关于 Log4j 安全漏洞和Caldera对开源技术的使用

2021 年 12 月 21 日

2021 年 12 月 9 日，运行 Apache Log4j 2.14.1 或以下版本的系统被报告存在一个漏洞 - CVE-2021-44228，被称为 "Log4Shell"。我们希望向所有客户和合作伙伴保证，Caldera 解决方案不使用 Log4j，无论是在我们的代码中还是在任何第三方代码中，因此我们不受此漏洞的影响。 不过，我们希望借此机会讨论在我们的解决方案中使用开源技术的问题，以及我们如何努力提高用户的安全性。

什么是开源软件？

开源模式是一种去中心化的软件开发模式，鼓励开放合作，以鼓励创新和改进。开放源代码意味着原始代码没有任何形式的加密，任何用户都可以按照自己的要求修改代码。开放源码有很多好处，包括降低软件成本、社区提供大量支持、能够进行扩展和整合等等。

不过，重要的是要记住，开源软件并不一定可以免费使用，也不一定与所有操作系统兼容。开源软件的定义是 "自由"，即给使用它的人以自由。

开源技术由一个庞大的社区使用，随着时间的推移，他们会不断改进技术，这也是为什么大多数漏洞会被迅速发现并修复的原因，这也是为了大多数人着想。例如，上文提到的 Apache Log4j 是一个开源日志库，被数百万 Java 项目使用，其中包括相当比例的企业应用和云服务。

总之，开放源码以合作精神为指导，受益于开放源码技术的公司也应回馈社会。

Caldera 和使用开放源码技术

Caldera 不依赖于 Java 语言，因此我们不受 Log4Shell 安全漏洞的影响。不过，我们依靠其他开源技术为用户提供最佳体验，并为开源社区做出贡献。

Caldera 的产品经理 Arnaud Fabre 说："使用社区或第三方公司已经开发、测试和支持的高质量程序，可以让我们专注于创新，并为我们的系统增值。例如，我们依赖Artifex的 GhostscriptPDF/PS 引擎，这是向致力于开源项目的开发人员支付报酬的一种方式"。

他继续说道："在Caldera 团队中，我们有几位Linux 和开源专家，他们经常在线为社区做出贡献。我们积极鼓励他们与当地大学签订合同，培养未来的开发人员和开源贡献者。此外，通过为Linux 开发软件，我们影响社区使用开源技术。最后，我们对 GitLab 等几项开源技术进行了投资，以改进Caldera 的内部流程。"