用GPL开源后想转闭源，法院判决GPL协议终身有效；与Log4j漏洞斗争是场持久战；Firefox 96发布 | 开源日报

【开源日报】开源吞噬世界的趋势下，借助开源软件，基于开源协议，任何人都可以得到项目的源代码，加以学习、修改，甚至是重新分发。关注「开源日报」，一文速览国内外今日的开源大事件吧！

整理 | 宋彤彤 责编 | 屠敏

出品 | CSDN（ID：CSDNnews）

一分钟速览新闻点！

• 一场持久战：H2 数据库中发现类似 Log4j 的漏洞

• 用 GPL 开源后想转闭源，法院判决 GPL 协议终身有效

• GitHub 又发生中断，用户无法使用 AWS CodePipiline 进行部署

• Red Hat / Fedora Anaconda 安装程序转向基于 Web 的 UI

• Git.io 不再接受新的 URL

• Firefox 96 发布，主线程负载显著减少

• Ubuntu Touch OTA-21 发布

• QingScan：一个批量漏洞挖掘工具，黏合各种好用的扫描器

开源大新闻

用 GPL 开源后想转闭源，法院判决 GPL 协议终身有效

2021 年 4 月 30 日，罗盒公司状告风灵创景公司侵权获赔 50 万元，同时法院要求风灵公司停止侵权行为，该案例是中国首个明确 GPL3.0 协议具有法律效力的案例。而在 2021 年 9 月 29 日，罗盒公司状告玩友公司侵权却败诉。此案件是罗盒公司状告玩友公司未经购买而使用了它的商业软件 VirtualApp，玩友反驳称其软件是开源的，无需付款。最后法院认定 VirtualApp 是开源软件，且认可 GPL 的效力。这个案例指出了一个问题：用了 GPL 后能否转闭源？

此前罗盒曾删除 GPL 声明，也不再维护 GitHub 上的开源版本，专注于闭源商业版。但玩友使用的是 GitHub 上的 VirtualApp 。而罗盒的逻辑是即便使用的是 GitHub 上的版本同样也需付费，因为 GitHub 上的版本已不是 GPL，需购买商业使用授权。最终法院的判决认定 GitHub 上的软件仍然属于开源，符合 GPL。虽然罗盒删掉了 GPL 声明，但曾经声明过，便不能撤销。你可以在后续版本使用新协议，但 GitHub 版本已不能更改。

一场持久战：H2 数据库中发现类似 Log4j 的漏洞

近日，JFrog Security（软件分发社交平台）的一名安全研究人员在 H2 数据库（开源 Java SQL 数据库）控制台中发现了一个基于 JNDI 的严重漏洞，与 Log4Shell 类似，该漏洞存在于 Apache 日志库中。此漏洞现在被跟踪为 CVE-2021-42392。

而在 1 月 10 日，美国网络安全与基础设施安全局（CISA）高级官员表示，安全人员与 log4j 安全漏洞的斗争将是一场持久战。在 10 日的电话会议期间，CISA 主管 Jen Easterly 向记者透露，尽管还有许多攻击未公开，但除了对比利时国防部的攻击之外，目前美国联邦机构还没有看到直接 Log4j 漏洞进行的重大网络攻击。（ZDNet）

GitHub 又发生中断，用户无法使用 AWS CodePipiline 进行部署

世界标准时间 1 月 12 日 2:22，GitHub Pages 性能下降，随后 GitHub Actions 性能也开始下降，影响了许多用户的操作。在服务状态发生错误一个小时内问题得到解决。一些网友纷纷发言表示，“能否仔细检查服务器，至少希望服务不会宕机”；“由于 GitHub 错误，我无法使用 AWS CodePipiline 进行部署”；“ Github Actions 出现问题，但显示 Github Pages 的服务降级。我想知道这是否意味着他们在这两个组件之间共享服务器。”据悉，新的一年才过去十多天，GitHub 已出现两次事故。

Red Hat / Fedora Anaconda 安装程序转向基于 Web 的 UI

用于执行新操作系统安装的 Red Hat / Fedora Anaconda 安装程序正在对其用户界面进行重大改写，并将继续基于 Web 进行改进。Anaconda 长期以来一直是基于 GTK 的，但现在他们正在考虑将 UI 重写为基于 Web 浏览器的 UI，以利用 Red Hat 的 Cockpit 项目。新 UI 将在本地或远程运行，对于那些希望进行无头服务器安装的人来说，这比通过 VNC 等进行更容易。（Phoronix）

Git.io 不再接受新的 URL

1 月 11 日，GitHub 团队发布博客，称用户不再允许在 git.io 上创建新的 URL，现有的 URL 将允许继续访问，未来他们将弃用 git.io 工具，也呼吁大家使用更多可用的 URL 缩短服务。

开源软件专区

Firefox 96 发布，主线程负载显著减少

1 月 11 日，Firefox 96 正式发布。Firefox 96.0 显著减少了浏览器主线程上的负载量，并且在噪声抑制和自动增益控制以及回声消除方面也有显著改进。除了该性能工作之外，还有修复了 WebRTC 降低屏幕共享分辨率的问题，改进了 cookie 策略以降低跨站点请求伪造 (CSRF) 攻击的可能性，视频质量下降修复和其他修复等。

更多详情见：http://ftp.mozilla.org/pub/firefox/releases/96.0/

Ubuntu Touch OTA-21 发布

Ubuntu Touch 是 UBports 推出的尊重隐私和自由的移动操作系统。Ubuntu Touch OTA-21 发布，此版本的 Ubuntu Touch 仍然基于 Ubuntu 16.04。此版中有一些改进：系统设置中的存储统计（空闲/占用空间）全面进行调整；Greeter 进行了重新设计；为 Halium 10 做准备；

Media-Hub 重构以及其他改进等。

更多详情见：https://ubports.com/blog/ubports-news-1/post/ubuntu-touch-ota-21-release-3798

开源工具推荐

QingScan：一个批量漏洞挖掘工具，黏合各种好用的扫描器

QingScan 是一款聚合扫描器，本身不生产安全扫描功能，但会作为一个安全扫描工具的搬运工；当添加一个目标后，QingScan 会自动调用各种扫描器对目标进行扫描，并将扫描结果录入到QingScan平台中进行聚合展示。支持 web 扫描、系统扫描、子域名收集、目录扫描、主机扫描、主机发现、组件识别、URL 爬虫、XRAY 扫描、AWVS 自动扫描、POC 批量验证，SSH 批量测试、vulmap 等功能。

功能展示

GitHub 地址：https://github.com/78778443/QingScan

【欢迎投稿】源码面前，了无秘密。大家还有哪些推荐的开源工具或者开源软件，亦或是想了解的开源资讯，可以投稿至邮箱：tumin@csdn.net。开源世界的一切，由你我共同创造！

《新程序员003》正式上市，50余位技术专家共同创作，云原生和数字化的开发者们的一本技术精选图书。内容既有发展趋势及方法论结构，华为、阿里、字节跳动、网易、快手、微软、亚马逊、英特尔、西门子、施耐德等30多家知名公司云原生和数字化一手实战经验！

Web3 是去中心化的“骗局”？