2011 年新年前夕，OpenSSL 项目维护者 Stephen Henson 破坏了互联网。他接受了德国开发者 Robin Seggelmann 写的“心跳”标准代码。2 年半之后，“心脏出血”漏洞曝光，它被认为是至今发现的最严重软件漏洞之一。OpenSSL 的代码被无数项目使用，是互联网的基石之一，但它的开发者长期不超过三人，Henson 在很长时间里是唯一的全职开发者。缺乏资金和资源是 OpenSSL 等基础性开源项目长期面临的问题，“心脏出血”漏洞让 OpenSSL 等项目得到了广泛关注，虽然 Henson  和 OpenSSL 基金会前 CEO Steve Marquess 已在 2017 年离开了项目，但它的核心开发团队已经增加到了 7 人，资金也足够维持到至少 2021 年。但这起事件仍然引发了一个疑问：开源项目如何能可持续发展？今天的互联网巨头其成功基本上是建立在开源软件的基础之上的，而这些公司很多只是搭便车，付出很少。所以一些人认为只要巨头们拿出钱来问题就迎刃而解了。当然 IBM 和 Google 这样的公司都鼓励其雇员回报开源社区，Google 称它有 2000 多个活跃的开源项目，如 Go 语言和 Kubernetes 容器软件。JS 编译器 Babel.js 的开源开发者 Henry Zhu 认为， 开源社区在钱这个问题上有点像宗教，这些宗教社区需要有钱才能在基本层面上进行运作，但开源社区最重要的资产不是钱而是志同道合的人。即使所有的钱都尽你使用，一个人也无法创造一个宗教，也不能维持一个广泛使用的开源项目。开源项目的维持需要鼓励人们参与进来，在开源中间，时间比金钱更重要。

Google 开源了它的模糊测试系统 ClusterFuzz，源代码发布在 Github 上。Google 称，ClusterFuzz 整合到了它的工作流中，至今在 Chrome 项目中发现了超过 1.6 万个 bug，通过整合到 OSS-Fuzz 作为免费服务提供给开源项目使用，在 160 多个开源项目中发现了 1.1 万多个 bug。ClusterFuzz 能在 bug 引入的数小时内将其检测出来，能在一天内验证补丁。

VLC 开发负责人 Jean-Baptiste Kempf 谈论了正在开发的 VLC 4.0 的新特性。VLC 4.0 代号为 Otto Chriek，新变化包括了新的播放列表、新的用户界面，支持 VR/3D 的新视频输出架构，移除对旧平台的支持，支持 360 度视频，3D 音频，支持 HTC Vive 和 Oculus 等 VR 设备，改进 HDR 支持，改进支持 Wayland 和 X11.。VLC 4.0 将停止支持 Windows XP/Vista，对 macOS、iOS, 和 Android 版本也提高要求，

开源多媒体播放器项目 Kodi 发布了 17.0 "Leia"，包括 10,000 个 commits，超过 3000 pull-requests，接近 9,000 变更文件，加入大约 50 万行代码，也移除了同样多的代码。主要特性包括：支持游戏模拟器、ROM、手柄和操纵杆等控制设备，用户将可以畅玩全世界的怀旧游戏；DRM 解密支持；改进 Live TV，支持 RDS (Radio Data System),新的后端支持；二进制扩展支持和二进制扩展库；改进蓝光支持，等等，更多可查看 Changelog。

数字视频录像机和媒体中心软件 MythTV 发布了 30.0 版，距离上一个大版本相隔大约一年半时间。新版的主要的新功能是：前端 mythfrontend 支持部分 Android TV 设备，包括 NVidia Shield 和 Amazon Fire TV 4K。其余的绝大部分变化与内部基础设施相关，终端用户是看不到的，开发者称有超过 500 个 commits 改善了基础设施。

Tor 项目官方博客称，2018 年个人捐赠者捐赠了超过 46 万美元，创下了新纪录。其中大约一半的个人捐赠来自于年底发起的宣传活动，而 Mozilla 慷慨的匹配了这部分捐赠，还有一位匿名人士匹配了新捐赠者的捐款。Tor 项目正致力于减少对美国政府资助的依赖。2015 年来自美国政府的资助占了  80-90%，但到了 2017 年这一比例降至了 51.5%，Mozilla 捐赠了 52 万美元 占12.64%，瑞典政府捐赠了 60 万美元，DuckDuckGo 捐赠了 2.5 万美元。

自由软件多媒体播放器项目 VLC 下载量在 2012 年突破了 10 亿，如今则超过了 30 亿。开发者同时发布了一个小更新版本 VLC 3.0.6，主要是支持 AV1 的 HDR。根据开发者的计划，接下来的工作将是更新 Android 版本，支持 AirPlay；以及更新 VR 版本，原生支持 VR 视频。VLC 还在计划下一个大更新版本 VLC 4.0，计划支持更多设备，包括索尼的 PlayStation 4、Nintendo Switch 和 Roku 设备。VLC 最早是一个学术研究项目，通过客户端和服务器端在不同电脑之间串流视频。VLC 的意思就是 VideoLAN 的客户端，代表 “VideoLan Client”。它最早由巴黎中央理工学院学生开发，1998 年开始重写，2001 年在 GPL 下发布了第一个公开版本。

去年十月，MongoDB 宣布其开源许可证从 GNU AGPLv3 切换到 Server Side Public License (SSPL)。MongoDB 希望从软件即服务或云计算业务上获取收入。对此自由软件基金会（FSF）认为专门引入商业性条款意味着该项目不再属于自由软件，它建议社区开发分支。现在，云计算巨头亚马逊 AWS 真的开发了自己的 MongoDB 分支，它发布了 DocumentDB，兼容开源的 MongoDB 3.6。它决定不从 MongoDB 购买商业许可证，而是自己维护一个开源版本。对于亚马逊的做法，MongoDB 显然不会高兴的。

Mozilla 正重新投入资金和人力去开发曾被它放弃的开源邮件客户端 Thunderbird，它在去年组建了 8 人团队专职开发 Thunderbird。官方博客介绍了它的 2019 年计划，其中包括：解决 UI 响应和性能问题，利用新技术去重写部分程序，实现多进程支持。其它可用性方面的改进包括改进 Gmail 支持，Gmail 是最大的邮件服务商之一，改进对它的支持是有意义的。开发者计划解决 Gmail 标签支持，改进通知，更好的整合操作系统内置的通知系统，改进加密的可用性，它已经雇佣了一名专注于安全和隐私的工程师。

2014 年开源加密库 OpenSSL 项目爆出的高危漏洞 Heartblood 让世人意识到一些鲜为人知的开源项目对整个互联网和其它基础设施的完整性和可靠性至关重要，随后 Linux 基金会发起了 Core Infrastructure Initiative（CII）倡议，向包括 OpenSSL 在内的开源基础设施项目提供资助。今天，OpenSSL 等项目的经济状况有了很大改善，安全审计也在有条不紊的推进。现在，欧盟议会的德国海盗党成员、Greens-European Free Alliance 联盟副总裁 Julia Reda 宣布向开源项目提供 Bug 悬赏去改进开源项目的安全性。欧盟提供资助的 14 个开源项目包括：Filezilla，Apache Kafka，Notepad++，PuTTY，VLC Media Player，FLUX TL，KeePass，7-zip，Digital Signature Services (DSS)，Drupal，GNU C Library (glibc)，PHP Symfony，Apache Tomcat 和 WSO2。根据 Bug 的严重程度提供 2.5 万欧元到 9 万欧元的奖励。开源项目有千千万万，欧盟资助的这些项目都是它使用的。

HardenedLinux 写道 "最近几年RISC-V的兴起让更多厂商和个人可以使用自由开源的Verilog/VHDL/Chisel工具链开发自己的处理器，然而对于自由硬件社区而言自由的制造过程依然是缺失的环节，近日的35C3（第35界混沌计算大会）上LibreSilicon项目的芯片研究人员分享了他们如何让半导体制造过程变得更开放，使用完全自由和开放的工具使芯片设计和制造过程打破大厂商垄断以及绕过厂商的NDA（保密协议），LibreSilicon项目为此尝试打造多个开源项目包括基于自由和开放的芯片制造流程，高质量的标准单元库（单元生成器目前由Tcl语言编写，未来可能会使用Rust或者Scheme重写））以及自由开源的EDA工具。 LibreSilicon目前使用双井CMOS三层金属过程，设计和制造了1微米（1,000纳米）工艺的PearlRiver (珠江芯片一号)，目前LibreSilicon团队已经有500纳米工艺的制造设备。硬件对于可审计的需求越来越大，但硬件安全的坑并不比软件和固件少，HardenedLinux社区会直面Ring -4的威胁。"

蚂蚁金服开源前端框架 Ant Design 的开发者在代码中加入了圣诞节彩蛋，于 12 月 25 日生效，该彩蛋会给所有按钮添加积雪效果，并增加 Ho Ho Ho! 的浏览器默认提示信息。彩蛋无法被关闭，使用该框架的开发者纷纷在 GitHub 上抱怨彩蛋的问题，有开发者上传截图称共产党思想理论数字传播中心的登录按钮出现了积雪效果。蚂蚁金服的开发者紧急撤回了该变更，这位开发者称整件事是个人所为，影响版本 3.9.3、3.10.0 ~ 3.10.9、3.11.0 ~ 3.11.5，他们已经回滚了相关代码并发布了修订版本：3.9.4、3.10.10、3.11.6。圣诞节虽然是全球性节日，但不是所有人都过圣诞节。

甲骨文的开源虚拟机软件VirtualBox 释出了最新的 6.0.0 版。上一个大版本 5.0 版还是在 2015 年发布的。最新版本的新特性包括：实现支持导出虚拟机到 Oracle Cloud Infrastructure；改进 HiDPI 和缩放支持；重做了 UI，简化了应用程序和虚拟机设置；新的文件管理器能控制客户机文件系统，实现主机和客户机之间的文件拷贝；改进了 Windows 客户机的 3D 图形支持，Linux 和 Solaris 的 VMSVGA 3D 图形设备支持；支持环绕扬声器设置；Windows 主机支持使用 Hyper-V 作为回退执行核心；以及大量 bug 修复等等。

微软宣布开源它在 Surface 设备和最新版 Hyper-V 中使用的 UEFI 核心 Project Mu，源代码发布在它旗下的 GitHub 上，采用 BSD 2-Clause 和 BSD 3-Clause 许可证。固件是在启动进程中初始化硬件的系统软件，用户设备上安装的固件一般不会有后续更新，但固件也存在安全漏洞，需要更新去堵上漏洞。通过 Project Mu，微软提出了所谓的“固件即服务”来确保硬件使用的固件保持在最新状态。通过开源 Project Mu，微软想要建立一个生态系统，希望其它硬件厂商能采用它的方案。

开源指令集架构 RISC-V 在 2018 年赢得了广泛关注，行业开始围绕 RISC-V 指令集构建生态系统，这无疑将会冲击现有的芯片行业，逐渐边缘化的指令集架构因此决定拥抱这一趋势，MIPS 迈出了它的第一步。今年 6 月收购 MIPS Technologies 的 Wave Computing 周一宣布 MIPS 将在 2019 年第一季度发布最新的 core R6 时开源，此举旨在加速 MIPS 指令集架构的普及。MIPS 比 RISC-V 更成熟更完整并且已经在商业上证明过自己。自 2000 年以来，基于 MIPS 核心的芯片出货量达到了 85 亿。它包含了 DSP 和 SIMD 扩展，而 RISC-V 的相关扩展仍然在制定之中，MIPS 配套软件也更成熟。显然没有开源的 RISC-V 不会有开源的 MIPS，芯片行业将会如何对新的更成熟的指令集架构做出反应？

AV1 解码器 Dav1d 首个版本发布，开发者称 Dav1d 在现代桌面上非常快，在移动芯片上更快。AV1 或 AOMedia Video Codec 1.0 是 Alliance for Open Media（AOMedia） 在今年早些时候释出的开源免专利编解码器，而 AOMedia 是由亚马逊、ARM、思科、Facebook、Google、英特尔、英伟达、Mozilla、 Netflix、微软、Adobe、AMD、苹果等知名科技公司组建的联盟。在 AOMedia 的资助下，开源社区 VideoLAN、VLC 和 FFmpeg 开发了新的解码器 dav1d，代码托管在 VideoLAN 上，它支持 x86、x64、ARMv7 和 ARMv8，能运行在 Windows、Linux、macOS、Android 和 iOS 系统上，采用 BSD 授权。

Android Studio 的官方 Android 模拟器被发现开始支持 Fuchsia 的 Zircon 内核。Fuchsia 是Google 正在开发替代 Android 的新操作系统，它没有使用 Linux 内核，而是使用名叫 Zircon 的微内核，设计能运行在手机和 PC 上。暂时还不清楚 Google 对 Fuchsia 究竟有何计划。但从目前的迹象看 Google 可能会在未来抛弃 Linux 内核。

HardenedLinux 写道 "继MIT的Sanctum之后，第二个基于RISC-V硬件架构的飞地可信计算开放解决方案Keystone Enclave终于发布了第一个版本，这个版本主要包含用于信任链条原型测试的bootrom，用于测试的busybear-linux，RISCV的GNU工具链，包含Keystone驱动的linux内核，基于riscv-pk实现的运行于机器模式的安全监控器，开发包和特权模式的运行时以及demo， 目前Keystone在QEMU，FireSim以及HiFive Unleashed平台上都可以完成基础测试。RISC-V处理器要完整应用Keystone需要做少量修改实现信任根，另外硬件生产过程中所面临的硬件熵相关的PUF方案以及key管理的挑战Sanctum已经有所考虑，Keystone社区未来会持续改进。Sanctum/Keystone作为开放的飞地可信计算方案是很好的开端，中长期可以在一些场景中替代连GCP都未启用的不可审计的Intel SGX，虽然L1TF的曝光让Intel SGX神话的破灭，但开放的飞地方案并不代表安全，开放方案仅仅是带来了可审计性，而RISC-V最大的优势在于可审计性，这也是HardenedLinux社区一直都在推动基于coreboot的RISC-V自由固件的原因。"

在 Microsoft Connect(); 2018 会议上，微软宣布了 Visual Studio 2019 Preview 1，VS 编译器套件下一个大更新的首个预览版本。感兴趣的用户现在就可以下载。微软还发布了 .NET Core 2.2 正式版和 .NET Core 3.0 Preview 1。微软还同时宣布了开源三个 Windows UX 框架：Windows Presentation Foundation (WPF)，Windows Forms 和 Windows UI XAML Library (WinUI)。源代码采用 MIT 许可证发布在 GitHub 上。微软表示它目前不接受跨平台补丁，它建议开发者创建相应的分支，而不是将补丁递交到主线，比如 WPF-Linux 或 WPF-MacOS。

Nvidia 宣布将在 3-Clause BSD 许可证下开源它的 PhysX SDK。PhysX 曾是 Nvidia 私有的物理引擎，被用于受争议的图形中间件 Nvidia GameWorks。PhysX 的主要竞争对手是 Havok。新版本 PhysX SDK 4.0 将在 12 月 20 日发布。感兴趣的开发者现在就可以去 GitHub 下载旧版本 PhysX SDK 3.4。