ICANN 发表报告《The Domain Name System Runs on Free and Open Source Software (FOSS)》，该报告主要面向决策者，其背景是世界各国政府正探索制定新的网络安全监管法规，DNS 运营中 FOSS 软件的无处不在意味着今天制定的政策将直接影响未来互联网的安全性和韧性。报告指出，DNS 生态系统依赖于由维护者和贡献者构成的全球网络，他们通常是无偿的志愿者。虽然很多参与者是无偿的，但 DNS 生态的独特之处在于，它还依赖于多个长期存在的维护组织，创造了一种基于社区协作而非传统软件供应链商业合同的运营模式，这一模式的独特风险在于维护组织的财务可持续性以及志愿者因倦怠而退出。FOSS 软件运营的独特性意味着为私有软件设计的监管框架可能并不适用于 FOSS，因此可能会对关键互联网基础设施的稳定性构成严重的意想不到的后果。

海牙国际刑事法院（ICC）的办公软件将从微软的 Microsoft Office 切换到开源替代 Open Desk。此举旨在摆脱对美国技术的依赖。此前，由于海牙国际刑事法院以战争罪对以色列总理内塔尼亚胡及前国防部长加兰特（Yoav Gallant）发出逮捕令，美国现任共和党总统特朗普随后对首席检察官 Karim Khan 等人进行了制裁，微软则立即封锁了 Khan 的电邮账户，迫使他使用瑞士的电子邮件服务 Proton。由于国际刑事法院高度依赖微软软件，微软的行动导致其工作陷入瘫痪。而美国政府正考虑对国际刑事法院采取进一步行动。OpenDesk 由德国的 Center for Digital Sovereignty (Zendis)开发。

生成式 AI 使用了不同许可证授权的 FOSS 软件代码进行了训练，当它们生成代码片段时，所有许可证、作者和上下文等相关信息都被剥离了。由于 AI 代码切断了人与代码之间的联系，这意味着下游开发者将无法遵守互惠许可条款。即使开发者怀疑一段 AI 代码来自开源许可证授权的代码，也无法确定其源项目，训练数据被抽象成数十亿统计权重，在法律上这相当于一个黑洞。AI 代码造成的伤害不限于法律上的不确定性，整个开源生态系统也面临风险。当 AI 吸收互联网上的一切并清洗时，模糊归属、所有权和互惠原则，所有现代社会赖以存在的关键基础设施都面临风险。

开源 Web 应用框架 Django 项目释出了 v6.0 的首个 Beta 版本。beta 1 代表着开发的冻结，此后的任务主要是修 Bug 和修复性能问题，预计 RC 版本将在一个月后发表，正式版本预计于 12 月 3 日发布。Django 6.0 支持 Python 3.12、3.13 和 3.14，开发者建议第三方库的开发者停止支持 Django 5.2 之前的版本。Django 6.0 的主要变化包括：支持内容安全政策（Content Security Policy 或CSP）；模板语言支持模板局部（Template Partials）；使用 Python 的 email API 处理邮件；等等。

德国音乐制作软件公司 Steinberg 发布了 VST 3.8 SDK，宣布 VST 3 在 MIT 许可证下开源，源代码托管在 GitHub 上。Steinberg 成立于 1984 年，2004 年被日本雅马哈公司收购，成为其子公司。作为其旗舰音序器软件 Cubase 的一部分，Steinberg 于 1996 年发布了音乐软件接口技术 VST（Virtual Studio Technology）。今天音乐软件领域上有数以千计的 VST 插件。

照片管理系统 DigiKam 释出了 v8.8.0 版本，新版本提升了性能、稳定性和用户体验，尤其是在图像处理、色彩管理和工作流程效率等方面。主要新变化包括：核心代码迁移到 Qt 6.10.0；改进标签管理（Tag Management），支持标签层级的导入/导出功能；部分相机型号的焦点可视化；自动使用显示器色彩配置文件，背景模糊工具，等等。

开源分布式键值数据库 Valkey 释出了 v9.0.0 版本。Valkey 是 Redis 的分支，2024 年 3 月 Redis 从开源的 3-clause BSD 许可证切换到商业使用需获得授权的双许可证 Redis Source Available License (RSALv2) 和 Server Side Public License (SSPLv1)，不再属于开源软件，因此社区创建了分支 Valkey，然而到了 2025 年 5 月 Redis 再次切换到开源许可证 AGPLv3，而 Valkey 一直独立发展至今。Valkey 9.0.0 的新特性包括：Multipath TCP (MPTCP)支持，新客户端命令过滤器，集群模式下多数据库支持等。

重组和裁员中的芯片巨人已经有许多位 Linux 内核维护者离职，该公司表示正在重新思考其开源战略。英特尔数据中心业务负责人 Kevork Kechichian 称是时候重新思考对开源社区的贡献了，“从基础设施的角度，英特尔在开源领域留下了最大的足迹。”英特尔需要找到一种平衡，能将其对开源的贡献转化为其优势，但不能让竞争对手占便宜。Kechichian 强调英特尔不会放弃开源，“我们永远不会离开开源，很多人受益于英特尔在开源领域的巨额投资，我们需要弄清楚，相比其它利用我们投资的公司，我们如何能从中受益更大。”

自 2018 年收购之后，微软一直允许 GitHub 独立运营。然而情况正在改变，今年 8 月 GitHub CEO Thomas Dohmke 辞职后，微软没有再任命新 CEO，GitHub 被更深入的整合到公司架构中。作为深度整合的一部分，GitHub 正优先将其基础设施迁移到微软旗下的 Azure 云服务，代价是推迟新功能的开发。GitHub CTO Vladimir Fedorov 在给员工的备忘录中表示，预计在 24 个月内完成迁移。18 个月执行，预留 6 个月的缓冲期，他要求团队将精力集中于迁移到 Azure，推迟功能开发工作。

Ruby Central 据报道在最大支持者 Shopify 的施压下，未经长期维护者同意接管了多个 Ruby 旗舰开源项目的控制权，其中包括 bundler 和 rubygems-update，此举可能加剧社区的分裂。Ruby 项目的主要赞助商 Sidekiq 撤回了每年 25 万美元的赞助承诺，导致 Ruby Central 严重依赖于 Shopify 的赞助。Shopify 前雇员、Ruby 开发者和维护者 Joel Drapper 称，Ruby Central 此前已经陷入财务困境，Shopify 在此背景下施压 Ruby Central 获得对 RubyGems GitHub 组织以及对部分核心 Gem 如 bundler 和 rubygems-update 的完整控制权，威胁如果不这样做将停止资助。此后 Ruby Central 采取了一系列行动，包括将 RubyGems GitHub 企业重命名为 Ruby Central，移除了众多维护者的权限，停用了邮件账号，撤销了对 RubyGems 的所有权。在社区引发争论之后，Ruby Central 回应称此举是为了确保供应链的安全。

天文学家长期以来一直依赖超级计算机去模拟宇宙的宏大结构，但一款名为 Effort.jl 的新开源工具正改变这一现状。意大利和加拿大研究团队开发了模拟器 Effort.jl，模拟复杂宇宙模型如 EFTofLSS 如何响应。他们的测试显示，Effort.jl 只需几分钟即可在标准笔记本电脑上提供具有相同精度的结果。这项突破性技术将神经网络与物理知识的巧妙运用相结合，在保持可靠性的同时，大幅缩短了计算时间。Effort.jl 源代码发布在 GitHub 上，采用 MIT 许可证。

Open Source Security Foundation(OpenSSF)警告开源基础设施不能运行在祈祷之上，称开源基础设施并非免费，而现代软件开发背后的重要机制正面临崩溃。Eclipse 基金会、Rust 基金会、Sonatype 和 Python 软件基金会等八个组织在一封公开信中声明，包管理器如 Maven Central、PyPI、crates.io、npm 和 Packagist 每月处理数十亿次下载，但运营的组织经常只能依靠捐赠、拨款和少数赞助商的善意勉强维持。开源基础设施使用的带宽、存储、人员和合规性成本正加速增长。如果没有商业规模的支持，商业规模的使用不可持续。

奥地利军方从私有的 MS Office 切换到了开源的 LibreOffice。此举并非是为了节省大约 1.6 万台工作站的软件许可证费用，用军方官员的话说是为了加强数字主权，维护基础设施的独立性，确保数据仅在内部处理。主要动机是微软的办公软件正迁移到云端，而军方不可能使用外部云服务处理内部数据。奥地利军方从 2022 年开始就在试用 LibreOffice 为迁移做准备。军方此前使用的是 Microsoft Office 2016 Professional，如今已经卸载，但仍需要使用微软办公软件的用户可以内部申请使用 MS Office 2024 LTSC。奥地利军方在使用 LibreOffice 过程中还为开源项目贡献了代码。

AMD 终止自己的 AMDVLK 开源驱动项目，拥抱社区驱动项目 Mesa RADV。这一决定早有先兆：AMD 在今年五月宣布支持 Mesa RADV 驱动。此后它就没有再发布任何新的 AMDVLK 驱动。现在 AMD 正式宣布，为简化开发流程，强化对开源社区的承诺，统一 Linux Vulkan 驱动战略，决定停止 AMDVLK 开源项目，全力支持 RADV 驱动作为 Radeon 显卡官方支持的开源 Vulkan 驱动。Mesa RADV 在 Linux 社区比 AMDVLK 更受欢迎，得到了 Valve、Google 和 Red Hat 等公司的支持。

高性能网站反向缓存服务器 Varnish Cache 项目释出了 v8.0.0 版本，这将是使用 Varnish Cache 名字发布的最后一个版本。Varnish Cache 第一个版本是在 2006 年发布的，2026 年 2 月将迎来项目的二十周年。作为 FOSS 软件项目的 Varnish Cache 最初由挪威报纸 Verdens Gang 赞助和发起，它雇佣了公司 Linpro 和 Poul-Henning Kamp（PHK）。Linpro 发展成了 Varnish Software 并获得了商业使用 Varnish 的权利，作为项目维护者 PHK 与 Varnish Software 达成了一个口头协议，Varnish Cache 是 FOSS 项目，而 Varnish Software 是商业实体。但如今 Varnish Software 的 IP 律师的立场是未经明确许可，任何人不得在任何情况下使用“Varnish Cache”。Varnish Software 的 IP 律师坚持认为，Varnish Software 拥有 Varnish Cache 的名字，开源开发者们只拥有非常有限的许可，而他们则拥有否决权。在这种情况下，Varnish Cache 项目宣布改名为 The Vinyl Cache Project，明年 3 月发布的新版本将正式启用新名字。

开源游戏引擎 Godot 释出了 v4.5 版本。主要新特性包括：模板缓存（stencil buffer），内置屏幕阅读器支持以改进可访问性，着色器烘焙器（shader baker）提供更好的着色器编译处理加速启动，改进物理功能等等。Linux 版 Godot 4.5 支持原生 Wayland 子窗口，基于 WebAssembly 的 Web 版本支持 SIMD 显著提升了性能。

著名自由软件相关法务博客 Groklaw 在停止更新十多年后变成了一个推销加密货币的网站。Groklaw 曾经记录了开源自由软件历史上著名的法律事件如 SCO 诉讼，以及软件专利、标准、授权等相关主题的内容，如今在加密货币产品的广告中间只有部分内容仍然保留着，其它内容都被替换了，自由软件历史的一个重要组成部分被破坏了。在数字时代，有些东西只有失去了我们才注意到其重要性，记录历史的互联网档案馆是某种单点故障，也可能在有一天消失。保护数字历史是目前的一大紧迫任务。

微软在 MIT 许可证下开源了具有历史意义的 6502 BASIC 解释器。源代码历史显示它最后一次更新是在 48 年前。Microsoft BASIC 始于 1975 年，是微软公司的第一款产品，最初支持英特尔 8080 处理器，由比尔盖茨和保罗艾伦为 Altair 8800 编写，后移植支持其它 8 位 CPU 如 MOS 6502、摩托罗拉 6800 和 6809。6502 BASIC 的移植由比尔盖茨和 Ric Weiland 于 1976 年完成，其正式名称是 Microsoft BASIC for 6502 Microprocessor - Version 1.1。

在 XZ 后门事件中，化名为 JiaT75(Jia Tan)的攻击者通过在两年多时间里向项目积极贡献代码而获得信任，然后再通过施压而最终成为项目的共同维护者，得到了能悄悄在代码中植入后门的权限。在以大模型为代表的生成式 AI 时代，贡献代码可能比以往任何时候更轻松，这意味着攻击者可以使用大模型向开源项目积极贡献代码，而项目的维护者将难以判断代码背后的人的意图。开源项目的维护者缺乏资源、技能或时间去抵御此类的攻击，因此未来的开源项目可能更容易受到类似 XZ 后门事件的攻击。

一个被包括五角大楼在内的机构使用的流行 Node.js 库由一名居住在莫斯科的 Yandex 员工 Denis Malinochkin 维护。美国安全公司对此发出了警告。然而对于开源项目而言，这不是什么新鲜事，绝大多数开源项目、不管是否流行，它们通常是由一个人维护的。以 NPM（Node Package Manager）生态系统为例，在下载量超过 100 万的项目中，维护者只有一个人或多个人的比例基本上是 50/50；在下载量超过 10 亿次的项目中，有 1 个项目是一个人维护，9 个项目由多个人维护。这就是开源社区的现状，开源项目通常是一个人维护的，即使是热门的项目也是如此。而且很多时候一个人会维护多个项目。一位俄罗斯人维护了一个流行库并不意味着什么，如果他们想要发动供应链攻击植入后门，俄罗斯人不会自称是俄罗斯人，他们会化名为 Jia Tan（XZ 后门作者化名）。