阿里云等企业主导的龙蜥社区发起“龙腾计划”；OpenInfra基金会推出LOKI标准；GitLab 14.6发布 | 开源日报

整理|宋彤彤责编|屠敏

出品|CSDN（ID：CSDNnews）

一分钟速览新闻点！

继腾讯等牵头成立OpenCloudOS社区后，阿里云等企业主导的龙蜥社区发起“龙腾计划”

OpenInfra基金会推出开源基础设施新标准：LOKI

CISA、CrowdStrike发布Log4j扫描器，但仍有盲点

CNCF开发者调查报告：Kubernetes采用率上升，无服务器下降

ApacheHTTPServer更新版修复了两个缺陷

新的开源库GraphQLAuthZ成立，可在不同的GraphQL架构中添加授权层

2021年：LibreOffice文档团队大放异彩的一年

发布：增加无缝地理体验、在SAST中支持.NET6

发布：开源Photoshop替代品

发布：达到应用自动化的新高峰

发布，以实现更高性能的微服务

开源大新闻

12月23日，继腾讯牵头成立了开源操作系统社区OpenCloudOS后，在23日晚些时候，阿里云、统信软件、龙芯、中科方德等国内外头部操作系统厂商、芯片厂商、运营商等联合成立的龙蜥社区发起“龙腾计划”，向广大生态合作伙伴发起招募邀请，希望未来有500家企业加入，一起实现商业与科技梦想。同时龙蜥社区表示会为加入“龙腾计划”的成员提供以下商业利益：支持CentOS无缝迁移；一次适配，即可兼容；优先集成社区解决方案；独立的支持服务体系；协助发行商业版操作系统。（OpenAnolis龙蜥）

近期，OpenInfra基金会推出新的开源基础设施新标准LOKI——LinuxOpenStackKubernetesInfrastructure。ATT、CERN、中国移动、中国电信、Verizon、Vodafone和雅虎等企业已经采用了OpenInfra的新标准并将其投入生产。类似于LAMP堆栈如何成为部署Web应用程序的标准，LOKI也将帮助运营商识别构建生产基础设施的成功模式和技术组合。

针对“史诗级”漏洞Log4j，全球开始自查行动。在这之中，网络安全和基础设施安全局CISA本周发布了自己的Log4j扫描器，该扫描器在安全公司FullHunt创建的Log4j扫描器基础上作了修改，支持DNS回调以进行漏洞发现和验证，同时提供对HTTPPOST数据参数的模糊测试、对JSON数据参数的模糊测试以及对URL列表的支持。除此之外，网络安全技术公司CrowdStrike类似地也发布了自己的免费Log4j扫描器，称为CrowdStrike档案扫描工具或“CAST”。

一个自主的DevSecOps平台Rezilion的漏洞研究负责人YotamPerkal对一些Log4j扫描程序进行了测试，发现许多扫描程序无法找到该漏洞的所有实例。Perkal说，“虽然有些扫描仪比其他扫描仪做得更好，但没有一个能够检测到所有格式。这也提醒我们，检测能力取决于您的检测方法。扫描仪有盲点。”根据Perkal的说法，该研究说明了静态扫描在检测Log4j实例方面的局限性。

12月20日，云原生计算基金会（CNCF）发布了基于研究公司SlashData在2020年底和2021年初对来自155个国家/地区的19,000多名开发人员的调查“云原生开发现状”。调查发现，2021年第一季度有560万开发人员在使用Kubernetes，与2020年第一季度相比增长了67%；31%的后端开发人员正在使用Kubernetes，比前12个月增加了4个百分点；在边缘开发人员中，Kubernetes的使用率增加了11个百分点，达到63%。在所有接受调查的行业中，边缘技术对Kubernetes的采用率最高。

同时调查发现，参与无服务器架构的开发人员比例从27%下降到24%。无服务器计算涉及通过AWSLambda等服务动态分配计算周期。报告认为，下降趋势可能是由于无服务器解决方案缺乏灵活性，例如公司害怕将自己锁定在特定供应商中。（IndoWorld）

12月23日，Apache软件基金会发布了一个更新，以解决其广受欢迎的Web服务器中的一个严重缺陷，该漏洞允许远程攻击者控制易受攻击的系统。该基金会发布了ApacheHTTPServer（Web服务器）的2.4.52版，该版本解决了两个跟踪为CVE-2021-44790和CVE-2021-44224的缺陷。ApacheHTTPServer没有直接受到基于Java的Log4j错误消息库的影响，然而，即使是用非Java语言编写的Web服务器也可能在一项技术中集成了易受攻击的Log4j库。（ZDNet）

12月19日，Guild团队推出一个新的开源库GraphQLAuthZ。GraphQLAuthZ是一种灵活的现代方式，可以在现有的GraphQL微服务或单体后端系统之上添加授权层。它适用于代码优先和模式优先（SDL）开发，支持附加授权规则的不同方式，在核心包中具有零依赖关系（除了对graphql-js的对等依赖），并保持模式干净任何授权逻辑。

GraphQLAuthZ包装了执行阶段，并在此阶段之前和之后运行用于强制执行定义的授权规则的逻辑。通过采用GraphQLAuthZ方法，用户的可执行模式不包含任何授权逻辑。同时，除了预执行规则，GraphQLAuthZ还允许用户编写执行后规则，并且使用GraphQLAuthZ可以实现集中式网关授权层以及微服务级别授权。事实上，GraphQLAuthZ的灵感来自于GraphQLShield。但是，与GraphQLAuthZ相比，GraphQLShield使用不同的方法来应用授权规则。

LibreOffice是一款基于OpenOffice的免费开源办公套件，具有额外的功能、改进的MicrosoftOffice兼容性和定期更新。在2021年，OpenOffice团队缩小了LibreOffice主要版本之间的差距以及更新了相应的用户指南。到年底，他们将版本7的所有指南更新到版，并准备好继续发布即将于2022年2月上旬发布的7.3版。指南的更新和增强是所有团队的共同努力，由JeanWeber（作家和入门指南）、SteveFanning（计算和基础指南）、PeterSchofield（印象和绘图指南）、RafaelLima（数学指南）协调）。

2021年，他们还推出了LibreOffice书架。与当前的文档.服务器页面不同，该书架可以在组织、图书馆、学院和学校中进行克隆和安装，以便在受控环境中立即可用以及在线阅读指南。ODF章节已转换为静态HTML页面，并准备在计算机、平板电脑和手机上显示，从而随时随地使LibreOffice用户指南更贴近公众。

开源软件专区

发布：增加无缝地理体验、在SAST中支持.NET6

12月22日，GitLab团队宣布发布，并表示该版本是2021年的最后一个版本。此版本带来了简化的地理配置，通过自动使用离他们最近的地理站点来帮助全球分布的团队来加速Git克隆或Git拉取命令，用于记录实时事件（例如连接和令牌状态）的GitLab代理的活动列表，同时还有各种SAST改进，包括SAST执行策略和对.NET6的支持。

Krita是一个非营利性、开源和社区驱动的软件项目，同时也是Photoshop的开源替代品。是Krita项目迄今为止规模最大的一次更新，为Krita的每一个方面带来了诸多改进，并实现了许多全新功能：速度更快、更具弹性的资源管理系统；色彩管理和渐变色改进；涂抹笔刷速度更快，全新的MyPaint笔刷引擎；动画制作功能改进；全新的分镜头脚本工具和配套工作流程；用户界面改进；AVIF和WebP等全新文件格式支持；以及工具、图层功能改进等。

具体详情见：

近日，阿里巴巴和OpenKruise维护者SiyuWang宣布的发布，这是一个CNCF沙盒级别的项目。OpenKruise是Kubernetes的扩展组件套件，主要专注于应用程序自动化，例如部署、升级、操作和可用性保护，它提供的大部分功能主要基于CRD扩展构建。它们可以在纯Kubernetes集群中工作，没有任何其他依赖。目前提供以下领域的功能：应用程序工作负载；Sidecar容器管理；增强的操作；应用程序可用性保护。

具体详情见：

12月22日，基于JVM的多语言框架、用于在Java、Kotlin和Groovy中构建微服务应用程序Micronaut已达到第3版。新版本中做了一些改进和更新：更新以支持最新的版本；GraalVMMaven官方插件有了新坐标；Gradle插件的新主要版本；支持；Websocket改进。同时MicronautData、MicronautSecurity、MicronautOpenapi、ReactiveLibraryModules、MicronautKubernetes、SchemaMigrationModules、MicronautElasticsearch模块做了一些升级。

具体详情见：

开源工具推荐

具体详情见：

【欢迎投稿】源码面前，了无秘密。大家还有哪些推荐的开源工具或者开源软件，亦或是想了解的开源资讯，可以投稿至邮箱：tumin@。开源世界的一切，由你我共同创造！