今天才知道 Alist 也被卖了,好像还是和 HuTool 一个公司(贵州不够科技?)
所以为啥不建议用 Fastjson 、HuTool 呢?
因为对开发维护人员不信任!供应链投毒警告!
国内基本没有啥开源氛围,即使是流行的开源项目( Alist 有大约 50K star ),核心贡献者经常也就一两个人。
随时都有突然搞个彩蛋、突然停止维护、突然被转卖、突然被植入恶意代码的风险,这谁受得了!
第 1 条附言 · 8 小时 24 分钟前
原 issue 已被删除,这里附上 6 月 12 号的镜像:
http://web.archive.org/web/20250612103713/https://github.com/AlistGo/alist/issues/8649
http://web.archive.org/web/20250612103713/https://github.com/AlistGo/alist/issues/8649
 |
101
Ffffanwu 4 天前
@msg7086
#36 "这个项目的大部分代码是社区贡献的,你把他人的劳动成果一转手就卖了,是赚钱,信誉没了。 往供应链投毒这事,就是不把项目卖了,性质也是一样的,烂透了。" #38 "卖项目没问题,只把你自己写代码的卖了,他人无偿贡献的请删除。" #52 "[at]YDCHYD 我说的是作者单方面把项目卖给一个有劣迹的公司,在用户发现问题后,才出面澄清项目转手的事。没说分钱的事" ---- 你说对了,这件事的本质是卖用户,代码根本不是重点,社区的贡献包括完善的生态周边。作者单独开一个商业项目没人说他的不是,但是他为了利益最大化,选择了出卖社区。 |
 |
102
bigtear 4 天前
|
 |
103
shui14 4 天前
正常使用源代码是,先 fork ,锁版本。未经核验是不能随意让上游与生产环境同步。当然自己瞎玩无所谓。
|
 |
104
dragondove 4 天前
@Ffffanwu 卖的是代码吗,license 是 AGPL ,贡献者的代码自然也是自动为 AGPL ,既然是 AGPL ,就不需要卖别人就能获取并修改,只是要求继续使用 AGPL 提供源码。那卖的只能是主干仓库和官网之类的内容。所以,做开源的时候一定要了解一点 license 相关的内容。
|
 |
105
ciki 4 天前
hutool 还行吧,反正一个旧版本上线后就再也不更新了,根本不怕
|
 |
106
expy 4 天前
没办法,NO WARRANTY 也是开源协议的重点,保证了用户自由同时也需要保证开发者的自由。
|
 |
107
xiaoyureed 4 天前
国内用户白嫖居多, 不是精就是穷, 怎么搞开源, 只有用爱发电了
|
 |
108
kapaseker 4 天前
@user100saysth 为什么不会?公司开发的代码都是闭源的啊
|
 |
110
JoshTheLegend 3 天前
你上次请开源作者喝咖啡是什么时候?你上次请开源作者喝咖啡花了多少钱?截至现在这一刻,你请开源作者喝咖啡花了多少钱?
先搞清楚这些问题的答案,再来问别的。 |
 |
111
layxy 3 天前
Fastjson 的问题不是投毒,是设计问题导致漏洞频发
|
 |
113
TophTab 2 天前
@ambition117 #34 确实,说半天,来个人接手啊。
|
 |
114
lenmore 2 天前
fastjson 咋了?除了漏洞之外,有什么瓜我没迟到吗?
|
 |
116
mcthpj 1 天前
OpenListTeam/OpenList 是一点热度都么有啊
|
 |
117
looly 19 小时 51 分钟前  1
作为 Hutool 核心开发者,简单聊下。
1 、开发维护人员不信任 没有银弹。开源项目中,没有绝对可值得信任的开发者,就算某个项目背靠大厂,也需要几个核心开发者持之以恒。个人开发者也好,公司的开源也罢,都逃离不了生命周期。不然,你咋不问 PHP 的结局? 2 、供应链投毒 其它项目不做评价,大家警惕那些伪开源和部分开源的项目就好。Hutool 显然没有任何投毒的价值,欢迎大家 star 和 watch 监督。 3 、商业化 很多开源作者都在寻找一条合适的商业化路线,国内开源氛围差这确实是事实,这和国内那些科技公司不作为难道没有关系?国外那么多开源基金会,背后都有大厂的持续支持。 Hutool 从来也不避讳商业化,我们一直在寻找一条可持续的商业化路线,最近的和 bugotech 合作也算是商业化合作的尝试,详细见: https://github.com/chinabugotech/hutool/issues/3912 Hutool 被广大用户认可的原因在于我们勤奋和认真,我们就像是一个编辑一样,做了一个“代码大全”的工具,然后把注释文档用中文写的详细一些,对初学者友好一些,利用产品思维注重用户体验,让用户用的舒服一些。 Hutool 的合作更像是一个网红签约 MCN (简单类比,但是不一定完全契合),Hutool 作为行业网红,价值不在于代码多有价值(一个抄来抄去的工具集合,用 AI 代码助手也能生成,有啥值得宝贝的),而在于 12 年以来用真诚积累的用户和朋友们。我个人在圈子里非常活跃,无论是其他开源作者,还是用户,我都是来者不拒的,这点加过群联系过我的朋友应该都有感触,我跟大家聊天也从来不避讳寻找各种商业模式,好多朋友还帮我出主意。 那合作者看重了 Hutool 的什么呢?那就是名气和用户,谁的直白点,我们想把各种群聚集的用户中发现商业价值,不排除在主页和文档中推推广告,群里带带货,帮培训机构拉点学员,卖卖课啥的。issue 置顶的帖子也说的很详细了,专业的人做专业的事情,开发者专心写代码,卖东西交给别人。 最后还是那句话,真金不怕火炼,时间和用户都会证明 Hutool 的! |
 |
118
icaca 10 小时 46 分钟前
在国内做开源不容易
|
 |
119
yuhuai 9 小时 5 分钟前
我想很多人没有搞明白开源不等于免费,free 也可以是自由,alist 的问题不是出售项目,而是出售用户
|
 |
120
fancypanda 6 小时 58 分钟前
hutool 备案不是在内蒙古吗,也卖掉了?
其实任何引用第三方的包都要做好被投毒的准备,不看完代码根本没办法知道有没有偷偷向外面发送数据包或者下载东西进来,甚至建立隧道 |
 |
121
wsseo 6 小时 16 分钟前
印度适合搞开源,人多,氛围也好。
|
 |
122
zerovoid 6 小时 14 分钟前
fastjson 最大的问题不是他的远程注入漏洞么,怎么修都没解决。
|
 |
123
iceheart 5 小时 56 分钟前 via Android
呵呵,升米恩斗米仇。
|
 |
124
Hephaistos 3 小时 47 分钟前
@iceheart 有人在指责他商业化么?自己选择把项目卖给黑产,那就自己承担骂名啊。包括上面 hutool 的
|
Select Language