Log4j2 维护者吐槽没工资还要挨骂_风闻

基于 Java 的日志记录工具 Apache Log4j2 近日出现了一个高危漏洞，攻击者可以利用其 JNDI 注入漏洞远程执行代码，此漏洞牵涉面非常广，以至于国内外的个人或公司用户都对此高度关注，而 Log4j2 开发组在漏洞曝光后及时发布了 Apache Log4j 2.16.0 维护版本，默认禁用 JNDI，使此漏洞得到控制。

Log4j2 的维护者之一 @Volkan Yazıcı 在推特上吐槽：Log4j2 维护者只有几个人，他们无偿、自愿地工作，没有人发工资，也没人提交代码修复问题，出了问题还要被一堆人在仓库里留言痛骂。

Log4j 维护者一直在为缓解措施而失眠：修复、文档、CVE、对查询的回复等。然而，没有什么能阻止人们痛骂（bush）我们，因为这份没有报酬的工作。其实我们都不喜欢这个出于向后兼容性问题而需要保留的功能（指 JNDI ）。

这是一个非常现实的问题，我们姑且将这个问题称之为“开源可持续性问题”。通常来说，一个开源项目，要不就是反响平平无法形成生态，导致开发者热情逐渐降低、慢慢停掉；或者项目是大热门，很多个人和公司都在用，但 —— 除了出问题的时候问一下，几乎没有人会为开发者提供财务支持或贡献代码修复。

而那些使用免费资源而从不回馈社区的公司，他们对开源软件的利用一直是开源项目维护者的痛处。他们使用开源项目达到企业成本最小化和利润最大化，然而这些利润跟开发者一毛钱关系没有，甚至还有公司出了问题赶紧甩锅给开源作者，比如前段时间 curl 作者吐槽苹果把他当做免费工具人：

“想象一下，一家市值万亿美元的公司将各种开源组件应用到自己的产品中，每年赚取数十亿美元的利润。当这家公司的一个用户向它提供的产品寻求帮助时，公司却把用户推给开源项目。这个开源项目是由志愿者运营和维护的，这家公司从未赞助过一分钱。”

这样的情况已经持续了相当一段时间，不过现在已经有人在思考这个问题，并给出了一些权衡的建议。上周六，谷歌密码学家和 Go 语言安全负责人 Filippo Valsorda 在个人博客呼吁：开源项目维护者应当和那些使用软件的公司进行更专业的交流，以获得付费支持，使开源更具可持续性。

当然Log4j2也不是无辜的，一个简单的日志程序没有必要大而全，没有必要使用JNDI，真让人怀疑开始者在其中有什么后门，而这个后门恰好被黑客利用。当然每一个系统软件的开发者都忍不住在软件中开后门，一个是为了方便调试，一个是满足自己的控制欲。