HashiCorp 放弃开源原则这件事并无新意。

在加利福尼亚蒙特利召开的 Linux 基金会成员峰会 Linux Foundation Members Summit 上，最受关注的议题是人工智能和开源。而第二重要的话题涉及到 HashiCorp 放弃 Terraform 的 Mozilla 公共许可证 Mozilla Public License （MPL），转而采用 商业源代码许可证 Business Source License （BSL）1.1，以及由此引发的 OpenTofu 项目复刻。因 Linux 基金会对 OpenTofu 项目的支持，HashiCorp 的 CEO David McJannet 表现出极度的不满。

关于许可证切换、源代码复刻以及由此产生的争议，火热的讨论并未减少。但在我看来，有一点被人们忽视：人们一直误认为这是新鲜事物，实则不然。

之前已经有过不止一次，甚至不止十次，公司将开源代码转变为专有程序，或者隐藏在一个专有的包装中。

首先，人们经常拿走开源代码，但却抹去其许可证信息，然后就此继续下去。虽然这并不一定构成窃取行为，实际上，有些许可证，比如 MIT 许可证和两句版 BSD 许可证，完全允许公司和开发者在他们的专有程序中使用这些代码。例如，我们都熟知以下基于 MIT 许可证的程序，比如 Angular、.NET、Node.js、Ruby on Rails 和 React。

其次，有一些程序最初以开源的形式开始，但随着时间的推移，原始所有者和许可证规则发生了变化，以至于许多人甚至都不知道它们曾经是开源的。举例来说，苹果公司的 macOS 就是其中的一个典型。

你是否知道 macOS 曾经是开源的？确实，它曾经是。

macOS 的核心基于 Darwin，这是一种 Unix 操作系统。 史蒂夫·乔布斯 Steve Jobs 回归苹果公司时，引入了他的基于 Unix 的 NeXTStep 操作系统。到了 2000 年，苹果公司逐步放弃了他们的经典 Mac 操作系统，转而支持 macOS Darwin。除了来自 NeXTStep 的部分，Darwin 还大量借鉴了开源的 FreeBSD 和 Mach 操作系统的设计。

如今，如果你深入研究，仍然可以在 macOS 中找到 Darwin，它在 苹果公共源代码许可证 Apple Public Source License 2.0 下开源。虽然还有一项名为 PureDarwin 的工作正在努力制作一个独立的 Darwin 操作系统，但进展甚微。在这个过程中，苹果公司巧妙地减弱了一个重要的开源操作系统的影响力。更为常见的方式是开源软件以 “ 开放核心 open core ” 的方式融入商业程序中。简而言之，开放核心，与开源不同的是，这是一种商业模式。在这种模式中，公司基于一个免费的、开源的核心程序，然后通过加入商业版本或者专有的附加组件来发展。

此术语由 Andrew Lampitt 在 2008 年提出，虽然代表的并不是一个新的概念。他提出这个术语是为了替代混乱的术语 “ 双重许可 dual licensing ”。这个命名更改是为了 “消除误解，推广一个对于开源社区、付费客户和供应商都有利的商业模式”。同时，其目标也是为了消解我们现在在 HashiCorp 看到的 “ 诱捕并切换 bait and switch ” 类似的争议。

尽管我们可以辩论这是否是一个 “出色的商业模式”，但无可争议的是它已经成为一个非常流行的模式。然而，近年来，我们看到的趋势是，许多企业从开放核心模式退回到 源码可得 source-available 模式。在源码可得模式下，你可以查看所有的代码，但在某些情况下你不能修改或使用它。

例如，MongoDB 创建 了一种非开源许可证，即 服务端公共许可证 Server Side Public License （SSPL），以应对那些通过提供自托管版本和服务从其代码中获利的超级云计算公司。

并非只有 MongoDB 做出了这样的决定。Elastic 在开源核心模型运作的很好，但当亚马逊 AWS 等公司通过提供 ElasticSearch 服务赚取巨额利润时，Elastic 在 2021 年做出了 策略调整。它放弃了开源的 Apache 2.0 许可，转而采用非开源的 SSPL 和 Elastic 许可证。

Elastic 和其他几家公司（如 Redis 等）的此类做法，主要目的是阻止云服务公司将他们的开源程序作为一种服务而提供。然而，这个做法反过来对 Elastic 产生了负面影响，因为 AWS 对这个项目进行了 复刻。这一切是否让你想起了 HashiCorp？是吧。

尽管这些向非开源许可的转变惹怒了一些用户和很多开发者，但这些公司的业绩仍表现相对稳定。你可能对此感到不满，但事实是，对于这些公司来说，这种转变在一定程度上取得了成功。

接着，我们来看红帽公司的情况。红帽公司对其红帽企业 Linux（RHEL）代码的使用 施加了限制，只允许其客户使用。几十年来，红帽公司一直在权衡作为开源领导者与处理 RHEL 克隆产品（例如 CentOS，以及最新的 AlmaLinux 和 Rocky Linux）的关系。

随着时间的推移，红帽公司对与他人共享其代码表现出越来越大的犹豫。现在，你可以（且很多人确实正在这么做）辩论红帽公司不再是一个真正的开源公司。批评者认为，红帽公司虽然仍然严格遵守 GNU 通用公共许可证（GPL）的条款，但已经失去了开源精神。

虽然 RHEL 和与其相关的一系列程序仍在产生可观的利润，但红帽公司希望能够从中获取更多的收益，因此，它也开始逐步偏离开源原则。

实际上，所有这些案例的共同之处在于：对更大财富的欲望。如圣经所言，“贪财是万恶之根”。我不确定这一句话的真假，但我确实知道，对金钱的热爱和开源原则很难两全。

对于从开源软件中赚钱并没有错误之处。 理查德·斯托曼 Richard M Stallman （RMS）曾言：“工作寻求报酬，或者寻求尽可能增加收入，这并没有错，只要不采用破坏性的方式即可。” 然而，在 RMS 看来，“通过限制它们的使用来从程序的用户中挤取金钱，是一种破坏行为。”

尽管在现今开源软件与商业实践交汇的情况下，RMS 的观点可能并不如过去那样深受欢迎，但他仍然拥有众多的支持者。

（题图：MJ/b06e9a62-5c0d-49c5-a7b3-fd5af60ac0b1）

via: https://www.theregister.com/2023/10/27/open_source_vs_sort_of_open_source/

作者：Steven J. Vaughan-Nichols 译者：ChatGPT 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

他还称，Linux 基金会接受 OpenTofu 的决策是一个 “悲剧”。

（本文节略自 The Stack 的文章）

HashiCorp 的 CEO 在该公司本月的用户会议上为其改变许可证的做法辩护。他预测，除非社区重新思考如何保护创新，否则硅谷将 “不再有开源公司”。

作为 IaaC 的先驱者，他在 HashiConf 用户会议上介绍了一系列产品了更新和新特性，这是在该公司将其所有产品的版权协议从 Mozilla 公共许可证 Mozilla Public License （MPL）更改为 商业源代码许可证 Business Source License （BSL）后不到两个月时间所做的举措。

HashiCorp 当时表明，“除了在与 HashiCorp 商业产品竞争的产品中托管或嵌入软件外，所有生产用途都不受限制，无论是自我管理的还是托管的。”

然而，此举引起了开源社区的强烈反响。在 Linux 基金会的支持下，一个名为 OpenTofu 的 Terraform 分支很快地被发布出来。

HashiCorp 的 CEO Dave McJannet 本周表示，改变许可证的决策是必要的，因为 HashiCorp 的技术对现代云服务起到了关键的作用，随着全球最大的公司将其业务从本地技术转移到云服务，这种关键性只会越来越强。

尽管开源社区猛烈批评了 HashiCorp 改变许可证的决定，但 McJannet 说其最大的客户对此的反应却是，“太好了，因为你是我们的关键伙伴，我们需要你发展成一个大公司。”实际上，他表示，在很多反馈中客户表示，“我们希望你早点这么做”，并补充说，这个决定在公告之前就已经与主要的云供应商进行了讨论。

McJannet 说，“过去三四年间，每个达到一定规模的供应商都已经得出了同样的结论。……这只是意识到，鉴于市场现在的激励机制，开源模型必须演进。”

他声称，过去成立开源基金会的模式现在已经不合时宜了，这些基金会都被传统供应商所主导。以 Hadoop 为例，他说，“基金会就是大公司免遭创新影响的一种机制，如果 Hadoop 流行起来，IBM 这样的公司可以把它拿来，因为他们是基金会的一部分，他们可以以更低的价钱卖出去。”

将开源产品放到 GitHub 上 “的确非常好”，但是，一旦某个项目变得流行，“克隆供应商就开始竞相复制”。

他声称，“我们发出公告后不久，我就开始接到来自硅谷每一个开源创业公司的电话，他们都告诉我，‘我认为这才是正确的模型’。”

“确实是悲剧……”，他感叹道，Linux 基金会接受 OpenTofu 的行动，为我们揭示了一个严重的问题。“如果基金会只是简单地接收并给它找个归宿，那对开源的未来将带来怎样的影响呢？这对开源创新而言，无疑是一场悲剧。我可以坦诚告诉你，如果这样的事情真的发生，硅谷将再也看不到开源公司的身影。”

他更具体地指出，许可证的改变是他们为赢取企业信任而设计的策略的一部分。

“让其他供应商误解我们的产品是一个巨大的风险，对吗？这对我们的长期发展是不利的，对我们的客户而言也同样危险。”

他进一步解释说，赢得这些大型组织的信任是促使 HashiCorp 当时选择上市的一个驱动力。“我们并不全然需要钱，我们之所以这么做，是想要向公众表明，我们有充足的资金，可以成为他们长期信任的合作伙伴。”

他补充说，他们提议继续和受许可证更改影响的四个主要的公司合作，“只需要你们承担一部分研发成本。然而他们却拒绝，声称要另起炉灶，这对我们来说也没问题。”

（题图：MJ/5cdb5ba0-a7fa-4a29-b3dd-ef0d07bad575）

via: https://www.thestack.technology/hashicorp-ceo-predicts-oss-free-silicon-valley-unless-the-open-source-model-evolves/

作者：JOE FAY 译者：ChatGPT 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

HashiCorp 产品禁止中国公司使用，引发对开源软件受限制的担忧

近日国外知名 DevOps 服务商 HashiCorp 的官网相关条款页面被发现禁止中国公司使用其 Vault 企业版产品的声明。Valut 是一个用于机密管理、加密即服务和特权访问管理的工具。HashiCorp 创始人回应，其表示实际上这与开源软件无关，而是只限制 Vault 企业版产品，并且原因是 Vault 产品目前使用的加密算法，在中国不符合法规，另一方面是美国出口管制法在涉及加密相关软件上也有相应规定。因此这两项原因使得 HashCorp 不得不在声明中说明风险。

来源：开源中国

硬核老王点评：值此时期，出于对开源软件的边界的敏感，这个消息引起了的很多议论。

画风惊悚，南京邮电大学用开源机器人项目实现“云毕业典礼”

据介绍，毕业典礼上的这些机器人出自学校的机器人创新团队之手，是在以前参赛机器人的基础上改装的。这次改装主要是为机器人配置了与真人身高相仿的模型，现场由专门的同学对机器人进行远程控制，屏幕则是用 ZOOM 与参加毕业典礼的同学进行视频交互。

来源：开源中国

硬核老王点评：开源不开源的先不说，这种令人惊悚的机器人行为想必能给出席和不能出席毕业典礼的毕业生们留下深刻的印象。

Docker 企业版被卖给 Mirantis 后，发布了第一个主要版本

Docker 公司于 2019 年 11 月将其 Docker 企业版产品线卖给了顶级 OpenStack 和 Kubernetes 云公司Mirantis。这次发布的第一个主要版本 Docker 企业版 3.1 是一个重大的升级。在容器协调方面，它现在依赖于 Kubernetes 1.17。随之而来的是更高的稳定性和功能，如调度器的改进和对 Windows 的支持。新版本还包括 Nvidia GPU 对人工智能和机器学习应用和编程的支持。

来源：zdnet

硬核老王点评：Docker 公司的经历令人唏嘘，不知道 Docker 企业版到了 Mirantis 手里，是否会有不同的局面。

NSA 称俄黑客组织渗入著名邮件系统软件 Exim 已有数月时间

Exim 是著名的用于基于 Unix/Linux 的邮件系统 MTA 软件，件默认安装在许多 Linux 发行版中。虽然这个漏洞的原始补丁早在去年已经发布，但许多在运行 Exim 的计算机仍没有安装这个补丁。该漏洞允许远程攻击者在知道该漏洞的情况下执行他们选择的命令和代码。根据 NSA 发布的文件，利用这一漏洞发起攻击的是俄罗斯军方组织 Sandworm。

来源：cnBeta.COM

硬核老王点评：基础设施软件中潜伏的安全漏洞带来的破坏的隐秘的、深远的。对错误理解了“懒惰的系统管理员才是好的系统管理员”的人来说，可能破坏尤其大。

GitHub 警告 Java 开发者，新的恶意软件正在毒害 NetBeans 项目

GitHub 表示，在其网站上上传的 26 个版本库中发现了含有这个被命名为 Octopus Scanner 恶意软件。该恶意软件会扫描受害者的工作站，寻找本地的 NetBeans IDE 安装，然后潜入开发者的其他 Java 项目。它可以在 Windows、macOS 和 Linux 上运行，然后会下载一个远程访问木马，从而让 Octopus Scanner 操作者在受感染的受害者电脑中翻阅，寻找敏感信息。其真正目的是在敏感项目或大型软件公司内部的开发人员的机器上放置远程访问木马，而不一定是为了毒害开源 Java 项目。

来源：zdnet

硬核老王点评：开源的代码，如果没有良好的管理和审计，相当于不设防的堡垒，看似坚固，实则孱弱。

谷歌计划根据页面“体验”调整搜索排名

谷歌将赋予“体验”指标更多的权重，以决定在出现在移动端搜索中的“热门故事”的内容。具体来说，谷歌计划将 核心网络体征 Core Web Vitals 纳入现有的搜索排名信号中。核心网络体征是谷歌在本月早些时候推出的一组指标，量化了网络用户体验的各个方面，包括加载时间、互动性和内容加载时的稳定性。谷歌现有的页面体验搜索信号包括移动友好性、安全浏览、HTTPS 安全和侵入式界面指南等方面。

来源：zdnet

硬核老王点评：“漂亮”的页面总是更受到欢迎。