open-Source-Peer-Bonuses.html

3、红帽、SUSE 在俄罗斯停服

3 月 7 日，SUSE CEO Melissa Di Donato 宣布，决定暂停在俄罗斯的所有直接销售。3 月 8 日，红帽 CEO 发布内部信表示，将停止在俄罗斯和白俄罗斯的销售和服务，包括停止与位于或总部位于俄罗斯或白俄罗斯的组织的合作伙伴关系。 新闻来源：https://www.redhat.com/zh/blog/red-hats-response-war-ukraine

4、Snowflake 斥资 8 亿美元将开源框架 Streamlit 收入囊中

3 月 2 日，Snowflake 发文表示与 Streamlit 达成协议，以 8 亿美元的价格收购 Streamlit。通过这次战略收购，两家公司将在数据领域强强联合。目前 Streamlit 在 GitHub 上的 Star 数量约为 1.8 万，下载量已超过 800 万次，使用其框架构建的应用已超过 150 万个。 新闻来源：https://blog.streamlit.io/snowflake-to-acquire-streamlit/

3

开源基金会动态

1、腾源会导师姜宁成为 Apache 软件基金会新任董事

3 月 3 日，Apache 软件基金会在官网公布了新一任董事的选举成果，Apache 软件基金会孵化器导师，ALC Beijing 发起人，华为开源能力专家，腾源会导师姜宁（Willem Jiang）成为 Apache 软件基金会新任董事。姜宁在竞选宣言中说：如果我能够成为董事会的一员，我希望能够帮助 ASF 打破地域、文化、语言的障碍。 新闻来源：https://blogs.apache.org/foundation/date/20220303

2、自由软件基金会公布 2021 年「自由软件奖」获奖名单

3 月 19 日，自由软件基金会宣布了 2021 年自由软件奖得主。该系列奖项在 LibrePlanet 2022 会议上颁发，得奖者主要是为软件自由事业做出重大贡献的个人、团队以及社区。今年的获奖者是个人 Paul Eggert、Protesilaos Stavrou 和团体组织 SecuRepairs。 新闻来源：https://www.fsf.org/news/free-software-awards-winners-announced-securepairs-protesilaos-stavrou-paul-eggert

3、Linux 下一代架构基金会成立微服务技术组

3 月 23 日，NextArch 基金会正式宣布成立微服务技术组，小组聚合了 Linux 基金会、大型科技公司、行业技术专家等多方资源，致力于推动微服务技术及其开源生态的持续发展。来自腾讯、字节跳动、七牛云、快手、BIGO、好未来和蓝色光标等多家企业的技术专家成为首批成员。 新闻来源：https://mp.weixin.qq.com/s/Oux6NSFEPj8SbsvNwBY3rg

4

开源安全资讯

1、以反战为名，每周下载量百万 node-ipc 包作者进行供应链投毒

3 月 16 日，有开发者在对 node-ipc 代码进行测试处理后发现，node-ipc 包的作者 RIAEvangelist 在进行供应链投毒。据悉，该 package 每周下载量达到了百万，目前作者已经删除了该代码。 新闻来源：https://v2ex.com/t/840562#reply11

2、外媒曝英伟达受勒索软件攻击，黑客要求完全开源 GPU 驱动

3 月 1 日，英伟达发表声明表示发现了一起影响 IT 资源的网络安全事件，邮件警报网站 Have I Been Pwned 称，此次黑客攻击的范围包括 71000 名英伟达员工的电子邮件和密码哈希值，这些信息可以使黑客能够破解密码。黑客要求英伟达完全开源 Windows、MacOS、Linux 系统的 GPU 驱动，否则就把机密数据公之于众。 新闻来源：https://nvidia.custhelp.com/app/answers/detail/a_id/5333

3、Linux 内核最新高危提权漏洞被披露

3 月 7 日，来自 CM4all 的安全研究员 Max Kellermann 披露了一个 Linux 内核的高危提权漏洞：脏管道 (Dirty Pipe)。漏洞编号为 CVE-2022-0847。此漏洞自 5.8 版本起就已存在。非 root 用户通过注入和覆盖只读文件中的数据，从而获得 root 权限。因为非特权进程可以将代码注入 root 进程。 新闻来源：https://www.oschina.net/news/185559/linux-dirty-pipe-vulnerability

5

优秀项目推荐

1、Apache APISIX

Apache APISIX 是一个动态、实时、高性能的开源 API 网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。2020 年 7月，APISIX 从 Apache 孵化器毕业，2022 年 3 月，APISIX 社区全球贡献者突破 400 位。

GitHub地址：https://github.com/apache/apisix

2、Kube-OVN

Kube-OVN 是一款开源企业级云原生 Kubernetes 容器网络编排系统，它通过将 OpenStack 领域成熟的网络功能平移到 Kubernetes，增强了 Kubernetes 容器网络的安全性、可运维性、管理性和性能，为 Kubernetes 生态的落地带来了独特的价值，是全球首个被 CNCF 纳入托管的开源 CNI 网络项目。

GitHub地址：https://github.com/kubeovn/kube-ovn

3、TKEStack

TKEStack 是一款集强壮性和易用性于一身的企业级容器编排引擎，以极简的向导式界面提供了容器应用的全生命周期管理能力，帮助用户在私有云环境中敏捷、高效地构建和发布应用程序。TKEStack 可以简化部署和使用 Kubernetes，满足 IT 要求，并增强 DevOps 团队的能力。2020 年，TKEStack 加入开放原子开源基金会。

GitHub地址：https://github.com/tkestack/tke

4、Aeraki Mesh

Aeraki Mesh 是腾讯云开源的服务网格项目，可以帮助用户在服务网格中管理任何七层协议。目前已经支持了 Dubbo、Thrit、Redis、Kafka、ZooKeeper 等开源协议，用户可以使用 Aeraki Mesh 提供的 MetaProtocol 协议扩展框架来管理私有协议的七层流量。2022 年 3 月，Aeraki Mesh 正式进入 CNCF 云原生全景图，位于 Service Mesh 类别下。

GitHub地址：https://github.com/aeraki-mesh/aeraki

腾源会是腾讯云成立的汇聚开源项目、开源爱好者、开源领导者的开放社区，致力于帮助开源项目健康成长、开源爱好者能交流协助、开源领导者能发挥领袖价值，让全球开源生态变得更加繁荣。

欢迎关注「腾源会」公众号，期待你的「在看」哦～👇