这是一个创建于 1055 天前的主题,其中的信息可能已经有所发展或是发生改变。
暴露出来几个问题:
-
对于一个高危漏洞来说,修复太慢
-
开源贡献者并没有得到与其责任匹配的报酬
如果使用商业库的话,虽然会增加一定的成本,但是可以要求其在非常短的时间内进行响应,因修复不及时造成损失的话也可以根据合同进行赔偿
 |
1
TtTtTtT 2021-12-20 13:46:51 +08:00
不会。
掰掰手指就知道开发一个库、购买一个库、使用开源库,哪个的 ROI 比较高。 |
 |
2
murmur 2021-12-20 13:49:35 +08:00  10
商用库的修复未必就快
而且这次很多人是没被攻击就看到修复通知了 商用的可能被黑你还没发现呢 |
 |
4
daysv 2021-12-20 13:57:05 +08:00 4
别把商用太当回事, 大概率代码还不如开源
|
 |
5
chendy 2021-12-20 14:02:30 +08:00 9
快进到 log4jb 绿色破解硬盘纯净免安装版
|
 |
6
someonedeng 2021-12-20 14:04:12 +08:00
@daysv 但是能有人背锅呀
|
|
7
murmur 2021-12-20 14:04:39 +08:00
@someonedeng 这次 log4j 事件不是很多云也号称第一时间拦截了么,所以还是得花钱
|
 |
8
RudyS 2021-12-20 14:06:35 +08:00
除非没有白嫖可以用
|
 |
9
alexkkaa 2021-12-20 14:07:48 +08:00 via Android 1
国外不知道 就国内这帮老板的水平 啧啧啧
|
 |
10
hahastudio 2021-12-20 14:10:12 +08:00 1
商业公司要是倒闭了不卖了依然会变成一个烂摊子,除非到时候开源不然可能修都没法修
|
 |
11
justfly 2021-12-20 14:11:39 +08:00
快速发现问题显然是开源库的优点
|
 |
12
Felldeadbird 2021-12-20 14:16:53 +08:00 1
不会。以我司最近外购国内某知名软件。
三天两头他们的 MSSQL 服务器就崩溃了。 公司周末都没人上班,外购的软件数据库都可以崩溃。 还不如公司自家用的 MYSQL 稳定。出问题马上找到方案。 |
 |
13
Akiya OP |
 |
14
LoNeFong 2021-12-20 14:20:22 +08:00
商用库就没有 bug 么(-
|
 |
15
2i2Re2PLMaDnghL 2021-12-20 14:24:31 +08:00 2
林纳斯定律:足够多的眼睛,就可让所有问题浮现
合理的方案是使用开源库并找个第三方进行维(bei)护(guo) |
 |
16
shyangs 2021-12-20 14:28:09 +08:00
資料庫怎麼不用 Oracle,
而喜歡免費的 MySQL? |
 |
17
MacDows 2021-12-20 14:33:04 +08:00 via Android 1
你要求对面担多大责任,对面就把售价提高到多少
|
 |
18
msg7086 2021-12-20 15:08:31 +08:00 3
> 根据合同进行赔偿
商业公司:懂了,这就加入免责条款。 |
 |
19
xiao109 2021-12-20 15:17:12 +08:00
开源贡献者没有得到报酬跟使用者有什么关系?这不正好说明使用开源库的成本之低嘛
|
 |
20
mxT52CRuqR6o5 2021-12-20 15:18:03 +08:00 1
@Akiya 底层的库哪有那么好换,项目成型后就只能一直硬着头皮用下去了,根本就不会有这种 [修复不及时可能就意味着合同不会续签] 理想状态
|
 |
22
zxcslove 2021-12-20 15:25:03 +08:00 1
这是需要保险公司推出漏洞险?
|
 |
23
zxxufo008 2021-12-20 15:38:45 +08:00
这次不是好多商用软件也用的是开源的 log4j2 吗..
|
 |
24
dndx 2021-12-20 16:00:20 +08:00
拉倒吧,商用库也不见得就好到哪里去,而且修复周期只会更长。很多所谓的 “商用” 库优势仅限于用的人少黑客懒得去研究。
|
 |
25
NGGTI 2021-12-20 16:04:14 +08:00
不会,很多商用软件同样使用着大量的开源库。
|
 |
26
sujin190 2021-12-20 16:43:41 +08:00
想太多,这么多公司估计比这漏洞大的多了去了,还不是照样用的好好的,小公司名不见经传的,漏洞不漏洞的谁理你啊,项目做三月发现毛用没有的倒是挺多,大公司就那么几个,这种就算自己搞个估计都不会去买,而且商业库也会有漏洞的吧,说不定更多
|
 |
27
Jooooooooo 2021-12-20 17:45:56 +08:00
商用的可能是交钱再修复.
|
 |
28
midtin 2021-12-20 17:57:45 +08:00
@Akiya 商业用的质量还真不一定比开源的质量高,甚至大部分可能比开源的质量还要差,特别是不卖源码的。现在商业软件主要的卖开源无法涵盖的功能点或者技术支持服务。
而且这些商业软件多多少少会都上开源库,哪还有百分百自造轮子的软件 |
 |
29
gengchun 2021-12-20 21:16:37 +08:00
@Akiya 红帽的模式就是上游已经没有维护的,也会及时修复。愿意为这类服务付费的,不会不在乎开源不开源,或者是不是商用库,他们买的就是商业服务。有专人修复漏洞,可以接触最新的 0day 库,所以最直接的客户是不会在乎什么商用、闭源这种破事的。
至于红帽这些,你要是一年到头,嘛事都没有,客户难道不会觉得这钱是白花的吗?开源成本低,又可以突显安全运维的价值和商用发行版的价值,即然如此,商用解决方案的提供者就算关心这些基础库,投入肯定也是有个限度的。反正有事,正好可以定突现一下自己的价值。 |
 |
30
agagega 2021-12-20 21:22:21 +08:00 1
我想起之前论坛里时不时有人出来说,开源让程序员没饭吃了,程序员是傻子,自掘坟墓。然而事实是,如果没有开源技术,别说没饭吃了,饭碗都没得有。
|
 |
31
iluckypig 2021-12-20 21:40:22 +08:00
商业的估计还不如开源的呢
|
 |
32
exiledkingcc 2021-12-21 10:33:06 +08:00
除了专业领域或者硬件相关,商用库大概率不如开源库。
|
 |
34
huruwo 2021-12-21 16:29:25 +08:00
商业库?大概率是什么开源库改个皮然后闭源骗钱。
|
 |
35
crclz 2021-12-22 00:40:55 +08:00
商用防火墙会成为需要。大厂都是直接用防火墙拦截疑似攻击数据,然后再催促大家显示升级库版本。
另外,同样是开源,微软的开源质量就会高很多。不能把社区开源和商业公司开源混为一谈。 |
 |
36
secondwtq 2021-12-22 01:04:36 +08:00
讲真,就代码质量来说,暂时还没见过比一线开源项目平均值还高的商业项目 ...
都是屎山,五十步笑百步而已 |
 |
38
AlynxZhou 2021-12-22 11:40:53 +08:00
@Akiya
> 对于代码库我了解的不多,但是对于大部分软件来说,商业的基本上比开源的质量高,不然别人不用卖了 了解的不多就不要妄下判断,我就问你,你怎么证明你说的“商业的基本上比开源的质量高”?这不是一件“你觉得”就够了的事情,你都看不见商业软件的代码,根本没法证明你这个结论。不要觉得你看不到问题问题就不存在,解决问题的第一步首先得是能发现问题吧? |
Select Language