【開源日報】開源有吞噬世界的趨勢，通過開源軟件，基于開源協(xié)議，任何人都可以獲取、學習、修改和重新部署項目的源代碼。

關(guān)注「開源日報」，一文速覽國內(nèi)外今日的開源大事件吧！

整理 | 宋彤彤 責編 | 屠敏

出品 | CSDN（ID：CSDNnews）

一分鐘速覽新聞點！

• 繼騰訊等牽頭成立 OpenCloudOS 社區(qū)后，阿里云等企業(yè)主導的龍蜥社區(qū)發(fā)起“龍騰計劃”

• OpenInfra 基金會推出開源基礎設施新標準：LOKI

• CISA、CrowdStrike 發(fā)布 Log4j 掃描器，但仍有盲點

• CNCF 開發(fā)者調(diào)查報告：Kubernetes 采用率上升，無服務器下降

• Apache HTTP Server 更新版修復了兩個缺陷

• 新的開源庫 GraphQL AuthZ 成立，可在不同的 GraphQL 架構(gòu)中添加授權(quán)層

• 2021 年：LibreOffice 文檔團隊大放異彩的一年

• GitLab 14.6 發(fā)布：增加無縫地理體驗、在 SAST 中支持 .NET 6

• Krita 5.0 發(fā)布：開源 Photoshop 替代品

• OpenKruise v1.0 發(fā)布：達到應用自動化的新高峰

• Micronaut 3.2 發(fā)布，以實現(xiàn)更高性能的微服務

• Annie：用 Go 編寫的快速簡單的視頻下載庫和 CLI 工具

開源大新聞

繼騰訊等牽頭成立 OpenCloudOS 社區(qū)后，阿里云等企業(yè)主導的龍蜥社區(qū)發(fā)起“龍騰計劃”

12 月 23 日，繼騰訊牽頭成立了開源操作系統(tǒng)社區(qū) OpenCloudOS 后，在 23 日晚些時候，阿里云、統(tǒng)信軟件、龍芯、中科方德等國內(nèi)外頭部操作系統(tǒng)廠商、芯片廠商、運營商等聯(lián)合成立的龍蜥社區(qū)發(fā)起“龍騰計劃”，向廣大生態(tài)合作伙伴發(fā)起招募邀請，希望未來有500 家企業(yè)加入，一起實現(xiàn)商業(yè)與科技夢想。同時龍蜥社區(qū)表示會為加入“龍騰計劃”的成員提供以下商業(yè)利益：支持CentOS無縫遷移；一次適配，即可兼容；優(yōu)先集成社區(qū)解決方案；獨立的支持服務體系；協(xié)助發(fā)行商業(yè)版操作系統(tǒng)。（OpenAnolis龍蜥）

OpenInfra 基金會推出開源基礎設施新標準：LOKI

近期，OpenInfra 基金會推出新的開源基礎設施新標準 LOKI —— Linux OpenStack Kubernetes Infrastructure。AT&T、CERN、中國移動、中國電信、Verizon、Vodafone 和雅虎等企業(yè)已經(jīng)采用了 OpenInfra 的新標準并將其投入生產(chǎn)。類似于 LAMP 堆棧如何成為部署 Web 應用程序的標準，LOKI 也將幫助運營商識別構(gòu)建生產(chǎn)基礎設施的成功模式和技術(shù)組合。

圖片來源：OpenInfra 基金會

CISA、CrowdStrike 發(fā)布 Log4j 掃描器，但仍有盲點

針對“史詩級”漏洞 Log4j，全球開始自查行動。在這之中，網(wǎng)絡安全和基礎設施安全局 CISA 本周發(fā)布了自己的 Log4j 掃描器，該掃描器在安全公司 FullHunt 創(chuàng)建的 Log4j 掃描器基礎上作了修改，支持 DNS 回調(diào)以進行漏洞發(fā)現(xiàn)和驗證，同時提供對 HTTP POST 數(shù)據(jù)參數(shù)的模糊測試、對 JSON 數(shù)據(jù)參數(shù)的模糊測試以及對 URL 列表的支持。除此之外，網(wǎng)絡安全技術(shù)公司 CrowdStrike 類似地也發(fā)布了自己的免費 Log4j 掃描器，稱為 CrowdStrike 檔案掃描工具或“CAST”。

圖片來源：Rezilion

一個自主的 DevSecOps 平臺 Rezilion 的漏洞研究負責人 Yotam Perkal 對一些 Log4j 掃描程序進行了測試，發(fā)現(xiàn)許多掃描程序無法找到該漏洞的所有實例。Perkal 說，“雖然有些掃描儀比其他掃描儀做得更好，但沒有一個能夠檢測到所有格式。這也提醒我們，檢測能力取決于您的檢測方法。掃描儀有盲點?！备鶕?jù) Perkal 的說法，該研究說明了靜態(tài)掃描在檢測 Log4j 實例方面的局限性。

CNCF 開發(fā)者調(diào)查報告：Kubernetes 采用率上升，無服務器下降

12 月 20 日，云原生計算基金會（CNCF）發(fā)布了基于研究公司 SlashData 在 2020 年底和 2021 年初對來自 155 個國家/地區(qū)的 19,000 多名開發(fā)人員的調(diào)查“云原生開發(fā)現(xiàn)狀”。調(diào)查發(fā)現(xiàn)，2021 年第一季度有 560 萬開發(fā)人員在使用 Kubernetes，與 2020 年第一季度相比增長了 67%；31% 的后端開發(fā)人員正在使用 Kubernetes，比前 12 個月增加了 4 個百分點；在邊緣開發(fā)人員中，Kubernetes 的使用率增加了 11 個百分點，達到 63%。在所有接受調(diào)查的行業(yè)中，邊緣技術(shù)對 Kubernetes 的采用率最高。

同時調(diào)查發(fā)現(xiàn)，參與無服務器架構(gòu)的開發(fā)人員比例從 27% 下降到 24%。無服務器計算涉及通過AWS Lambda等服務動態(tài)分配計算周期。報告認為，下降趨勢可能是由于無服務器解決方案缺乏靈活性，例如公司害怕將自己鎖定在特定供應商中。（IndoWorld）

Apache HTTP Server 更新版修復了兩個缺陷

12 月 23 日，Apache 軟件基金會發(fā)布了一個更新，以解決其廣受歡迎的 Web 服務器中的一個嚴重缺陷，該漏洞允許遠程攻擊者控制易受攻擊的系統(tǒng)。 該基金會發(fā)布了 Apache HTTP Server（Web 服務器）的 2.4.52 版，該版本解決了兩個跟蹤為 CVE-2021-44790 和 CVE-2021-44224 的缺陷。Apache HTTP Server 沒有直接受到基于 Java 的 Log4j 錯誤消息庫的影響，然而，即使是用非 Java 語言編寫的 Web 服務器也可能在一項技術(shù)中集成了易受攻擊的 Log4j 庫。（ZDNet）

新的開源庫 GraphQL AuthZ 成立，可在不同的 GraphQL 架構(gòu)中添加授權(quán)層

12 月 19 日，Guild 團隊推出一個新的開源庫 GraphQL AuthZ。GraphQL AuthZ 是一種靈活的現(xiàn)代方式，可以在現(xiàn)有的 GraphQL 微服務或單體后端系統(tǒng)之上添加授權(quán)層。它適用于代碼優(yōu)先和模式優(yōu)先（SDL）開發(fā)，支持附加授權(quán)規(guī)則的不同方式，在核心包中具有零依賴關(guān)系（除了對 graphql-js 的對等依賴），并保持模式干凈任何授權(quán)邏輯。

GraphQL AuthZ 包裝了 gra 執(zhí)行階段，并在此階段之前和之后運行用于強制執(zhí)行定義的授權(quán)規(guī)則的邏輯。通過采用 GraphQL AuthZ 方法，用戶的可執(zhí)行模式不包含任何授權(quán)邏輯。同時，除了預執(zhí)行規(guī)則，GraphQL AuthZ 還允許用戶編寫執(zhí)行后規(guī)則，并且使用 GraphQL AuthZ 可以實現(xiàn)集中式網(wǎng)關(guān)授權(quán)層以及微服務級別授權(quán)。事實上，GraphQL AuthZ 的靈感來自于 GraphQL Shield。但是，與 GraphQL AuthZ 相比，GraphQL Shield 使用不同的方法來應用授權(quán)規(guī)則。

2021 年：LibreOffice 文檔團隊大放異彩的一年

LibreOffice 是一款基于 OpenOffice 的免費開源辦公套件，具有額外的功能、改進的 Microsoft Office 兼容性和定期更新。在 2021 年，OpenOffice 團隊縮小了 LibreOffice 主要版本之間的差距以及更新了相應的用戶指南。到年底，他們將版本 7 的所有指南更新到 LibreOffice 7.2 版，并準備好繼續(xù)發(fā)布即將于 2022 年 2 月上旬發(fā)布的 7.3 版。指南的更新和增強是所有團隊的共同努力，由Jean Weber（作家和入門指南）、Steve Fanning（計算和基礎指南）、Peter Schofield（印象和繪圖指南）、Rafael Lima（數(shù)學指南）協(xié)調(diào)）。

2021 年，他們還推出了 LibreOffice 書架。與當前的文檔 .libreo 服務器頁面不同，該書架可以在組織、圖書館、學院和學校中進行克隆和安裝，以便在受控環(huán)境中立即可用以及在線閱讀指南。ODF 章節(jié)已轉(zhuǎn)換為靜態(tài) HTML 頁面，并準備在計算機、平板電腦和手機上顯示，從而隨時隨地使 LibreOffice 用戶指南更貼近公眾。

開源軟件專區(qū)

GitLab 14.6 發(fā)布：增加無縫地理體驗、在 SAST 中支持 .NET 6

12 月 22 日，GitLab 團隊宣布 GitLab 14.6 發(fā)布，并表示該版本是 2021 年的最后一個版本。此版本帶來了簡化的地理配置，通過自動使用離他們最近的地理站點來幫助全球分布的團隊來加速 Git 克隆或 Git 拉取命令，用于記錄實時事件（例如連接和令牌狀態(tài)）的 GitLab 代理的活動列表，同時還有各種 SAST 改進，包括 SAST 執(zhí)行策略和對 .NET 6 的支持。

Krita 5.0 發(fā)布：開源 Photoshop 替代品

Krita 是一個非營利性、開源和社區(qū)驅(qū)動的軟件項目，同時也是 Photoshop 的開源替代品。Krita 5.0 是 Krita 項目迄今為止規(guī)模最大的一次更新，為 Krita 的每一個方面帶來了諸多改進，并實現(xiàn)了許多全新功能：速度更快、更具彈性的資源管理系統(tǒng)；色彩管理和漸變色改進；涂抹筆刷速度更快，全新的 MyPaint 筆刷引擎；動畫制作功能改進；全新的分鏡頭腳本工具和配套工作流程；用戶界面改進；AVIF 和 WebP 等全新文件格式支持；以及工具、圖層功能改進等。

具體詳情見：

OpenKruise v1.0 發(fā)布：達到應用自動化的新高峰

近日，阿里巴巴和 OpenKruise 維護者 Siyu Wang 宣布 OpenKruise 1.0 的發(fā)布，這是一個 CNCF 沙盒級別的項目。OpenKruise 是Kubernetes的擴展組件套件，主要專注于應用程序自動化，例如部署、升級、操作和可用性保護，它提供的大部分功能主要基于 CRD 擴展構(gòu)建。它們可以在純 Kubernetes 集群中工作，沒有任何其他依賴。目前提供以下領(lǐng)域的功能：應用程序工作負載；Sidecar 容器管理；增強的操作；應用程序可用性保護。

具體詳情見：

Micronaut 3.2 發(fā)布，以實現(xiàn)更高性能的微服務

12 月 22 日，基于 JVM 的多語言框架、用于在 Java、Kotlin 和 Groovy 中構(gòu)建微服務應用程序 Micronaut 已達到第 3 版。新版本中做了一些改進和更新：更新以支持最新的 GraalVM 21.3.0 版本；GraalVM Maven 官方插件有了新坐標；Gradle 插件的新主要版本；支持 Kotlin 1. 6. 0.；Websocket 改進。同時 Micronaut Data、Micronaut Security、Micronaut Openapi、Reactive Library Modules、Micronaut Kubernetes、Schema Migration Modules、Micronaut Elasticsearch 模塊做了一些升級。

具體詳情見：

開源工具推薦

Annie：用 Go 編寫的快速簡單的視頻下載庫和 CLI 工具

Annie 是一個使用 Go 構(gòu)建的快速、簡單和干凈的視頻下載器。支持的平臺很多，包括 MacOS、Windows、Linux 等，安裝和使用是非常簡單的，目前支持以下網(wǎng)站：抖音、嗶哩嗶哩、半次元、pixivision、優(yōu)酷、YouTube、愛奇藝、芒果TV、糖豆廣場舞、Tumblr、Vimeo、Facebook、斗魚視頻、秒拍、新浪微博、Instagram、Twitter、騰訊視頻、網(wǎng)易云音樂、音悅臺、Pornhub、Xvideos、聯(lián)合新聞網(wǎng)、TikTok、好看視頻、AcFun、Eporner、StreamTape。

具體詳情見：

【歡迎投稿】源碼面前，了無秘密。大家還有哪些推薦的開源工具或者開源軟件，亦或是想了解的開源資訊，可以投稿至郵箱：tumin@c。開源世界的一切，由你我共同創(chuàng)造！