Elasticsearch 用户都应该重视这个“潜在风险”


各位 Elasticsearch 用户,如果你使用的 Elasticsearch 是直接从官方下载,并且是 6.3 之后的版本,那么按照 Elastic License 的条款,你很可能已经违反了使用许可,Elastic 公司会保留追究权利。 

2021 年 1 月,Elastic 公司宣布将采用 Apache License 2.0 的 Elasticsearch 和 Kibana 的源代码变更为双重许可模式:Elastic License + SSPL。

按照 Elastic License 和 SSPL 的条款,两者对于商用都有严格的要求。

比如,SSPL 针对云服务商提出了严格的限制:“如果您将本程序或修改版的功能作为服务提供给第三方,则必须根据本许可的条款,需要通过网络下载免费向所有人提供服务源代码。” 

Elastic License 虽然允许免费使用、修改、创建衍生作品和重新分发,但有三个基本的限制条件:

  • 不得将产品作为托管服务提供给其他人 
  • 不得规避许可密钥功能或删除/隐藏受许可密钥保护的功能
  • 不得删除或隐藏任何许可协议、版权或其他声明

(来自 https://www.elastic.co/cn/licensing/elastic-license/faq

具体来说,Elastic License 禁止下列操作:

  • 将 Elastic 公司的产品直接作为一项服务对外出售(如 Amazon Elasticsearch Service)
  • 篡改源代码以达到在不订阅的情况下使用 Elastic 付费功能的目的,或者将修改后的版本投入生产之用

(来自:https://www.elastic.co/cn/blog/license-change-clarification

由于双重许可模式从 Elasticsearch 7.11 开始生效,为了规避上述限制,许多人会选择使用不受影响的 7.10.2 及更早的版本。

如果用户直接从官方下载了上述版本的免费 Elasticsearch 发行版,并且基于 Elasticsearch 向第三方提供服务,那么按照 Elastic License 的条款,这已经违反了使用许可,Elastic 会保留追究权利。

因为从 Elasticsearch 6.3 开始,原本闭源的「X-Pack」功能开放了源代码——采用 Elastic License,并被默认打包到发行版里面。

所以,从 6.3 起的所有免费发行版都包含了一个使用 Elastic License 的组件:X-Pack。根据 Elastic License 的条款,X-Pack 隐藏着“潜在风险”。

因为无论你是否使用 X-Pack,你下载的 Elasticsearch 都包含了该组件,如果基于该 Elasticsearch 向第三方提供服务。根据 Elastic License 的限制,这已经违反了许可,所以 Elastic 公司会保留追究权利。

前文提到,这是一种“潜在风险”。之所以称为“潜在风险”,是因为到目前为止,尚未出现因 X-Pack 使用的 Elastic License 而出现纠纷的案例。

此外,根据开源专家的介绍,即使用户下载的 Elasticsearch 发行版包含了 X-Pack,并且它采用的是 Elastic License。如果用户没有启用它,那就无需遵循 License 的条款。而 X-Pack 正好是没有默认启用的功能——需要用户手动开启。

如果用户手动启动了 X-Pack,将被视为接受 Elastic License。所以这名开源专家认为,默认情况下,用户使用 6.4 到 7.10 版本,依旧是只需遵循 Apache License 2.0。

可以看到,「X-Pack」是导致问题的重要成因。如果要规避此“潜在”问题,要么遵循 Elastic License 许可,要么可以选择自行从 Elasticsearch 源代码构建不包含 X-Pack 的版本。当然,还可以考虑使用其他开源替代方案。。


相關推薦

2023-11-04

OpenJS 基金会公布了一项基于 IDC 调查的最终用户审计结果显示,十亿个网站中有四分之三的网站正在使用过时的软件,并且其中大多数网站都会收集个人和财务信息。超过三分之一的受访者证实,在过去 24 个月中曾经历过安全

2024-02-16

2 月 14 日消息,当地时间周二,OpenAI CEO 阿尔特曼在迪拜举行的世界政府峰会上通过视频电话致辞,其呼吁建立一个国际性的机构(类似国际原子能机构)来监督 AI 发展。 “我经常以国际原子能机构为例,将其作为处理最强大

2024-07-31

放性的政策支持,同时也建议政府对强大的 AI 模型中的潜在风险进行积极监控。 这份由美国商务部国家电信和信息管理局(NTIA)撰写的报告认为,“open-weight(开放权重)”模型通过允许开发人员在以前的工作基础上进行构建

2023-09-08

你更加轻松地决定首先从什么起步。 你在项目中的存在应该是具有成效的,且不应该阻止其他具有成效的工作。 请保持礼貌和友好,避免使用煽动性或冒犯性语言 总而言之,就是”善待他人“。这是我们为任何开始做开

2023-07-08

admin 在线体验-企业版 http://demo.sqle.actionsky.com:8889 用户:admin    密码:admin   二、新版本主要功能介绍 【社区版】 优化项目概览页面 本期 SQLE 为用户提供了全新的项目概览页面,能够从更多维度更加直

2023-10-09

ows 11重大更新的一部分,微软今天推出了密钥支持功能。用户将能使用设备PIN或生物识别信息登录网站和应用,而无需提供用户名和密码。【Microsoft is Rolling out Support for Passkeys in Windows 11 (thehackernews.com)】 2.黑客利用零点字体伪

2023-07-18

已经离开了 Canonical,但 Graber 表示自己仍将是 LXD 的活跃用户,并可能会继续提交 issue 以及偶尔进行一些修复功夫。但他不会签署 Canonical 的 CLA,如果无法避免的话,他就会停止贡献。 与此同时,Graber 还宣布辞去了 Ubuntu Release

2023-03-22

决方案迈进。您可以借助夜莺 V6,接入和管理 Prometheus、ElasticSearch、Jaeger 多种数据源,实现数据的统一可视化、告警和分析。 🚀 可以在页面管理数据源了 无需修改配置文件里的Clusters配置了,直接在页面就可以管理了。除

2023-05-16

2021 年初,开源搜索和数据分析引擎 Elasticsearch 背后的母公司——Elastic 宣布变更 Elasticsearch 和 Kibana 的开源许可证,将原本的 Apache License 2.0 变更为双授权许可,即 Server Side Public License (SSPL) + Elastic License,两者都不是符合 OSI 定

2024-02-24

Elasticsearch 是一个基于 Lucene 库的搜索引擎。它提供了一个分布式、支持多租户的全文搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 基于 Java 开发,并在 SSPL + Elastic License 双重授权许可下作为开源软件发布。 Elasticse

2023-12-17

个不小的挑战。此外,关于Oxlint的性能提升,有观点认为应该深入分析ESLint存在的性能瓶颈,并进行针对性优化,而不是简单地通过更换工具来解决问题。 在这样的背景下,Oxlint的出现无疑给JavaScript和TypeScript的开发者们提供

2024-05-07

Elasticsearch 是一个基于 Lucene 库的搜索引擎。它提供了一个分布式、支持多租户的全文搜索引擎,具有 HTTP Web 接口和无模式 JSON 文档。Elasticsearch 基于 Java 开发,并在 SSPL + Elastic License 双重授权许可下作为开源软件发布。 Elasticse

2021-12-01

今年 1 月,Elastic 公司把 Elasticsearch 和 Kibana 的源代码,由 Apache 2.0 许可授权变更为双重许可模式,即 SSPL 1.0 和 Elastic 许可。二者都没有获得 OSI 的开源认证。  对此,开源社区非常不满。为 Elasticsearch 做出贡献的开发人员

2024-03-13

有着至关重要的影响。理论上,数据越丰富,大模型精准用户画像的能力越强,在信贷审批等方面识别风险的准确度就越高。然而,随着越来越多的数据被共享,隐私能否被有效保护就成了新的风险挑战。值得强调的是,金融数