cnBeta.COM_中文业界资讯站

经过多年的发展，开源软件已经在各种环境中得到了广泛的应用。然而对于负责用户和组织安全的人员来说，也必须能够理解和验证其安全性。好消息是，在 Linux 基金会的牵头下，开源社区已经达成了一项跨行业的合作。新成立的开源软件安全基金会（OpenSSF）旨在将广泛的社区领导者聚集到一起，建立具有针对性的计划和最佳实践，以提升开源软件的安全性。

微软今天宣布，将和其他行业合作伙伴（GitHub, Google, IBM, JPMC, NCC集团, OWASP基金会和 Red Hat）一起创建了开源安全基金会（OpenSSF）。这是一个跨行业的合作项目，由 Linux 基金会主持。

Apache 软件基金会近日公开发布了其 2020 财年（即 2019.05.01-2020.04.30）的年度报告。报告开篇提到，“作为世界上最大的开源基金会，Apache 软件基金会管理着 2 亿多行代码，并向公众 100% 免费提供价值超过 200 亿美元的软件。”

在社区强烈反弹后，LibreOffice 背后的非营利组织文档基金会（The Document Foundation，TDF）决定撤销 LibreOffice 关于“个人版”的标识。在本月初发布的 LibreOffice 7.0 RC1 版本中，官方给该系列添加了“个人版本（personal edition）”的标识，这在社区中引起了激励地讨论。

Btrfs 文件系统已有十多年历史，但性能和可靠性问题导致其未能普及。社交巨人是少数大规模采用 Btrfs 的科技公司。Btrfs 开发者 Josef Bacik 在最近举行的开源峰会上谈论了 Facebook 是如何深入融入 Btrfs 的。

早在 2019 年 11 月，GitHub 就宣布了要在北极设立 Arctic Code Vault 数据存档仓库的计划。该设施选在了位于北极附近的世界档案馆（Arctic World Archive）中，作为一个具有长期目标的存档设施，其被埋入了山下 250 米深的永久冻土层。GitHub 希望将代码保存一千年的时间，从而为后代留下宝贵的开源财富。

计算机视觉库 OpenCV 即将迎来 20 周年，其重要版本 OpenCV 5 也发布在即。OpenCV 官方宣布，随着此版本的推行，OpenCV 的开源许可协议将从 3-clause BSD 变更为 Apache 2。

在一众国产CPU芯片中，龙芯是比较特殊的一个，因为它基于少见的MIPS架构，相比于x86、ARM在生态适配上难度高得多。不过龙芯早就明确提出，其目标就是构建一套区别于Wintel x86体系、AA ARM体系之外的第三套信息化生态体系，支撑国家信息化自主发展。

国内较为有名的开源 PHP 开源论坛修罗 BBS（Xiuno BBS）已于 7 月 6 日关闭，目前未见官方公告。访问该网站可见简单的说明：“国内什么时候有真正的开源环境了再见！”同时，也在 4.0 版本的源码库中看到 18 小时前更新了 README，意指项目的开源之路将暂时停止。

国内电子书厂商文石（Onyx）被指拒绝发布其电子书设备源码，违反 GPL v2 开源协议。Onyx 的电子书设备是在 Linux 内核基础上的改版，而 Linux 内核基于 GPL v2 许可证，该许可证有很明显的“传染性”，要求二次分发项目也必须开源（本质是也必须基于 GPL v2，关于 GPL v2 的更多信息，可以查看：人话版 GPL 2.0 协议）。

文档基金会刚刚发布了新版 LibreOffice，这款开源生产力套件被认为是昂贵微软 Office 的最佳替代者。LibreOffice 6.4.5 是 6.4 分支的小幅版本升级，主要修复了此前存在的诸多错误。

在去年九月的华为 CONNECT 大会上，华为宣布将开源其 GaussDB 数据库，开源后命名为 openGauss。现在，openGauss 数据库源代码已正式开放，openGauss 开源社区也正式成立。

LLVM 项目最近一个待解决的任务是将其 Git 仓库中使用"master"命名的分支更改为更具包容性的描述。到目前为止，几乎所有发表意见的人都支持这种改变，不过仍存在一些开放性的问题有待解决，比如该如何称呼新的主开发分支、评估更改分支命名涉及的技术成本，以及这种变更应该如何快速实现。

2 月份 Raspberry Pi 基金会曾表示，他们正在致力于为 Raspberry Pi 提供开源 Vulkan 驱动程序的支持，而如今，这项开发工作已经取得了不少可喜的进展。Raspberry Pi 基金会的博客指出，目前使用 Raspberry Pi 4 的 VideoCore VI GPU 渲染 RGB 三角形的里程碑已经通过 Vulkan 1.0 Khronos Conformance 测试套件超过 70,000 项测试，并且为 Vulkan 1.0 API 的重要子集提供了实现。

哈工大、北航等国内高校被禁止使用 MATLAB，这件事在国内社交媒体迅速发酵并登上热搜，引发学术界和技术界的广泛讨论。上个月，美国商务部宣布将新增 33 家中国公司及机构列入“实体清单”，除了奇虎360、云从科技、烽火科技等企业外，还包括中国公安部法医科学研究所等政府相关机构，以及哈尔滨工业大学和哈尔滨工程大学两所高校。

RiskSense 发布了一份新报告，该报告提供了有关目前热门的开源软件中漏洞的深入发现，其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。该报告并没有包含 Linux、WordPress、Drupal 等这些经常受到监控的超级流行项目。而是观察了一些对大众来说并不是很知名，但却被技术和软件社区广泛采用的其他热门开源项目。

开源软件的开放性特征让大到国家、小到公司和个人得到了很多便利。“国外开源软件通常可免费使用，并未对我国‘卡脖子’，为什么你们还要自己做呢？”一年前一次评审会上的这个问题给清华大学地球系统科学系副教授刘利留下了深刻的印象。

面向 Windows、macOS和GNU/Linux 平台，今天文档基金会分享了 LibreOffice 7.0 办公套件的首个公开测试版本。新版本可以和现有的生产力版本一起安装，文档基金会推荐用户下载并测试，正式版预估将会在8月发布。

FreeNAS 是设计用于 NAS(网络附加存储)设备的开源自由软件操作系统，该项目主要由 iXsystems 领导开发。FreeNAS 使用了 ZFS 文件系统，基于 FreeBSD 操作系统。现在 iXsystems 宣布了一个基于 Debian Linux 的版本叫 TrueNAS SCALE

从微软商用产品迁移到开放源码的解决方案，可带来降低许可成本、以及更好地管控完整代码等益处。只是受历史数据和使用习惯等因素的影响，极少有大型机构愿意冒着风险去迁移。不过继慕尼黑之后，又一个德国城市表达了想要摆脱微软束缚的想法，它就是最近正在积极拥抱开源的汉堡市。

GitHub 安全博客警告了针对的 Apache NetBeans IDE 项目的开源供应链攻击 Octopus Scanner。GitHub 称它在 3 月 9 日收到了被称为 JJ 的安全研究人员发来的警告，称发现一组感染了恶意程序 Octopus Scanner 的开源库。

印度政府在 Apache v2 许可证下开源了它的接触者跟踪应用 Aarogya Setu，源代码托管在 GitHub 上。印度政府是在四月初发布了 Aarogya Setu，不到两个月时间其安装量超过了 1.14 亿。印度政府首先公开的是 Android 版本的源代码，iOS 和 KaiOS（基于 Firefox OS）版本的源代码将在未来几周内释出。

计算机视觉库 OpenCV 2020 年技术委员会的会议记录显示，其中一项议程提到计划将其开源许可协议从 BSD 变更为 Apache 2.0。OpenCV 开发团队目前正在讨论变更开源许可协议的详细问题，预计在6月29日进行第一次评估。

面向所有支持的桌面平台，文档基金会今天发布了LibreOffice 6.4.4生产力套件更新。由于是第四个维护版本更新，因此并没有引入任何新的功能，主要是对细节上的打磨，修复BUG和优化性能等。

近日，软件和芯片设计公司 Synopsys 发布《2020年开源安全和风险分析报告》，指出不安全的开源软件已无处不在。一方面，99%的审计代码库中至少包含一个开源组件，另一方面，经过审核的代码库中有75％包含具有已知安全漏洞的开源组件，老化和废弃的开源组件也无处不在。

新当选的德国慕尼黑市执政联盟再次拥抱开源，宣布将坚持“'public money, public code”的原则，只要不涉及保密或个人数据，市政机构使用的软件源代码必须公开。2003 年，受微软终止支持 Windows NT 4.0 的刺激，慕尼黑市决定从私有软件迁移到开源软件。

作为微软Office的最佳替代品之一，LibreOffice每隔一段时间都会获得文档基金会推出的大规模改进。目前开发团队正在筹备7.0重大版本更新，预估将会在今年夏天推出。

GCC 10.1 已发布，这是一个重要版本，也是将代码仓库从 SVN 完全切换至 Git 后发布的首个主要版本。另外要注意的是，部分使用旧版本 GCC 编译成功的代码可能需要修改源代码。主要更新内容包括：

Emacs 编辑器诞生于 Linux 之前，曾比 Linux 更知名，但如今却变得相对默默无闻了。在 emacs-devel 邮件列表上，开发者们讨论了如何增强 Emacs 的吸引力，让它能再次流行起来。Emacs 原作者 RMS（Richard Stallman）也加入了讨论。

一天前，网友 niksmac 在 Hacker News 上提出了这样一个问题：“开源最大的谎言是什么”？由此引发了诸多讨论。从其他网友的回复来看，他们主要将焦点集中在开源的安全性、使用成本、商业化、开源精神及道德等方面。

外媒 Phoronix 在进行基准测试后发现，与 LLVM/Clang 9.0 相比，Clang 10.0 的基准测试结果整体上不错，至少没有出现明显的倒退。但是，当 Rust 将其编译器基础迁移到 LLVM 10.0 后，对于 Rust 来说，情况似乎不太一样。

LibreOffice 现在倾向于使用 LLVM Clang 而不是其他编译器来构建新的渲染代码。当回退到基于 CPU 的软件光栅化时，考虑到谷歌自己对 Skia 引擎的重视是基于 Clang 的，因此 Clang 生成的代码性能要比其他编译器好得多。所以当构建 Windows 版本的 LibreOffice 7.0 时，现在对使用 Clang 提出了硬性要求。

GitHub 计划本周在巴黎设置分会场，但形式已从线上换成了线上。新发布的 Codespaces 无疑是亮点之一，其为开发者提供了基于云端托管的完整开发环境。实际上，GitHub Codespaces 正是基于微软的 VS Code 编辑器打造（改名前叫做 VS Code Online）。两者采用了相同的概念和技术，只不过现在直接被 GitHub 直接集成到了现有的服务中。

curl是一个跨平台，基于URL网络传输的命令行工具和底层库。此次更新添加了原生的json支持，利用--write-out，将支持元数据直接输出为JSON对象。同时依惯例修复了一系列的bug和安全更新。

文档基金会今日向所有受支持的平台发布了 LibreOffice 生产力套件的最新版本，Linux、Windows 和 macOS 用户现可通过官方渠道下载安装 LibreOffice 6.3.6 。作为一个着重于 bug 修复和底层改进的次要版本，其并未引入任何新功能，而是致力于改善 LibreOffice 6.3 开发分支的用户体验，比如文档的兼容性。

LibreOffice 的下一个主要版本是计划于 8 月发布的 7.0，在其目前的 ReleaseNotes 中，已经显示将不再支持 Adobe Flash SWF。当前版本的 LibreOffice 仍然支持 Adobe Flash，用户可以将演示文稿和工程图导出为 .SWF 格式。

文档基金会宣布推出 LibreOffice 6.4.3，这是 LibreOffice 6.4 系列的第三个次要版本，主要面向技术爱好者和超级用户。LibreOffice 6.4.3 包括了一些错误修复以及对文档兼容性的改进。不过，LibreOffice 6.4.3 并未针对企业级部署进行优化。

GitHub 宣布，即日起，所有用户都可以免费使用该平台的核心功能。无论是个人免费账户、还是商业项目团队，都可访问 GitHub 的无限私有存储库、以及每月 2000 分钟的 GitHub Actions 访问，后者是该公司的自动化和 CI / CD 平台。

为共同抗击新冠病毒大流行引发的疫病危机，英特尔、Mozilla、Creative Commons 等组织纷纷宣布加入 Open COVID Pledge 联盟。顾名思义，该组织旨在汇集和开放各个企业的知识产权，以推动 COVID-19 预防和治疗方案的研发，相关免费授权将持续到世界卫生组织宣布新冠病毒大流行结束后的一年。

在新冠疫情大流行的时代，Zoom 等私有软件几乎成为了工作必不可少的工具了。但其隐私安全也日益引起关注，找到 Zoom 的替代并不难，难的是为了拥有自主掌控的能力你需要自托管，这需要付出很多努力克服需要困难。

Apache HTTP Server（简称Apache）是Apache软件基金会的一个开放源码的网页服务器，可以在大多数电脑操作系统中运行，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将Perl／Python等解释器编译到服务器中。

3 月 26 日，Apache 软件基金会（ASF）宣布成立 21 周年。早在 1993 年，由 8 名开发人员组成的小组，开发了一个 Web 服务器软件，叫做 Apache HTTP Server ，他们被称为阿帕奇小组（Apache Group）， Apache 的名字则来源于美洲印第安人的阿帕奇（Apache）民族，其以出色的战争策略和耐力而闻名。

Apache 软件基金会（Apache Software Foundation，ASF） 发文庆祝成立 21 周年。官方数据显示，截至目前， Apache 软件基金会已经聚集了 300 个其他项目。并包括有 765 位个人成员、206 个 Apache 项目管理委员会、以及 7,600 个以上的提交者和 200M + 行 Apache 代码。

文档基金会刚刚发布了面向 Linux、Windows 和 Mac 平台的 LibreOffice 6.4.2 。作为 6.4 的第二个次要发行版，意味着它没有引入新功能，而是专注于 bug 修复进一步完善该生产力套件的体验。文档基金会表示，今日的更新修复了 Retina 显示屏上的字体模糊等问题，能够为 Mac 用户带来更顺畅的使用体验。

今天的主流浏览器几乎全部是基于开源浏览器，但开源社区流行的创建分支却日益变得不切实际，原因是 Web 和浏览器变得太复杂了。W3C 的规格数量以平均每年 200 个的速度增长，这些规格大约有 200 万字，一个新的浏览器团队要按照这一速率去实现规格是非常困难的。

2020 年 3 月 16 日，全球开源社区爆出大新闻：GitHub 宣布收购 npm 。npm 是啥？JavaScript 世界的软件包管理器。它的体量有多大？大约有 1200 万开发人员使用，共提供了 130 万个软件包，每月下载次数达到 750 亿次。

自由软件基金会（FSF）通过 2020 LibrePlanet 线上会议 宣布了 2019 年度的自由软件奖得主，因新冠疫情线下会议取消。社会公益项目奖授予了 Let's Encrypt 项目，此前获得该奖的项目包括了 OpenStreetMap 和 Public Lab。

近期 Vulkan 势头不小，游戏引擎 Godot 计划年中发布的 4.0 大版本中将支持 Vulkan，Raspberry Pi 也即将迎来 Vulkan 的支持。现在我们还可以看到 FFmpeg 也将支持 Vulkan。

开源组件已成为当今许多软件应用程序的基础组成部分，这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告，可知 2019 年公开的开源软件漏洞数增加到了 6000 多个，增速接近 50% 。庆幸的是，有超过 85% 的开源漏洞已被披露，且提供了相应的修复程序。

Google 知名漏洞研究人员 Tavis Ormandy 开源了一个可以将 Windows DLL 加载到 Linux 的库 loadlibrary，该库允许原生 Linux 程序从 Windows DLL 加载和调用函数。库中包含一个自 ndiswrapper 派生的自定义 PE/COFF 加载器。该库将处理重定位和导入，并提供类 dlopen API。

Project OWL是一款基于云端的软/硬件解决方案，致力于在自然灾害发生后帮助应急响应人员与幸存者建立联系。该项目在2018年10月获得“代码行动全球奖”，并获得Linux基金会的开源支持。今天，Linux基金会宣布将开源Project OWL的IoT设备固件，以帮助全球开发人员为全球紧急通信网络构建网状网络节点。

近日，Uber 的开源计划办公室负责人 Brian Hsieh 在官网上公开分享了该公司的开源原则。Hsieh 表示，开源软件是 Uber 技术堆栈的基础，他们的开源计划办公室（OSPO）则集中了关于开源策略、运营和活动的中央资源。

梦想在Android或iOS上使用LibreOffice？如果是这样，将特别关注Collabora Office的发布。Collabora Office是适用于Android和iOS的免费开源办公套件。它由Libre

Apache 软件基金会发文庆祝版本控制系统 Apache Subversion（SVN）已诞生 20 周年。SVN 是开源的集中式版本控制系统，其最大优势是概念模型和用法简单、可靠性高。相较于 RCS 和 CVS，它采用了分支管理系统，最初的设计目标就是取代 CVS。

档基金会宣布，LibreOffice 6.4.1 已正式发布，这是 LibreOffice 6.4 系列的第一个次要版本，主要面向技术爱好者和高级用户。LibreOffice 6.4.1 包含 80 个 bug 修复以及对文档兼容性的改进。不过，其并未针对企业级部署进行优化。

在给微软寄硬盘，希望开源 Windows 7 后。最近， 自由软件基金会（Free Software Foundation，FSF） 又在举办年度会议 LibrePlanet，而该会议讨论的主要主题之一则是“How do you fight Facebook？”

自由软件基金会（FSF）在博客宣布计划今年推出代码托管协作平台("forge")，以支持自由软件的开发和基础设施的搭建。FSF 技术团队的成员目前正在审查该平台的道德伦理，据介绍平台可帮助团队处理其项目，并具有合并请求、错误跟踪和其他常用工具等功能。

为了打破网络安全工具之间一盘散沙的局面和交流上的鸿沟，开放网络安全联盟（OCA）推出了专为在网络安全软件之间分享数据和命令的开源消息传递框架。周一的时候，由 IBM、Crowdstrike 和 McAfee 等在内的网络安全厂商所组成的 OCA 联盟，正式宣布了首个用于连通网络安全工具的 OpenDXL Ontology 开源消息传递框架。

去年，Richard M. Stallman（RMS）因公众压力选择从自由软件基金会辞职，但他仍是与自由软件基金会紧密联系的 GNU 组织的负责人。正是因为 FSF 和 GNU 之间的复杂关系，部分 GNU 维护者对 RMS 的举动颇有微词。

OpenSSH 8.2 发布了。OpenSSH 是 100％ 完整的 SSH 协议 2.0 版本的实现，并且包括 sftp 客户端和服务器支持。此版本变化不少，其中有两个地方值得特别关注。一个是新特性，此版本增加了对 FIDO/U2F 硬件身份验证器的支持。