谷歌开源新语言取代 C++、中国程序员平均年薪 16 万、Log4j 漏洞仍大量存在 | 开源月报 Vol. 08 - OSCHINA

「WeOpen Insight」是腾源会推出的「开源趋势与开源洞见」内容专栏，不定期为读者呈现开源圈内的第一手快讯、优质工具盘点等，洞察开源技术发展的风向标，预见未来趋势。

开源社区新闻

1、Google 开源 Carbon 取代 C++，C++ 之父评价「规范不足」

7 月 19 日，谷歌在 CppNorth 大会上宣布，正式开源谷歌内部打造的编程语言：Carbon，并称 Carbon 是 C++ 的继任者。此举引来了 C++ 之父 Bjarne Stroustrup 的回应，Bjarne 称：Carbon 是如此之新，而且规范不足，无法真正做出有意义的技术评论。目前，Carbon 语言在 GitHub 上已有 22k Star。

新闻来源：https://github.com/carbon-language/carbon-lang

2、放弃 Windows，俄罗斯政府将系统紧急迁移至 Linux

今年 6 月底，微软禁止俄罗斯用户从官网下载 Windows 10 和 11。7 月，莫斯科时报报道称，许多俄罗斯政府机构正在紧急将使用的 Windzows 迁移到 Astra Linux，后者是自 2008 年以来由 Rusbitech 公司基于 Debian 发行版开发的 Linux 操作系统。

新闻来源：https://www.moscowtimes.ru/2022/06/24/vsem-gosorganam-rossii-prikazali-pereiti-s-windows-na-linux-a21631

3、 《2022 中国开源发展蓝皮书》发布，国内开发者 94% 在使用开源

7 月 21 日，在 2022 开源中国开源世界高峰论坛上，《2022 中国开源发展蓝皮书》发布。蓝皮书显示，中国开发者用户注册数超 3500 万，2021 年增长超 700 万；中国开发者用户中，超过 94%正在使用开源，42%参与过开源项目。

新闻来源：https://copu.gitcode.host/copu/2022/1/

4、Java 7 生命周期结束，Oracle 建议用户升级到 Java 8

Java SE 7，一个有着近 11 年历史的 Java 标准版本即将在 2022 年 7 月底迎来生命周期结束，甲骨文将正式停止对该版本的扩展支持。随着官方扩展支持的停止，甲骨文将不再提供补丁更新、错误或安全修复，也不提供功能实现。甲骨文在最新的支持公告中也表示，建议使用 Java SE 7 的客户升级到受支持的标准 Java 版本，如 Java SE 8 或 11。

新闻来源：https://support.oracle.com/knowledge/Middleware/2809708_1.html

5、 中国程序员平均年薪 16 万，上榜薪酬最低国家名单

7 月 1 日，智能招聘平台 CodeSubmit 发布全球开发者平均年薪调研，中国开发者平均薪酬为 23790 美元（约合 16 万元人民币），上榜全球开发者薪酬最低国家名单。软件工程师薪酬最高的是美国、以色列和几个欧洲国家，美国的软件工程平均年薪为 110140 美元（约合 74 万元人民币）。

新闻来源：https://codesubmit.io/blog/software-engineer-salary-by-country/

开源企业新闻

1、微软撤销开源「禁令」，重新上架开源收费软件

7 月 18 日，微软表示，在听取了反馈后，删除了政策中对开源收费的限制，同时欢迎更多开源付费软件入驻 Microsoft Store。今年 6 月，微软更新了 Microsoft Store 政策，禁止开发者从开源或免费软件中获利。此举一出，就遭到了众多开发者的反对，软件自由保护协会认为，这项措施限制了开源软件的商业前景。

新闻来源：https://docs.microsoft.com/en-us/windows/uwp/publish/store-policies

2、极狐发布澄清声明：产品的基础设施和数据均独立存放于中国境内

7 月 5 日，极狐 (GitLab) 针对知乎作者「锦山新峰」的质疑发布了澄清声明，表示「锦山新峰」此前发布的文章描述严重失实，并利用部分不实或具有诱导性的错误表述，来达到混淆视听和不当传播的效果。极狐公司声明，极狐公司是一家合法、合规的中国企业；开源有多种路线，极狐走的是自主可控 3.0 路线；中国开源的发展需要的是合作，而不是抹黑。

新闻来源：https://zhuanlan.zhihu.com/p/537678422

3、中国电子技术标准化研究院与腾讯云达成战略合作

7 月 7 日，中国电子技术标准化研究院与腾讯云达成战略合作，共同推动开源标准化和开源生态建设。双方将在国内外开源生态与产业布局等领域展开联合探索，推动开源项目孵化、开源标准化及产业落地，助力国内、国际开源生态繁荣。

新闻来源：https://mp.weixin.qq.com/s/5LqK23pjpaVoFeqlEeo_LA

4、JetBrains 宣布涨价，包含 IDE、.NET 工具

6 月底，JetBrains 宣布将提高多款产品的价格，包含 IDE、.NET 工具和 All Products Pack，并将于 2022 年 10 月 1 日生效。在新价格生效前，用户仍按当前价格预付订阅。公告称，调价实属无奈之举，未来将一如既往尽全力避免涨价，正如当初施行订阅价格的初衷。

新闻来源：https://blog.jetbrains.com/zh-hans/blog/2022/06/29/ide-net-all-products-pack/

5、Nothing Phone 公布内核源代码，第三方 ROM 指日可待

前几天，Nothing Phone 在 GitHub 上公布了手机的内核源代码和设备树。Nothing Phone 是近期热度非常高的一款 Android 手机，手机背后的透明背盖 + 灯带的组合设计是近些年在智能手机市场上从没有看到过的设计。这个设计给用户带来了更多自定义的选项，提升了设备的可玩性。

新闻来源：https://github.com/NothingOSS/android_kernel_msm-5.4_nothing_sm7325

开源安全资讯

1、「核弹级」 Log4j 漏洞仍普遍存在，并造成持续影响

7 月 11 日，美国国土安全部网络安全审查委员会发布针对去年 Log4Shell 漏洞的调查报告，报告指出，虽然没有迹象表明由于 Log4j 漏洞而发生重大网络攻击，但它仍将在未来几年内被利用。根据 sonatype 的统计数据，在 Maven Central 上，每个工作日易受攻击的 Log4j 版本仍然有超过十万次的下载量。

新闻来源：https://www.cisa.gov/sites/default/files/publications/CSRB-Report-on-Log4-July-11-2022_508.pdf

2、Apache Spark UI 命令注入高危漏洞

7 月 18 日，OSCS 监测到 Apache 发布安全公告，修复了一个 Apache Spark UI 中存在的命令注入漏洞。漏洞编号：CVE-2022-33891，漏洞威胁等级：高危。Apache Spark 是一款支持非循环数据流和内存计算的大规模数据处理引擎。鉴于该漏洞危害较大且 POC 已公开，建议用户尽快自查修复。

新闻来源：https://www.oscs1024.com/hd/MPS-2022-19085

3、超过 1200 个 NPM 包加入挖矿逻辑

7 月 6 日，checkmarx 研究人员公开了一起涉及众多包的 NPM 软件供应链攻击事件。事件最早可以追溯到 2021 年 12 月，攻击者投放了 1200 多个包含混淆加密的恶意 NPM，这些包含有相同的挖矿脚本 eazyminer，该脚本的目的是利用如 Database 和 Web 等所在服务器的机器闲置资源进行挖矿。

新闻来源：https://checkmarx.com/blog/cuteboi-detected-preparing-a-large-scale-crypto-mining-campaign-on-npm-users/

开源基金会动态

1、开放原子开源基金会举行 2022 开放原子全球开源峰会

7 月 28 日，2022 开放原子全球开源峰会在北京举行，峰会以「软件定义世界，开源共筑未来」为主题，聚焦开源与产业生态，致力于推动全球开源事业的交流合作。在开幕式上，腾讯集团高级执行副总裁、云与智慧产业事业群 CEO 汤道生分享了产业互联网时代腾讯开源的实践与思考。

新闻来源：https://www.163.com/dy/article/HDCJAQVR05118HA4.html

2、Chrome 为开源 Web 框架与开发工具捐赠 50 万美元

7 月 19 日，此前， Chrome 的 Web 框架和工具性能基金组成员在博客中宣布，通过 Open Collective 捐赠了 50 万美元，分配给一些专注于提高 Web 性能、用户体验和开发人员体验的 Web 框架和 Web 工具项目。这些赞助有助于解决项目的资金问题，使开发者能专注于工具的开发，同时也可以对贡献者进行资金援助，避免出现搞开源搞成穷光蛋的情况。

新闻来源：https://developer.chrome.com/en/blog/framework-fund-2022/

3、Apache 部落文化保护者呼吁 Apache 软件基金会更名

Apache 软件基金会（简称 ASF）是是目前世界上最大、且与供应商无关的开源基金会。之所以取名为「Apache」，是出于对 Apache 部落原住民的尊重和欣赏，ASF 的 Logo 则使用了具有 Apache 部落象征的羽毛。近日，有人认为 ASF 向外传达了对 Apache 部落的刻板印象，是一种不尊重的行为，因此呼吁大家通过在 GitHub 仓库提交 PR 或发送邮件进行签名，以支持他们的诉求。

新闻来源：https://www.endasfmascotry.com/

4、Epic Games 加入 Open 3D 基金会

7 月 20 日，Linux 基金会宣布，Epic Games 已正式加入 Linux 基金会旗下的 Open 3D 基金会 (O3DF)。O3DF 于 2021 年成立，创始成员亚马逊当时开源了游戏引擎 Lumberyard 并贡献给基金会作为主力项目：Open 3D Engine (O3DE)。旨在为从 3A 游戏到影院级 3D 世界，再到高保真模拟的任何事物提供支持。

新闻来源：https://www.linuxfoundation.org/featured/the-open-3d-foundation-welcomes-epic-games-as-a-premier-member-to-unleash-the-creativity-of-artists-everywhere/

优秀项目推荐

1、Apache ShenYu

Apache ShenYu 是一款使用 Java Reactor 开发的响应式 API 网关。以其高性能，动态灵活的流量管控，热插拔，易部署等特性，开箱即用为用户提供整套全生命周期的 API 网关，包含 API 注册、服务代理、协议转换与 API 治理等功能。7 月 28 日，ShenYu 毕业成为 Apache 顶级项目（TLP），目前 GitHub Star 数 6.5k。

GitHub地址：https://github.com/apache/shenyu

2、Spring Cloud Tencent

Spring Cloud Tencent 是腾讯开发和维护的一站式微服务解决方案。Spring Cloud Tencent 实现了Spring Cloud 标准微服务 SPI，开发者可以基于 Spring Cloud Tencent 快速开发 Spring Cloud 云原生分布式应用。目前已正式对外开源， GitHub Star 数 11.7k。

GitHub地址：https://github.com/Tencent/spring-cloud-tencent

3、Harbor

Harbor 项目是帮助用户迅速搭建一个企业级的registry 服务。它以 Docker 公司开源的 registry为基础，提供了管理UI, 基于角色的访问控制，镜像远程复制，AD/LDAP 集成、以及审计日志等企业用户需求的功能。Harbor 是首个 CNCF 中国开源项目，目前 GitHub Star 数 18k。