今天才知道 Alist 也被卖了,好像还是和 HuTool 一个公司(贵州不够科技?)
所以为啥不建议用 Fastjson 、HuTool 呢?
因为对开发维护人员不信任!供应链投毒警告!
国内基本没有啥开源氛围,即使是流行的开源项目( Alist 有大约 50K star ),核心贡献者经常也就一两个人。
随时都有突然搞个彩蛋、突然停止维护、突然被转卖、突然被植入恶意代码的风险,这谁受得了!
第 1 条附言 · 46 分钟前
原 issue 已被删除,这里附上 6 月 12 号的镜像:
http://web.archive.org/web/20250612103713/https://github.com/AlistGo/alist/issues/8649
http://web.archive.org/web/20250612103713/https://github.com/AlistGo/alist/issues/8649
 |
1
Jessec 4 天前
谢谢提醒,才知道这事
|
 |
2
Kirkcong 4 天前  3
所以我完全不考虑任何国内的自部署软件
|
 |
3
Reficul 4 天前
说的对,但是 FastJSON 的问题,我觉得还没到供应链投毒这么高科技的层级,这玩意设计上就有问题。
|
 |
4
momowei 4 天前 10
啥都自己写??
以前 antd 圣诞节事件还记得吧,又怎样,骂一顿后还不是老老实实的用。 在开源用爱发电之前,发生什么都不奇怪 fastjson,hutool 这些其实用的也挺多的,至少在我知道的金融证券行业. 很多人就会骂 但是有解决方案吗,自己写就更不现实了 |
 |
5
bronyakaka 4 天前 2
中国程序员生存压力比老外大得多。经常没法维护
|
|
6
bronyakaka 4 天前 2
@bronyakaka 正常情况,好呆人家开源免费 就别喷了
|
 |
7
cvbnt 4 天前 via Android
开源项目就是有可信组织背书才有更多人用,这点中外是一致的,比如 Apache ,Eclipse ,以前这种投毒还真不好解决,现在有 AI 了其实这种工具类不得不用的情况就缓解一点了
|
 |
8
hafuhafu 4 天前
除了顶级公司背书的,基本上都可能出现这种情况。然而大多数库其实都没这条件。
不过开源的最大好处就是有源码呀,自己 fork 一个可用的版本自己改改也能用。特别是像 Hutool 这种工具库甚至不需要怎么自己日常维护也没啥特别升级到最新版的必要。 反而是像 Alist 这种涉及到对接第三方官方或非官方接口,还有点对抗性质的,没人维护还真不行。 |
 |
9
putaozhenhaochi 4 天前 via iPhone 2
扯。说明中国没几个真搞开源的
不然早就 fork 开新号了 |
 |
10
64FOtHUvx8f 4 天前
@momowei #4 我司银行最近已经禁用 fastjson 了
|
 |
11
moonlord OP Alist 的作者 xhofe 的 GitHub 主页 https://github.com/xhofe 也写着:I love open source. ❤️
结果转手就卖了恰烂钱,多少有点讽刺了。。。 这公司买开源项目动机存疑,也没有任何公告,但是确实有出现投毒(信息收集?)的趋势。 https://github.com/AlistGo/alist/pull/8633/files#diff-bb283e07a0d769f0619f035e02eb9faf9b435979986ed95a28e95946658ff8a7 |
 |
12
NewYear 4 天前 1
国内一方面想搞信创,自主可控。
另一方面也是市场畸形,普遍不想为软件付费,各种畸形的软件都搞出来了,见怪不怪。 信任确实非常有限,这样的环境,想信任很难,听说宝塔面板都实名制了,老大哥在看着你。 其实开源软件被收购很正常,例如 acme.sh 就是被 zerossl 收购的,但人家是为了推广自己的 SSL ,用户侧的利益也有收到损失,比如需要多敲一个参数。 |
 |
13
Meld 4 天前 6
  我觉得作者唯一值得诟病的是再出售的过程中没有及时的公开透明的公布,其他有啥问题吗... 一个 50K star 的项目,基本上是作者一个人撑起来的,享受开源便利的人站在(我认为)道德制高点上挥舞着大棒要求作者给其他人分成 |
|
14
Meld 4 天前
 |
 |
15
hidemyself 4 天前
木有人捐钱吧,用爱发电比较困难
|
 |
16
cj323 4 天前 15
我以为国内做不好开源,主要是:我们更实在。我们认为精神世界的满足不如物质的满足。“钱”是在“爱”前面的。
而真正牛逼的开源,是需要长期扛得住钱这一关的,“爱”得能放前面。 我不敢想象 git ,vim ,curl 这种家喻户晓的开源项目,作者们加个“佐料”能有多少利益。但是他们没有。 只有这种不为钱而存在几十年的项目,用户才敢放进 /usr/bin |
|
17
Meld 4 天前
 |
 |
18
nicoljiang 4 天前 2
还不是这些“用户”养不起人家?
|
 |
19
tomczhen 4 天前 3
开源是权利不是义务。自由也有代价。
|
 |
21
yolee599 4 天前 via Android
我再说一个:OpenHarmony
|
|
22
yolee599 4 天前 via Android 6
开源为什么要用户“养”?我认为真正的开源是,作者生活无忧,然后瞎折腾,觉得还挺有意思的,对大家说:“我做了一个非常棒的东西,大家快来一起玩”。大家就一起让这个东西越来越好玩,这时候这个项目就属于所有参与者的,当有了用户就要注意道德问题了
|
 |
23
1423 4 天前
卖了不影响开源啊,这些用户真恶心
|
 |
24
kaedeair 4 天前 5
开源和商业化并不冲突,出售的是项目控制权并不是项目本身。Alist 的主要问题是没有发布公告。
|
 |
25
liuchao719 4 天前 1
想知道大家说的投毒具体是指啥?如果害怕偷偷 commit 一些后门代码,社区 fork 维护一个开源版可以解决问题吗?
|
 |
26
Ocean810975 4 天前
@nicoljiang 卖桌面版收入应该还可以,不至于养不活,至于多少就不好说了。
|
 |
28
chenluo0429 4 天前 via Android
@Meld 你把筛选时间往后拉一拉,早期确实是 xhofe 一个人做了绝大部分开发,但是从 23 年以来,基本上就是社区共建了。
相当多的开源项目都是这种发展历程 |
 |
29
xuejianxianzun 4 天前
关于 Alist 项目近期变更的说明(转)
https://github.com/AlistGo/alist/discussions/8697 我不知道原始来源是哪里,看里面的内容确实是会对用户端数据进行收集:文件列表浏览、WebDAV 访问、在线预览、文件下载、用户登录。何况 AList 获取 token 的 API 本来就是闭源的,交给公司的话 token 也不安全了。 |
 |
30
lilyblx 4 天前 7
Alist 的问题还有一个,他有很多网盘接口都是非法逆向来的,原本是个人开发者基于兴趣做的可能会睁一只眼闭一只眼,但现在转商业了这些就得上秤了。
而正经对接网盘,强如网易搞的爆米花都拖了那么久,我不觉得他们这小公司有能力做到。 那问题来了,贵州不够的动机是什么?他知道 alist 盈利的量很低,用户画像白嫖居多,且明知有高法律风险为什么要收购 alist ,他看上的到底是什么?他打算如何盈利来赚回收购花的钱 |
 |
31
sanshao124 4 天前
其实这玩意作者真收费,也没啥,很多人还是愿意付费的,比如我,但是现在卖给公司就可惜了
|
 |
32
winglight 4 天前
IOS 版本的 alist 我可是花钱支持过的。
|
 |
33
gam2046 4 天前
>> 转手就卖了恰烂钱,多少有点讽刺了
不太懂,这里面的因果关系。 人家自己的作品,自己卖了,就是恰烂钱嘛,那就是说人家只能让人白嫖 |
 |
34
ambition117 4 天前 via iPhone 28
笑死,看你们一副大义凌然的样子,有个人 frok 了去接手不就完事了。这才是国外不会有这种问题的原因。
|
 |
35
bkmi 4 天前 via Android
真是白嫖惯了
|
 |
36
Ffffanwu 4 天前 1
这个项目的大部分代码是社区贡献的,你把他人的劳动成果一转手就卖了,是赚钱,信誉没了。
往供应链投毒这事,就是不把项目卖了,性质也是一样的,烂透了。 |
|
38
Ffffanwu 4 天前
卖项目没问题,只把你自己写代码的卖了,他人无偿贡献的请删除。
|
 |
39
borsalinolllll 4 天前
@lilyblx 那自然是灰黑产啦
|
 |
40
zigzigone 4 天前 4
又想绑架开源了,开源并没有任何承诺,代码不都给你了嘛,fork 一个改去吧 。一堆引流狗,faker.js 不就是前车之鉴,alist 没给你投毒不错了。
|
 |
41
YDCHYD 4 天前 via iPhone
@sanshao124 上一个收费的项目是百度云下载,人进去了
|
 |
43
xiaoxt 4 天前 via iPhone 1
白嫖怪不能白嫖愤怒了
|
 |
45
skiy 4 天前
有些人嘴真的臭。动不动叫别人去死。
楼上有人说了,问题就是没有公告。 再者,之前用的别人写的 TOKEN 授权(本来就没有开源),也就是相当于之前就把网盘权限交给别人了。现在不过是将项目转给了一个公司。另外,API 好像已经挂了。该域名好像是作者的主域名,看起来不会出售。 作为用户,我只能默默地把授权删掉。毕竟,我没有提交过任何 issue / pr 。跟之前的 minio 事件一样,把需要的代码版本拷贝一份出来,把 docker 镜像备一份。把运行的 docker compose 的 image 改成自己备份的。 |
|
46
moonlord OP 总结一下:
该理解理解,没有人能一直为爱发电,为了钱嘛不寒碜 该骂骂,选择卖号给一个不怎么靠谱的公司,背弃了其它代码贡献者和用户 |
 |
47
google2023 4 天前
@lilyblx 你认为贵州不够的动机会是什么呢?
|
 |
48
aront 4 天前
确实,就像我也不咋信你们一样
我寻思之前一堆供应链攻击哪来的没点逼数?都是 2025 年开始学开发的? |
|
49
yolee599 4 天前
项目代码属于他自己一个人写的,而且没有用户你可以卖。但是 alist 项目参与者不止他一个人,那么收益要和所有参与者分,还要处理好你的用户,提前发公告说这个项目已经卖了,让用户提前做好准备。而不是偷偷的塞一些敏感代码投毒。
|
 |
50
Seck 4 天前
国内基本没有啥开源氛围,即使是流行的开源项目( Alist 有大约 50K star ),核心贡献者经常也就一两个人。
随时都有突然搞个彩蛋、突然停止维护、突然被转卖、突然被植入恶意代码的风险,这谁受得了! 这一点吧,我一直认为,像什么互联网,开源等,先进产业必须配套经济基础 简单来说:穷国不会诞生伟大的开源项目,开源本身不是一种富足社会才有诞生的东西吗? 我想说的是,有些先进产业不是有了技术,而是有了需求才有技术。而不是有了技术才有需求。 明天有了飞向外太空的技术,我们又不会有人上车,无他,穷! 开源的前提,是富足,否则开源就是幌子 |
 |
51
extrem 4 天前
太恶心了,这这么做引入风险不是一两句话说得清的事
大家批评的是原作者这种给使用者带来风险的不负责任的行为,当然要说什么开源无责任那也确实无责,那就他恶心归恶心,大家骂归骂了 |
 |
53
cosette 4 天前
@NewYear 这种公开的更改其实可以接受,就和很多软件有社区版和完整版一样,现在的信任危机源自收购过程以及今后的发展方向不够透明,甚至有非常可疑的行为前科,在被发现质疑之后也无任何澄清说明,一系列操作让人失去信任。
|
 |
54
catazshadow 4 天前
|
|
55
cosette 4 天前
很多事情如果使用底线思维来看,自罚三杯甚至什么都不做都是合理的,但如果仅仅靠底线思维,那么开源社区是 100%建不起来的,项目创始人对项目有更高的控制权,即便如此项目的 contributors 也是抱着为爱发电,让项目更好,至少是维持现状的想法做的,用户其实也是抱着类似的想法参与进来的,如果一个项目的口碑不好,从一开始就拦住了很多用户和 contributor 。
国内的开源环境恶劣至少一部分源自人心,就像拿着别人 MIT 授权的项目去收费一样,完全合理合法,但大部分时候依然会被鄙视和口诛笔伐,开源社区的本质是为爱发电,永远不可能变,变得只是人。既做开源又能赚钱的事情很少,就跟做自己爱做的事情还能赚钱一样,老牌的开源项目大都靠捐赠、基金会等等方式维持,目的也是不想为开源事业本身带来影响,开发者受限于精力和经济压力等等难以为继的时候,或者找到了买家,给得太多的时候,至少和社区可以坦诚交流,一次事件可能影响的只是一个项目,但对开源的信任也是一点点崩塌的。 |
 |
56
Jessun 4 天前 5
我觉得,开源项目被卖其实倒是可以理解。
小到开源项目被卖,大到「一些好的产品被大公司收购后直接关停」,都是商业上行为,原维护者可能有经济上的问题,我们或许不知道。毕竟,「一文钱难道英雄汉」。 但不好的地方有一点,就是卖的时候是一声不吭,正常出售前应该起码发个通告:在 xxx 版本后之后转由 xxx 维护和运营,请大家自行取舍使用之类的。 目前的做法是破坏了大家对开源项目(尤其是中文开源项目)的信任,影响太坏了。 |
 |
57
starlion 4 天前
从这件事情可以看出,开发人员里的生物多样性,
我白嫖我就骂,不满足我就骂 |
 |
58
zhengfan2016 4 天前
@lilyblx 全国各地的家宽 ip ,可以卖代理呀,或者用用户的带宽做 pcdn ,每个用户用个 0.5M 上行,总量也是很大的
 |
|
59
cj323 4 天前 1
@Jessun #56
利益驱使,提前发公告意味着恶意代码更不容易散发到用户,等于卖价降低。 作者在自身的利益上和用户利益上选择了自己的利益。 而很多骂作者的用户也是因为自己利益受到了伤害:既要承担恶意代码的风险,又无法再轻松免费地使用 Alist 。 一切似乎合情合理,但这种两边都不愿互利的零和局面,最终很难让 Alist 做大做好。 解决办法只能是一方或双方让利,要么作者真的不求名利,不求回报地维护项目。要么用户减少白嫖,主动赞助/贡献代码。两边总得有一个善人。 |
 |
60
streamrx 4 天前 via iPhone
@sanshao124 哪些网盘的接口都是逆向得来的,想收费除非彻底用正规渠道的 api ,完全变成商业软件
|
 |
61
bitxeno 4 天前 via Android 3
开源项目卖了没问题,redis 这种也一样卖,不违犯开源协议就行,但至少发个公告提前说明下,你卖给这种明显可能投毒的垃圾公司,不就是坑用户吗,自己收钱爽了用户还不能骂下?
|
 |
62
Falcon1 4 天前
还有洗的也没想到。你卖就光明正大的卖,悄咪咪的卖完,等藏不住才假惺惺的发个公告,他卖的就不是项目,而是用户
|
 |
63
heikec 4 天前
开源不等于免费,开源商业化的软件也不少
|
 |
66
msg7086 4 天前 1
@yolee599 #22
开源,原本就是要做成社区支持项目,人人贡献,人人获得回报。 有一些人倒是特别喜欢搞商业化开源项目,美其名曰开源,实际上最终目标是把项目转手卖钱,我觉得算是非常畸形的开源模式了。 (特别是这种靠逆向接口起家的项目,我都不知道这到底应该判非法侵入计算机信息系统罪还是侵犯著作权罪。) |
|
67
msg7086 4 天前 1
@Ffffanwu #38
他本质上不是卖代码,而是卖项目控制权,卖的是用户。 代码是开源的,反而卖不卖都不影响,你 fork 出来一份你也可以拿去卖(只不过没人会买罢了)。只要新的作者/公司继续遵守 AGPL 发布新版本就没什么好骂的。以后商业版功能不包含其他贡献者的代码就行了。 |
 |
68
KuzhiBake 4 天前 3
开源用户太穷了导致于他这样的,要是每个人自愿上贡美刀(注意不是 RMB 是美刀),那我觉得这个项目撑个几十年问题应该不大。奈何国内程序员就是又抠门要求又多的存在,出现这样的事也就不奇怪了。
|
 |
69
xiangyuecn 4 天前
至于 fastjson ,是公司要支付就没得选,不是公司还能狡辩一下 我可以自由选微信 gson😂
https://mvnrepository.com/artifact/com.alipay.sdk/alipay-sdk-java/4.40.251.ALL Compile Dependencies ,就算不用也要拉你裤兜里 |
 |
70
Leon777 4 天前 1
低收入低福利国家就不配做开源,大家都为生存奔波谁能长期不忘初心用爱发电
|
 |
71
jeesk 4 天前
@xiangyuecn 难道不能排除依赖 ?
|
 |
72
barathrum 4 天前
@msg7086
> 他本质上不是卖代码,而是卖项目控制权,卖的是用户。 这个角度我认为是对的, 开源代码卖不卖随便谁都能 fork 另起炉灶, 根本无所谓. 问题是现在有的用户都是从当前这个 fork 发展的, 有更新一般也会从这个 fork 去更. 这和各种社交媒体上起号再卖账号差不多. 而且很多小白用户根本不知道发生了这些代表什么意思, 而且如果有自动更新的话小白用户根本不知道自己部署的版本是不是已经被修改了. |
 |
73
selected2318 4 天前
@Meld #14 这人素质有够差的;不过开源项目本身就是为爱发电,比上班还累。哪天不想维护了卖掉不是很正常吗?我不太理解为什么有这么多人喷。
|
 |
74
kapaseker 4 天前
作者为什么不做一份儿闭源的卖给公司?
|
 |
75
user100saysth 4 天前
@kapaseker 你是公司你会要闭源的吗?
|
 |
76
lepig 4 天前 2
@selected2318 开源项目没有精力维护卖掉确实很正常,喷的点是卖的方式偷偷摸摸。
因为很多人用着 alist ,因为这个项目本身也牵扯到了大家的隐私性问题,所以大家比较敏感。 本来可以发个公告,由于个人精力实在有限,为了项目健康发展准备把项目商业化。 大家有个准备, 有的不用就不用了,有的就找替代品。 你看作者做的什么事? 先卖了,然后被炸出来才来解释。 楼上有个朋友说的很对,其实卖的不是项目,是信任 alist 的用户 |
 |
77
iorilu 4 天前
开源不代表不想搞钱, 这点要搞清楚
反正你用不用权利在你 |
|
78
moonlord OP |
 |
79
proxytoworld 4 天前
为什么在买了之后正气凛然的要求作者分钱,而不是在卖之前通过某些渠道支撑作者的收入使其不会卖呢。
谈事情不要搞双标。 |
 |
80
neptuno 4 天前
这种项目卖了正常,把收入按提交代码比例分成给其他贡献者就好了。
|
 |
81
bk201 4 天前
既然是公众开源,卖不卖也不应该是他一个人说了算的了。你要说你开闭源版本后出售还能理解。
|
 |
82
daimiaopeng 4 天前
要卖就大大方方的卖吧,又不是不能理解,大家气愤的是偷偷的在代码里面加点料,侵犯用户权利
|
|
83
bk201 4 天前
话说 hutool 有出现问题吗?现在项目有在用
|
 |
84
MEIerer 4 天前
喷作者干什么?不理解
|
|
85
xiangyuecn 4 天前
@jeesk #71 大聪明🤪
|
 |
86
bzj 4 天前 1
你们公司管的真宽,目测不超过 10 个人
|
|
94
Meld 3 天前
@chenluo0429 23 年之后社区也没提交多少啊 我看
|
 |
95
Richared 3 天前
不用 fastjson 单纯的因为,这玩意全是 bug 。hutool 是因为没啥用啊,guava 和 commons-lang 已经够用了。
|
 |
96
vfxx 3 天前
在国内做开源确实不容易
我用过的两个产品 xiunobbs 帝国 CMS 都因为被用户拿去做侵权站点,导致软件作者被起诉,即使免责声明写的再规范,到了法院就完全看法官自由裁量权了,xiunobbs 因此直接删库跑路。 我客户域名忘记续费,被别人抢注后做影视站点,多家影视公司版权方找我客户打官司索赔几十万,后面虽然法院未支持版权方,客户准备资料请律师也花了不少钱。 国内版权维权公司找对手只要能沾上一点边的,他们都会想办法列为共同被告。 |
 |
97
p1gd0g 3 天前
虽然不清楚作者的想法,但这真是一件很遗憾的事。变现的方式很多。
|
 |
98
FrankAdler 3 天前
说 alist 为什么要扯上 fastjson ,alist 是个人项目,fastjson 好歹挂着阿里的名字
|
Select Language