nhEsb 为开源 ESB 项目,提供服务发布、查找和治理功能。为了避免ESB性能瓶颈,在设计理念上采用旁路的方式。ESB服务提供页面可以注册服务地址、访问权限,提供接口查询服务地址信息,记录服务访问日志。这样系统间交互调用实际链接虽然不通过ESB,但认可起到服务治理的效果。提供统一的调用框架供系统嵌入。
nhEsb 正在参加 2021 年度 OSC 中国开源项目评选,请投票支持!
nhEsb 在 2021 年度 OSC 中国开源项目评选 中已获得 {{ projectVoteCount }} 票,请投票支持!
2021 年度 OSC 中国开源项目评选 正在火热进行中,快来投票支持你喜欢的开源项目!
2021 年度 OSC 中国开源项目评选 >>> 中场回顾
nhEsb 获得 2021 年度 OSC 中国开源项目评选「最佳人气项目」 !
-
概览
-
资讯
-
博客
-
问答
-
安全信息
软件简介
代码
暂无内容
{{o.pubDate | formatDate}}
没有更多内容
暂无内容
{{o.pubDate | formatDate}}
没有更多内容
暂无内容
Apache Log4j 安全漏洞
当攻击者对 Log4j 配置具有写访问权限时,Log4j 1.2 中的 JMSAppender 容易受到不受信任数据的反序列化。攻击者可以提供 TopicBindingName 和 TopicConnectionFactoryBindingName 配置,导致 JMSAppender 执行 JNDI 请求,从而以类似于 CVE-2021-44228 的方式执行远程代码。请注意,此问题仅在专门配置为使用 JMSAppender(不是默认设置)时影响 Log4j 1.2。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
CVE-2021-4104
MPS-2021-38359
2022-08-08 20:58
Apache Log4j SQL注入漏洞
SQL注入
根据设计,Log4j 1.2.x 中的 JDBCAppender 接受 SQL 语句作为配置参数,其中要插入的值是来自 PatternLayout 的转换器。消息转换器 %m 可能总是包含在内。这允许攻击者通过将精心制作的字符串输入到记录的应用程序的输入字段或标题中来操纵 SQL,从而允许执行意外的 SQL 查询。请注意,此问题仅在专门配置为使用 JDBCAppender(不是默认设置)时才会影响 Log4j 1.x。从 2.0-beta8 版本开始,重新引入了 JDBCAppender,适当支持参数化 SQL 查询,并进一步自定义写入日志的列。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
CVE-2022-23305
MPS-2022-1444
2022-08-08 20:58
Apache Log4j 代码问题漏洞
反序列化
CVE-2020-9493 发现了 Apache Chainsaw 中存在的反序列化问题。在 Chainsaw V2.0 之前,Chainsaw 是 Apache Log4j 1.2.x 的一个组件,存在同样的问题。
CVE-2022-23307
MPS-2022-1445
2022-08-08 20:58
Apache Log4j 代码问题漏洞
反序列化
当攻击者对 Log4j 配置具有写访问权限或配置引用攻击者有权访问的 LDAP 服务时,所有 Log4j 1.x 版本中的 JMSSink 都容易受到不受信任数据的反序列化。攻击者可以提供一个 TopicConnectionFactoryBindingName 配置,使 JMSSink 执行 JNDI 请求,从而以类似于 CVE-2021-4104 的方式执行远程代码。请注意,此问题仅在专门配置为使用 JMSSink(不是默认设置)时影响 Log4j 1.x。 Apache Log4j 1.2 已于 2015 年 8 月结束生命周期。用户应升级到 Log4j 2,因为它解决了以前版本中的许多其他问题。
CVE-2022-23302
MPS-2022-1446
2022-08-08 20:58
Apache Log4j 代码问题漏洞
反序列化
Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具。Log4j 1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。
CVE-2019-17571
MPS-2019-17271
2022-08-08 20:58
Apache Log4j 信任管理问题漏洞
证书验证不恰当
Apache Log4j是美国阿帕奇(Apache)基金会的一款基于Java的开源日志记录工具。
Apache Log4j中存在信任管理问题漏洞,该漏洞源于SmtpAppender没有验证主机名称与SMTPS连接的SSL/TLS证书是否匹配。攻击者可通过实施中间人攻击利用该漏洞拦截SMTPS连接,获取日志消息。
CVE-2020-9488
MPS-2020-6684
2022-08-08 20:58
没有更多内容
加载失败,请刷新页面
Awesome 软件
热门评论
那么问题来了,他作为作者,有没有权利删除文档?他哪句话承诺了文档永远不收费?只是说开源项目免费,那么文档是不是属于开源项目,这个是作者说了算的,如果他承诺过,开源项目里包括文档,文档永远不收费,那他出尔反尔,他没有说过,作为开源项目的作者他有这个权利的
作者表示想不通?绑匪觉得绑票拿钱,天经地义,我们更想不通。如果不把你骂死,始作俑者,其无后呼?大家都这么玩,谁还敢用开源?特别是国内开源!你不就是仗着国内绝大多数用户,不愿意花钱跟你打官司么。我要正好是项目技术负责人,脑子昏聩,把你的框架引入了项目,结果现在被绑了,咋办?和老板说,咱们被勒索了?苛刻点的老板,我怕不是马上卷铺盖滚蛋!还不是只能含泪自掏腰包,找你买文档,赎肉票?!作者洋洋得意的三千多文档用户,有多少不是这么来的?!
作者,我其实很支持你走一些商业化道路,在知道你开启了vip服务的第一时间我就充了vip。 但是严格的将,furion文档之前是跟furion开源库的,而furion库是明确写了MIT协议。你现在把文档从这里面移除进行收费,是非常不明智的行为,此举也违背了MIT协议,,所以才遭到很多人的口诛笔伐! 希望慎重,可以从其他方面走一些商业化而不是把之前mit库里的内容移除!
一副小人得志的模样,大家都看清楚了,千万别碰
人家就是这个意思,上了贼船由不得你了,吃相难看
如果历史版本都不行,那确实,我也不认同,我没有使用Furion,纯以开源角度谈,否则所有开源作品都可以这样挖坑。
之前是声明免费,现在是99,后面++++,谁用谁+++++..是诚信问题,不是收费问题。
MIT 许可证,免费授予任何获得本软件副本和相关文档文件的人不受限制地处置该软件的权利,请问你遵循的是MIT协议么,不是就把许可证换了,改一份中国MIT出来
都别吵了,.net的兄弟们,有能力,转Rust, Java 它不好吗? 要生态有生态,要性能有性能, .net 在国内ZF都明令不用了,现在除了在游戏开发U3d还有点用外,还有啥? 不值得你们花时间精力吵来吵去。 不过宣称MIT 开源,突然收费这行为只会让人有种被骗的感觉。。。
mvncenter.com 上查一下最新版本
👉👉👉 说句实话,有时候我还是想不通你们这些人的。 我们认识吗?我们有那么大的仇恨吗?我是伤害了你的利益吗?你了解的事情经过吗?你听到的看到的都是真的吗?你怀疑过这一切吗?你有限的知识够评价别人无限的人生吗?互联网那些被网暴的人真的就是道德败坏的人吗?你看懂社会运行规则了吗?人性的弱点你读懂了吗?你躬身入局了吗?自然辩证法学过吗?王阳明的心学心外无物课外阅读过吗? 捕风捉影、愤然怒喷,把自己放在上帝的视角藐视着这一切,彷佛是一切的主宰,道德的化身,法律的审判者,人间的正义使者。
ruguo 1 + 1 == 2: fanhui Zhen fouze: fanhui Jia
哈哈哈哈,这下看清这个人了吧,交了钱还不让公开提建议了,自己把事情拿出来说了,不让别人提建议,提就是宣泄,哈哈哈哈!
吃相难看,有什么zg引入释迦牟尼,还各种古今句典,凑显摆什么,释迦牟尼布道收你钱了,用别人的句典收你钱了。别再解释,又当又立,君子爱财取之有道。马户马户
MIT协议,想收费出个plus版本啊。国内这么玩的其他开源项目文档收费至少不会拿已公开的部分威胁用户,这位到好,玩的真6,好感度直接降到冰点。国内开源环境就是这么被玩完的。
周鸿祎说的没错 360 的确是可以被卸载,但是周鸿祎没说 3721 会把它重新安装回来。
纯探讨,我不了解这个历史,从某个版本开始收费是不是可以呢?我理解应该是可以吧,如果说直接历史全部收费个人觉得不行,不然全部开源作品都可以这样挖坑。但是从新版本开始,按开源的常规做法,我也想了解,有没有大佬说说。
你出尔反尔, 违反了mit开源协议. 一条足以
在输入上用中文就没啥优势了
看了,确实吓人,而且还看到了小人得志后的嘴脸。太吓人了
这个时候,开源中国应该站出来,否则以后大家都要小心开源框架了。
主要是收费之前的文章应该免费公开,收费后更新的文章可以加密,这坑人的玩意,之前还推荐同行用。
什么辣鸡行为啊,别又当又立。搞社区版和商业版的公司多了去了,没人会骂。先开源再搞部分收费就特么辣鸡,还怨别人带节奏???鄙视鄙视鄙视!👎👎👎
哥们,如果缺钱你可以发起水滴筹,相信大家都能理解的,何必弄的这样里外不是人呢。😂
偷换概念,把你自己违反MIT协议跟小程序混为一谈真的好意思吗?还有脸威胁人家私有化部署追究法律责任?你是知法犯法懂吗? 看到你威胁别人的帖子,吓我一跳,大家都看看他怎么吓唬人的: https://github.com/Rwing/debian-benchmarks-game-visualization/issues/1
https://gitee.com/dotnetchina/Furion/blob/v4/LICENSE.zh “特此免费授予任何获得本软件副本和相关文档文件(下称“软件”)的人不受限制地处置该软件的权利”
更何况【开源】也不过是【闭源】与【自由】的折中取舍而已
@百小僧 真如胖哥说的 fork 搞一个 openFurion 悔之晚矣给别人做嫁衣,开源赢利点其实很多目前您的做法有点杀鸡取卵,建议出付费模块或者付费技术支持大家更容易接受。
在中国做开源挺难的,可能饭都吃不饱。
跟“降本增效”有个毛线关系,真以为毕业生就能升级k8s了?
0动弹,0博客,0问答,0关注,0粉丝,0经验值,0开源豆,这位比我们都有钱的大老板在这里发出了他的第一条讨论。
软件系统是有沉没成本的。哪有什么喜欢用不喜欢不用的。你一句话就能去IOE?为什么这个难?因为之前的投入直接归零,之后还要再投入几个亿?!而且失败可能性不低,真要到时候全系统崩溃,公司破产都不是不可能。换到这里。如果公司已经在几个十几个项目里面用了这个框架。那怎么换?当初做决定的人,要么忽悠老板买VIP,要么自己悄悄掏钱买文档。不然?直接就是“引入重大风险,造成公司严重损失”,一分钱赔偿拿不到,直接走人!
了解清楚情况再发言
正式版出了?
话说官网没有这个型号,哪里能看到卖多少钱?
雷传志?小米是草根?金山和联想是多大的毒瘤不知道?
我建议 有能力的 fork 前面的版本 弄个 openFurion 合理合法 搁着打嘴炮没有意义
这不是搞笑 文档 和 source 看他当初约定 如果是两个项目产品 走两种license 一点问题也没有 如果是作为产品 就是一个license
认同你说的,历史的版本如果不调整做法,新版本起调整,我个人认为是合理的。
但是这是在违法!不想维护了可以放弃。不能说你觉得免费付出亏了,就可以绑票勒索。你以MIT协议分发,现在自己违反。别扯什么99.99%都是自己写的。项目文档接了别人的pull,哪怕一个字符,人家也有版权!你哪怕后续版本改闭源,最起码也要所有贡献者同意。而且文档收入,人家有资格获得报酬!
SunnyUI也收费,我当时也是祝贺他们,虽然我们没有用,感觉这是一种好的迹象,因为开源有支持,作者也会得到回报,这是良性的循环。大家没有反对收费,有些人不要混淆视听,只是反对改变历史版本挖坑的做法。换一个角度来说,先不说开源的,比如我们是不是可以说四大发明现在收专利费?
去看看pr,我一个人写了340万字的文档,其他所有开发者提交pr贡献文档的字数总不超过1000字。99.99%都是修改错别字。
你愿意出来单独发个说明我觉得已经很了不起了. 确实, 很多人包括我也不了解事情到底是什么样子, 乍一听事情觉得好像是你不道德似的. 但是我看了评论区有个说 ThinkPHP 文档也收费, 就算不去了解你们的项目, 也突然能理解文档收费了. 其实我一直不太理解有些人怎么这么能喷, 喷 SSPL, 喷 BSL, 我眼中的"开源"就是你愿意共享代码, 又不硬性要求回报, 已经是在做好事了. 兄弟, 加油!
如果老版本照旧,新版本文档封闭,这没太大问题。遗留系统,各种烂事多了去了。升级框架要加钱不算啥。可如果把老文档也封了,就等同绑票!而且作者也别吹已经有多少肉票交了赎金。交钱的有多少心里咒你们没点数?如果不是沉默成本太大,谁愿意给这笔钱?!考虑过这个框架但没用的,那是真庆幸自己没被杀猪。以后不是真正大厂支持的项目,敢随便放到公司里面了。像这次的事情,风险没边了!今天封框架文档,明天就可以封部分API,不给钱不能用。MIT协议在眼里不如一张厕纸。如果程序员把框架推荐引入公司项目,结果出了这么一出,尴尬不?接下来怎么办?跟公司说现在要交赎金,遇到苛刻的老板,为这499就让你拍屁股走人,还不给补偿,罪名都是现成的,给公司造成重大损失,499不是钱的事情,而是项目风险不可控。
开源也要吃饭才开的了源,不然项目大概率最终会死。如果项目真的给你带来了价值,花钱是应该的,否则明年项目黄了,对你有啥好处 ?
https://gitee.com/dotnetchina/Furion/commit/66eec96da18c7f69ae30c608ec4e8f14e21f9718 把版权所有者从“百小僧, 百签科技(广东)有限公司 和所有贡献者”改成了“百小僧, 百签科技(广东)有限公司”
那华为是什么公司?忽悠公司,吹牛公司?
说句公道话,软件作者是有权修改的; 如果之前的文档也在库里,并且是 MIT 协议的;大家可以放心使用,并且有权公开到互联网中供大家使用,因为这符合 MIT 协议;如果作者明确说明了文档收费并且不使用 MIT 协议了,那么在这之后的文档就不能再以 MIT 协议使用,但在这之前的依旧是 MIT; 说白话一点就是,假设之前的文档有 11 篇,那么这 11 篇遵循的是 MIT 协议;如果作者宣布文档不再使用 MIT 协议后,又多加了几个新的文档,或者修改了之前的文档,那么这些新文档将不能随意传播;注意,之前以 MIT 发布的那些文档大家有权使用,并且有权公开,因为这符合 MIT 协议。 除了使用外,还能将其商业化,因为这也符合 MIT 协议;也就是说,如果大家有兴趣可以在 MIT 协议的文档上自己维护一份,实时地跟进框架源码来写一份属于自己的文档;在这之上新增、修改的文档版权属于维护者,因为这并没有破坏之前的 MIT 协议。 对于收费,如果还有其他做开源的作者,请提前规划好开源协议和发展路线;建议使用 GPL、AGPL 类似的开源协议,这种协议更符合开源精神和GCZY精神;对于想私有化项目的人,可以选择私有化授权。 通常来说,一些开源项目如果声称完全免费的,我都不会去关注,除非该项目得到了其他资金的支持;但如果有两个大致相同的开源项目,一个有商业性质,一个完全免费,我会更关注具备商业性质的开源项目。在 git 上有很多长年不更新的开源项目,通常是刚开始有激情,没多久就不再维护了。 收费并不一定是坏事,通常免费的才是最贵的。但大多数使用者没有计算时间成本,所以只关心是否免费。 大多数白嫖的想法是:你这产品不错、你这框架不错、你这项目不错,应该免费。 还有一些江湖侠客给你说各种大道理,让你免费提供劳动力;这些不过是慷他人之慨的白嫖的人,真让他们付出时,结局是真有一头牛。
从输入上来说,中文复杂,从关键字上来说英文记不住的中文也一样 ,从语义上分析会不会有歧义?中文打了那么多能不能AI生成一段?
第一次看到furion这个词,很震惊。原因很简单,一个库取这个名字,怎么担得起。都不说一开始这个库就有对标spring的意思。然后我就说了一句这个名字的问题,结果你应该知道的。我没再说什么,毕竟各人有各人的看法。再然后,看到某些对这人的评论,说他造假微软mvp。这么石锤的评论,显然是真的。我当时就觉得,这得多黑的脸才能干这种事。 现在嘛,呵呵,一贯如此,飞逝都不要了。再说一句实话,很多软件加入神话、哲学相关的事情,也就用了一个名字而已。这确实可能多一点文化认同感。但是没人大段大段的说一堆废话。这种属于土鳖行为了,而且非常恶心。
这次让他做成了,后面还会有更多的开源钓鱼了。
对错都不谈了,还说个毛线啊。首先,文档以前包含在源码里,也是开源的,现在删了。用户有权部署之前开源版文档,现在他说不允许你部署,这是违反开源协议的。兴趣是不能成为饿肚子的理由,但也不是把以前承诺当屁放了的理由!!!!重发一位网友的反对理由!
https://www.oschina.net/question/4700705_2331356 KKFileView 也在开源路上探索,问答里面就有很多人问到了开源项目怎么持续发展的问题,我个人觉得在不影响项目开源初衷前提下,获取一点经济支持来更好的维持项目发展,真的无可厚非。
https://www.oschina.net/question/4700705_2331356 KKFileView 也在开源路上探索,问答里面就有很多人问到了开源怎么持续发展的问题,我个人觉得在不影响项目开源初衷前提下,获取一点经济支持来更好的维持项目发展,真的无可厚非。
还好意思在这里炫耀敲诈的成果
不诚信,违背开源协议,威胁用户。 说得再多都是狡辩。
https://oscimg.oschina.net/oscnet/up-b182b52fe56f56bb8308410992824b53134.webp
管你有什么大道理, 你确实违反了你用的开源协议mit协议, 说再多都没有用, 你搞的就不是开源这种东西
对错都不谈了,还说个毛线啊。首先,文档以前包含在源码里,也是开源的,现在删了。用户有权部署之前开源版文档,现在他说不允许你部署,这是违反开源协议的。兴趣是不能成为饿肚子的理由,但也不是把以前承诺当屁放了的理由
真的不知道有哪个开源协议说过【开源=免费】,一帮子人就开始拿着【开源协议】在这口诛笔伐了,唉,搞笑
软件作者
公众号
视频号
深圳市奥思网络科技有限公司版权所有
粤ICP备12009483号
评论