这是一个创建于 1449 天前的主题,其中的信息可能已经有所发展或是发生改变。
暴露出来几个问题:
-
对于一个高危漏洞来说,修复太慢
-
开源贡献者并没有得到与其责任匹配的报酬
如果使用商业库的话,虽然会增加一定的成本,但是可以要求其在非常短的时间内进行响应,因修复不及时造成损失的话也可以根据合同进行赔偿
 | 1 TtTtTtT 2021-12-20 13:46:51 +08:00 不会。 掰掰手指就知道开发一个库、购买一个库、使用开源库,哪个的 ROI 比较高。 |
 | 2 murmur 2021-12-20 13:49:35 +08:00  10 商用库的修复未必就快 而且这次很多人是没被攻击就看到修复通知了 商用的可能被黑你还没发现呢 |
 | 4 daysv 2021-12-20 13:57:05 +08:00 4 别把商用太当回事, 大概率代码还不如开源 |
 | 5 chendy 2021-12-20 14:02:30 +08:00 9 快进到 log4jb 绿色破解硬盘纯净免安装版 |
 | 6 someonedeng 2021-12-20 14:04:12 +08:00 @daysv 但是能有人背锅呀 |
| 7 murmur 2021-12-20 14:04:39 +08:00 @someonedeng 这次 log4j 事件不是很多云也号称第一时间拦截了么,所以还是得花钱 |
 | 8 randomuuid 2021-12-20 14:06:35 +08:00 除非没有白嫖可以用 |
 | 9 alexkkaa 2021-12-20 14:07:48 +08:00 via Android 1 国外不知道 就国内这帮老板的水平 啧啧啧 |
 | 10 hahastudio 2021-12-20 14:10:12 +08:00 1 商业公司要是倒闭了不卖了依然会变成一个烂摊子,除非到时候开源不然可能修都没法修 |
 | 11 justfly 2021-12-20 14:11:39 +08:00 快速发现问题显然是开源库的优点 |
 | 12 Felldeadbird 2021-12-20 14:16:53 +08:00 1 不会。以我司最近外购国内某知名软件。 三天两头他们的 MSSQL 服务器就崩溃了。 公司周末都没人上班,外购的软件数据库都可以崩溃。 还不如公司自家用的 MYSQL 稳定。出问题马上找到方案。 |
 | 13 Akiya OP |
 | 14 LoNeFong 2021-12-20 14:20:22 +08:00 商用库就没有 bug 么(- |
 | 15 2i2Re2PLMaDnghL 2021-12-20 14:24:31 +08:00 2 林纳斯定律:足够多的眼睛,就可让所有问题浮现 合理的方案是使用开源库并找个第三方进行维(bei)护(guo) |
 | 16 shyangs 2021-12-20 14:28:09 +08:00 料怎不用 Oracle, 而喜免的 MySQL? |
 | 17 MacDows 2021-12-20 14:33:04 +08:00 via Android 1 你要求对面担多大责任,对面就把售价提高到多少 |
 | 18 msg7086 2021-12-20 15:08:31 +08:00 3 > 根据合同进行赔偿 商业公司:懂了,这就加入免责条款。 |
 | 19 xiao109 2021-12-20 15:17:12 +08:00 开源贡献者没有得到报酬跟使用者有什么关系?这不正好说明使用开源库的成本之低嘛 |
 | 20 mxT52CRuqR6o5 2021-12-20 15:18:03 +08:00 1 @Akiya 底层的库哪有那么好换,项目成型后就只能一直硬着头皮用下去了,根本就不会有这 [修复不及时可能就意味着合同不会续签] 理想状态 |
 | 21 ktqFDx9m2Bvfq3y4 2021-12-20 15:18:05 +08:00 via iPhone @justfly #11 这个同样适用于黑客,快速发现漏洞。 |
 | 22 zxcslove 2021-12-20 15:25:03 +08:00 1 这是需要保险公司推出漏洞险? |
 | 23 zxxufo008 2021-12-20 15:38:45 +08:00 这次不是好多商用软件也用的是开源的 log4j2 吗.. |
 | 24 dndx 2021-12-20 16:00:20 +08:00 拉倒吧,商用库也不见得就好到哪里去,而且修复周期只会更长。很多所谓的 “商用” 库优势仅限于用的人少黑客懒得去研究。 |
 | 25 NGGTI PRO 不会,很多商用软件同样使用着大量的开源库。 |
 | 26 sujin190 2021-12-20 16:43:41 +08:00 想太多,这么多公司估计比这漏洞大的多了去了,还不是照样用的好好的,小公司名不见经传的,漏洞不漏洞的谁理你啊,项目做三月发现毛用没有的倒是挺多,大公司就那么几个,这种就算自己搞个估计都不会去买,而且商业库也会有漏洞的吧,说不定更多 |
 | 27 Jooooooooo 2021-12-20 17:45:56 +08:00 商用的可能是交钱再修复. |
 | 28 midtin 2021-12-20 17:57:45 +08:00 @Akiya 商业用的质量还真不一定比开源的质量高,甚至大部分可能比开源的质量还要差,特别是不卖源码的。现在商业软件主要的卖开源无法涵盖的功能点或者技术支持服务。 而且这些商业软件多多少少会都上开源库,哪还有百分百自造轮子的软件 |
 | 29 gengchun 2021-12-20 21:16:37 +08:00 @Akiya 红帽的模式就是上游已经没有维护的,也会及时修复。愿意为这类服务付费的,不会不在乎开源不开源,或者是不是商用库,他们买的就是商业服务。有专人修复漏洞,可以接触最新的 0day 库,所以最直接的客户是不会在乎什么商用、闭源这种破事的。 至于红帽这些,你要是一年到头,嘛事都没有,客户难道不会觉得这钱是白花的吗?开源成本低,又可以突显安全运维的价值和商用发行版的价值,即然如此,商用解决方案的提供者就算关心这些基础库,投入肯定也是有个限度的。反正有事,正好可以定突现一下自己的价值。 |
 | 30 agagega 2021-12-20 21:22:21 +08:00 1 我想起之前论坛里时不时有人出来说,开源让程序员没饭吃了,程序员是傻子,自掘坟墓。然而事实是,如果没有开源技术,别说没饭吃了,饭碗都没得有。 |
 | 31 iluckypig 2021-12-20 21:40:22 +08:00 商业的估计还不如开源的呢 |
 | 32 exiledkingcc 2021-12-21 10:33:06 +08:00 除了专业领域或者硬件相关,商用库大概率不如开源库。 |
 | 34 huruwo 2021-12-21 16:29:25 +08:00 商业库?大概率是什么开源库改个皮然后闭源骗钱。 |
 | 35 crclz 2021-12-22 00:40:55 +08:00 商用火墙会成为需要。大厂都是直接用防火墙拦截疑似攻击数据,然后再催促大家显示升级库版本。 另外,同样是开源,微软的开源质量就会高很多。不能把社区开源和商业公司开源混为一谈。 |
 | 36 secondwtq 2021-12-22 01:04:36 +08:00 讲真,就代码质量来说,暂时还没见过比一线开源项目平均值还高的商业项目 ... 都是屎山,五十步笑百步而已 |
 | 38 AlynxZhou 2021-12-22 11:40:53 +08:00 @Akiya > 对于代码库我了解的不多,但是对于大部分软件来说,商业的基本上比开源的质量高,不然别人不用卖了 了解的不多就不要妄下判断,我就问你,你怎么证明你说的“商业的基本上比开源的质量高”?这不是一件“你觉得”就够了的事情,你都看不见商业软件的代码,根本没法证明你这个结论。不要觉得你看不到问题问题就不存在,解决问题的第一步首先得是能发现问题吧? |
Select Language