2019年4月

据外媒 Neowin 报道,网络钓鱼并不是一个关于网络安全的新话题,尽管经常会发现新的和创造性的方法来实施这种做法。其中一种方式是新发现并巧妙地被命名为“盗梦空间栏”的网络钓鱼方法。

由开发人员 James Fisher 提供,这个相当简单的技巧已在 Chrome 移动版中得到证明,并利用了浏览器在地址栏方面的行为。当用户向下滚动时,为了给网页留出更多空间,Chrome 会隐藏地址栏,而这正是这个所谓的“盗梦空间栏”的用武之地。

如上所述,概念证明使用汇丰网站作为用户所在的真实网站的替代品。这是通过 Fisher 称之为“滚动监狱”的东西来完成的,其中页面的整个内容被困在一个带有 overflow:scroll 的新元素中,从而在浏览器中创建一种浏览器 —— 对 2010 年的《盗梦空间》的“梦中梦”的概念的引用。虚假地址栏甚至可以进行交互。

为了创造一个更精细的错觉,开发人员表示,具有恶意意图的人可能会在“滚动监狱”的顶部添加“非常高的填充元素”。这样做是为了防止 Chrome 在用户向上滚动时重新显示地址栏的正常行为。实际上,这看起来像页面刷新。

虽然通过简单地导航到 Chrome 的一个菜单就可以打破错觉,但这仍然被认为是一种令人不安的实施网络钓鱼攻击的方式。

来源:cnBeta.COM

更多资讯

涉案金额 2.3 亿 春节档电影侵权盗版系列专案侦破

公安部今天在江苏扬州召开新闻发布会,通报公安部部署开展打击春节档电影侵权盗版违法犯罪活动、成功办“2·15”系列专案工作情况。今年春节期间《流浪地球》《飞驰人生》《疯狂的外星人》等几部热播电影上映后,出现了大规模盗版,不仅严重侵害了影视作品制作方、出品人的合法权益,而且严重影响了我国影视行业提质升级发展。

来源: 央视财经

详情: http://t.cn/ESI1T1M

法国新区块链法规定银行不能随意拒绝为虚拟货币初创公司提供服务

据外媒报道,在发达国家中,法国对加密货币和区块链公司监管的新做法可以说是前卫的。或许最引人注目的例子就是,法国金融市场监管机构(AMF)起草的监管框架,其目的是消除此类初创企业长期以来面临的一个争议点:银行关系。

来源: cnBeta.COM
详情: http://t.cn/ESI1u95

iPod 之父:苹果屏幕时间功能存在很多漏洞和不足

4 月 29 日消息,据国外媒体报道,苹果近日在屏幕时间应用方面陷入了麻烦之中,其被外媒报道对大量的第三方这一类应用进行了限制,部分还被其从 App Store 中移除,部分开发商认为苹果此举是为了打压竞争对手,以扶持自家的屏幕时间控制功能,两款应用的开发商还因此而将苹果投诉至欧盟的竞争办公室。

来源: TechWeb

详情: http://t.cn/ESI1Dkh

GoDaddy 宣布移除 1.5 万个涉嫌销售假冒产品的欺诈子域名

网络托管服务提供商和域名注册商 GoDaddy 宣布已删除下架超过 15000 个子域名。这些子域名被黑客用于发送垃圾邮件,向消费者出售假冒伪劣产品。用户通常会收到各种宣传产品的垃圾邮件,如果受害者点击这些电子邮件中的链接,就会跳转访问托管在合法网站下的子域名,在该网站合法所有者不知情的情况下牟取利益。

来源: cnBeta.COM

详情: http://t.cn/ESIBZxB

(信息来源于网络,安华金和搜集整理)

一份 Informa Engage 和 Data Center Knowledge 的报告调查发现,在数据中心工作的人很满意他们的工作,因此他们将会鼓励他们的孩子从事这份工作。

Thinkstock

一份由 Informa Engage 和 Data Center Knowledge 主导的调查报告显示,数据中心的工作者总体上对他们的工作很满意。尽管对时间和大脑的要求很高,但是他们还是鼓励自己的孩子能从事这项工作。

总体满意度非常好,72% 的受访者普遍同意“我喜欢我目前的工作”这一说法,三分之一的受访者则表示非常同意。75% 的人同意声明,“如果我的孩子、侄女或侄子问,我将建议他们进入 IT 行业。”

在数据中心工作的员工之中,有一种很重要的感觉,88% 的人觉得他们自己对于雇主的成功非常重要。

尽管存在一些挑战,其中最主要的是技能和认证的缺乏。调查的受访者认为缺乏技能是最受关注的领域。只有 56% 的人认为他们需要完成工作所需的培训,74% 的人表示他们已经在 IT 行业工作了十多年。

这个行业提供认证计划,每个主要的 IT 硬件供应商都有,但是 61% 的人表示在过去的 12 个月里他们并没有完成或者重新续订证书。有几个原因:

三分之一(34%)说是由于他们工作的组织缺乏培训预算,而 24% 的人认为是缺乏时间,16% 的人表示管理者认为不需要培训,以及另外 16% 的人表示在他们的工作地点没有培训计划。

这并不让我感到惊讶,因为科技是世界上最开放的行业之一,在那里你可以找到培训和教育材料并自学。已经证实了许多程序员是自学成才,包括行业巨头比尔·盖茨、史蒂夫·沃兹尼亚克、约翰·卡马克和杰克·多尔西。

数据中心工作者们的薪水

数据中心工作者不会抱怨酬劳。当然,大部分不会。50% 的人每年可以赚到 $100,000 甚至更多,然而 11% 的人赚的少于 $40,000。三分之二的受访者来自于美国,因此那些低端收入人士可能在国外。

有一个值得注意的差异。史蒂夫·布朗是伦敦数据中心人力资源的总经理,他说软件工程师获得的薪水比硬件工程师多。

布朗在这篇报道中说,“数据中心软件工程方面的工作可以与高收入的职业媲美,而在物理基础设施——机械/电气方面的工作——情况并非如此。它更像是中层管理。”

数据中心的专业人士仍然主要是男性

最不令人惊讶的发现?10 个受访者中有 9 个是男性。该行业正在调整解决性别歧视问题,但是现在没什么改变。

这篇报告的结论有一点不太好,但是我认为是错的:

“随着数据中心基础设施完成云计算模式的过渡,软件进入到容器和微服务时代,数据中心剩下来的珍贵领导者——在 20 世纪获得技能的人——可能会发现没有任何他们了解的东西需要管理,也没有人需要他们领导。当危机最终来临时,我们可能会感到震惊,但是我们不能说我们没有受到警告。"

我说过了很多次,数据中心不会消失


via: https://www.networkworld.com/article/3389359/most-data-center-workers-happy-with-their-jobs-despite-the-heavy-demands.html

作者:Andy Patrizio 选题:lujun9972 译者:arrowfeng 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

在之前的该系列的部分中,你学习了有关目录访问目录的权限是如何工作的。你在这些文章中学习的大多数内容都可应用于文件,除了如何让一个文件变成可执行文件。

因此让我们在开始之前先解决这个问题。

不需要 .exe 扩展名

在其他操作系统中,一个文件的性质通常由它的后缀决定。如果一个文件有一个 .jpg 扩展,操作系统会认为它是一幅图像;如果它以 .wav 结尾,它是一个音频文件;如果它在文件名末尾以 .exe 结尾,它就是一个你可以执行的程序。

这导致了严重的问题,比如说木马可以伪装成文档文件。幸运的是,在 Linux 下事物不是这样运行的。可以确定的是,你可能会看到有些可执行文件是以 .sh 结尾暗示它们是可执行的脚本,但是这大部分是为了便于人眼找到文件,就像你使用 ls --color 将可执行文件的名字以亮绿色显示的方式相同。

事实上大多数应用根本没有扩展名。决定一个文件是否是一个真正程序的是 x (指可执行的)位。你可以通过运行以下命令使任何文件变得可执行,

chmod a+x some_program

而不管它的扩展名是什么或者是否存在。在上面命令中的 x 设置了 x 位,a 说明你为所有用户设置它。你同样可以为一组用户设置成拥有这个文件(g+x),或者只为一个用户——拥有者——设置 (u+x)。

尽管我们会在该系列之后的部分包含从命令行创建和运行脚本的内容,并学习通过输入它的路径并在结尾加上程序名的方式运行一个程序:

path/to/directory/some_program

或者,如果你当前在相同目录,你可以使用:

./some_program

还有其他方式可以使你的程序在目录树的任意位置运行 (提示:查询 $PATH 环境变量),但是当我们讨论 shell 脚本的时候你会读到这些。

复制、移动、链接

明显地,从命令行修改和处理文件有很多的方式,而不仅仅是处理它们的权限。当你试图打开一个不存在的文件是,大多数应用会创建一个新文件。如果 test.txt 当前并不存在,下列命令:

nano test.txt
vim test.txt

nanovim 是流行的命令行文本编辑器)都将为你创建一个空的 test.txt 文件来编辑。

你可以通过 “触摸” (touch)来创建一个空的文件,

touch test.txt

会创建一个文件,但是不会在任何应用中打开它。

你可以使用 cp 来拷贝一个文件到另一个位置,或者使用一个不同的名字:

cp test.txt copy_of_test.txt

你也可以拷贝一堆文件:

cp *.png /home/images

上面的命令拷贝当前目录下的所有 PNG 文件到相对你的主目录下的 images/ 目录。在你尝试之前 images/ 目录必须存在, 不然 cp 将显示一个错误。同样的,警惕,当你复制一个文件到一个已经包含相同名字的文件的目录时,cp 会静默地用新文件覆盖老的文件。

你可以使用:

cp -i *.png /home/images

如果你想要 cp 命令在有任何危险时警告你 (-i 选项代表交互式的)。

你同样可以复制整个目录,但是为了做到这样,你需要 -r 选项:

cp -rv directory_a/ directory_b

-r 选项代表递归,意味着 cp 会向下探索目录 directory_a,复制所有的文件和子目录下内部包含的。我个人喜欢包含 -v 选项,因为它使 cp 冗长而啰嗦,意味着它会显示你当前它正在做什么而不是仅仅静默的复制然后存在。

mv 命令移动东西。也就是说,它移动文件从一个位置到另一个位置。最简单的形式,mv 表现的更像 cp

mv test.txt new_test.txt

上面的命令使 new_test.txt 出现,test.txt 消失。

mv *.png /home/images

移动当前目录下所有的 PNG 文件到相对于你的主目录的 images/ 目录。同样的你必须小心你没有意外的覆盖已存在的文件。使用

mv -i *.png /home/images

如果你想站在安全的角度,你可以使用与 cp 相同的方式。

除了移动与拷贝的不同外,另一个 mvcp 之间的不同是当你移动目录时:

mv directory_a/ directory_b

不需要添加递归的标志。这是因为你实际做的是重命名一个目录,与第一个例子相同,你做的是重命名文件。实际上,即使你从一个目录到另一个目录 “移动” 一个文件,只要两个目录在相同的存储设备和分区,你就是在重命名文件。

你可以做一个实验来证明。 time 是一个工具来让你测量一个命令花费多久来执行。找一个非常大的文件,可以是几百 MB 甚至 几 GB (例如一个长视频),像下方这样尝试拷贝到另一个目录:

$ time cp hefty_file.mkv another_directory/
real 0m3,868s
user 0m0,016s
sys 0m0,887s

下面是 time 的输出。需要关注的是第一行, real 时间。它花费了几乎 4 秒来拷贝 355 MB 的 hefty_file.mkvanother_directory/ 目录。

现在让我们尝试移动它:

$ time mv hefty_file.mkv another_directory/
real 0m0,004s
user 0m0,000s
sys 0m0,003s

移动几乎是瞬时的!这是违反直觉的,因为看起来 mv 必须复制这个文件然后删除原来的。这是 mv 对比 cp 命令必须做的两件事。但是,实际上,mv 快了 1000 倍。

这是因为文件系统结构中,它的所有目录树,只为了让用户便利而存在。在每个分区的开始,有一个称作分区表的东西告诉操作系统在实际的物理磁盘上去哪找每个文件。在磁盘上,数据没有分为目录甚至是文件。作为替代的是轨道、扇区和簇。当你在相同分区 “移动” 一个文件时,操作系统实际做的仅仅是在分区表中改变了那个文件的入口,但它仍然指向磁盘上相同的簇信息。

是的!移动是一个谎言!至少在相同分区下是。如果你试图移动一个文件到一个不同的分区或者不同的设备, mv 仍然很快,但可以察觉到它比在相同分区下移动文件慢了。这是因为实际上发生了复制和清除数据。

重命名

有几个不同的命令行 rename 工具。没有一个像 cpmv 那样固定,并且它们工作的方式都有一点不同,相同的一点是它们都被用来改变文件名的部分。

在 Debian 和 Ubuntu 中, 默认的 rename 工具使用 正则表达式(字符组成的字符串模式)来大量的改变目录中的文件。命令:

rename 's/\.JPEG$/.jpg/' *

将改变所有扩展名为 JPEG 的文件为 jpg。文件 IMG001.JPEG 变成 IMG001.jpgmy_pic.JPEG 变成 my_pic.jpg,等等。

另一个 rename 版本默认在 Manjaro 上可获得,这是一个 Arch 的衍生版,更简单,但是可能没有那么强大:

rename .JPEG .jpg *

这和你之前看到的上面做相同的重命名操作。在这个版本,.JPEG 是你想改变的字符组成的字符串,.jpg 是你想要改变成为的,* 表示当前目录下的所有文件。

基本原则是如果你所做的仅仅是重命名一个文件或者目录,你最好用 mv,这是因为 mv 在所有分发版上都是可靠一致的。

了解更多

查看 mvcp 的 man 页面了解更多。运行

man cp

或者 man mv

来阅读这些命令自带的所有选项,这些使他们使用起来更强大和安全。


via: https://www.linux.com/blog/2018/8/linux-beginners-moving-things-around

作者:Paul Brown 选题:lujun9972 译者:warmfrog 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

Ubuntu 19.04 “Disco Dingo” 已经发布,可以下载了。虽然我们已经知道 Ubuntu 19.04 中的新功能 —— 我将在下面提到一些重要的地方,还会给出官方的下载链接。

Ubuntu 19.04:你需要知道什么

以下是你应该了解的有关 Ubuntu 19.04 Disco Dingo 发布的一些内容。

Ubuntu 19.04 不是 LTS 版本

与 Ubuntu 18.04 LTS 不同,它不会支持 10 年。相反,非 LTS 的 19.04 将支持 9 个月,直到 2020 年 1 月。

因此,如果你有生产环境,我们可能不会立即建议你进行升级。例如,如果你有一台运行在 Ubuntu 18.04 LTS 上的服务器 —— 只是因为它是一个新的版本就将它升级到 19.04 可能不是一个好主意。

但是,对于希望在计算机上安装最新版本的用户,可以尝试一下。

Ubuntu 19.04 对 NVIDIA GPU 用户是个不错的更新

Martin Wimpress(来自 Canonical)在 Ubuntu MATE 19.04(Ubuntu 版本之一)的 GitHub 的最终发布说明中提到 Ubuntu 19.04 对 NVIDIA GPU 用户来说特别重要。

换句话说,在安装专有图形驱动时 —— 它现在会选择与你特定 GPU 型号兼容最佳的驱动程序。

Ubuntu 19.04 功能

尽管我们已经讨论过 Ubuntu 19.04 Disco Dingo 的最佳功能,但值得一提的是,我对本次发布的主要变化:桌面更新 (GNOME 3.32) 和 Linux 内核 (5.0)感到兴奋。

从 Ubuntu 18.10 升级到 19.04

显而易见,如果你安装了 Ubuntu 18.10,你应该升级它。18.10 将于 2019 年 7 月停止支持 —— 所以我们建议你将其升级到 19.04。

要做到这一点,你可以直接进入“软件和更新”设置,然后选择“更新”选项卡。

现在将选项从“通知我新的 Ubuntu 版本” 变成 “任何新版本都通知我”。

现在再次运行更新管理器时,你应该会看到 Ubuntu 19.04。

从 Ubuntu 18.04 升级到 19.04

建议不要直接从 18.04 升级到 19.04,因为你需要先将操作系统更新到 18.10,然后再继续升级到 19.04。

相反,你只需下载 Ubuntu 19.04 的官方 ISO 映像,然后在你的系统上重新安装 Ubuntu。

Ubuntu 19.04:所有版本都可下载

根据发行说明,现在可以下载 Ubuntu 19.04。你可以在其官方发布下载页面上获取种子或 ISO 文件。

如果你需要不同的桌面环境或需要特定的东西,你应该查看 Ubuntu 的官方版本:

上面提到的一些 Ubuntu 版本还没有在页面提供 19.04。但你可以仍然在 Ubuntu 的发行说明网页上找到 ISO。就个人而言,我使用带 GNOME 桌面的 Ubuntu。你可以选择你喜欢的。

总结

你如何看待 Ubuntu 19.04 Disco Dingo?这些新功能是否足够令人兴奋?你试过了吗?请在下面的评论中告诉我们。


via: https://itsfoss.com/ubuntu-19-04-release/

作者:Ankush Das 选题:lujun9972 译者:geekpi 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

二月初春,在西子湖畔的细雨中,我拜访了蚂蚁金服中间件团队,和 SOFA 技术负责人鲁直做了一次深入交谈,更妙的是,鲁直也是负责 SOFA 开源事务推进的人,而这样一个切实践行开放核心模式的开源项目,也正是我非常感兴趣的。

两个技术人的谈话,自然是朴实而直白的,话题主要围绕着 SOFA 和开源主题展开,希望也能一样引起同是技术人的你的共鸣。

人物介绍

受访者:鲁直,蚂蚁金服 SOFA 开源负责人。

采访者:老王,开源布道人,有 20 年互联网从业经历的技术老兵。

虽然我和鲁直在微信上已经联系很久了,但这还是第一次见面。交谈中,我了解到鲁直是 2009 年加入阿里巴巴工作,已经有十年了。刚开始是在 1688.COM 做业务系统,对中间件技术非常感兴趣,也会经常研究各种中间件的实现和功能。后来在 2013年时,为了更深入地学习研究中间件框架,转到了蚂蚁金服中间件团队,从那个时候开始就一直在做 SOFA。

目前鲁直在 SOFA 的团队主要负责的工作包括几个部分。其中一个主要部分就是 SOFA 开源相关的工作。SOFA 的产品体系非常广,包括已经对外开源的部分、内部整个微服务体系,以及 SOFA 框架等等——而这些开源相关的工作主要是由鲁直负责推动的。

当然,作为技术负责人,鲁直既要带技术团队也要做技术工作。谈及这一点,鲁直说:

“我觉得做技术管理,跟普通的管理不太一样,因为技术管理最重要的一个点是除了管理之外,还要保持一定的技术判断力和敏锐度。对一些新技术,包括团队中遇到一些重大的技术问题,你都要有一些方向性的判断。虽然最后不一定是你具体解决的,但是在整个团队的技术攻坚和技术选型上,要一起确立方向。”

我以前也做过十余年的技术管理,我很能够感受这种情况,重大问题技术负责人更要迎难而上。

SOFA 5 落子 Service Mesh

就我了解的情况,现在 SOFA 已经发展到了 SOFA5 了。在 SOFA4 阶段,主要的任务是将开源体系捋清楚了,然后开始按步骤地开源;到现在发展到了 SOFA5。我想知道从 SOFA4 发展到 SOFA5,是什么让蚂蚁金服中间件团队判断 SOFA4 的阶段性目标已经达成,可以迈进到新的 SOFA5 阶段了呢?

“从整个业界趋势上来讲,SOFA4 的架构相对来说还是偏传统一些,更多是对我们之前的技术框架的整理和梳理。在这个阶段,SOFA 的代码经过了非常多的优化和重构,才达到了对外开源的要求,从而 SOFA 走上了开源核心的模式,逐步分阶段的将各个部分进行了开源。”鲁直讲到,“但是,从我们对业界的整体判断上来说,未来无疑是云的时代,所以说要考虑怎么让所有的业务系统能够提供云的能力,比如说 Serverless。”

接着这个话题,鲁直讲了他对云计算的理解:“一方面云计算肯定要为整个业务的发展提供更加方便的基础资源,可以不用去关心底层的基础设施。Serverless 字面的意思就是说‘无服务器’——我不用关心服务器怎么来的,不用关心基础设施,只要关心业务代码就可以了。那反过来对于云服务商来说,经过了这一层抽象,其资源利用率会更高,可以有更多的利润空间,这是一个双赢的局面。对于用户来讲,这种好处是实实在在的,可以更少关注基础设施,只关心代码就可以了。

“我们希望在 SOFA5 的方向上,在这个新的迭代中,去让业务——包括让未来我们开源出来各种功能、各样服务模式——都更多地去关心自己的业务代码,而不用再过多地关心基础设施。”鲁直说。

在 SOFA5 中,一个重要的方向就是 Service Mesh 这个方向,这将是 SOFA5 中非常重要的特性。鲁直强调了其对 Service Mesh 技术的看好:“我认为 Service Mesh 是迈向未来往前走的非常关键的一步,让业务不用再关心基础设施。通过 Service Mesh,我们可以将很多技术能力直接放到基础设施里面,而业务可以不用感知到这一层。原来可能需要花几个小时或者更多的时间解决的基础设施问题,现在可以通过 Service Mesh 解决掉。”

“目前我们我们已经在生产环境中应用了 Service Mesh。我们在这方面有非常大的决心,我们希望能够在今年,在更大的范围中去落地 Service Mesh。当前这个阶段更聚焦在这种技术的内部落地上,希望用好了,再给社区做更多的贡献。”

Service Mesh 这个词最早是由开发 Linkerd 的 Buoyant 公司于 2016 年提出的,随着 Linkerd 的传入,Service Mesh 也进入国内技术社区的视野。Service Mesh 也被翻译为“服务网格”。Linkerd 则是业界第一个 Service Mesh。

Service Mesh 是一个基础设施层,用于处理服务间通信,负责实现请求的可靠传递。在实践中,服务网格通常实现为轻量级网络代理,通常与应用程序部署在一起,但是对应用程序透明。

Service Mesh 的部署模型,有两种情况:

  • 对于一个简单请求,作为请求发起者的客户端应用实例,会首先用简单方式将请求发送到本地的 Service Mesh 实例。这是两个独立进程,它们之间是远程调用。Service Mesh 会完成完整的服务间调用流程,如服务发现负载均衡,最后将请求发送给目标服务。这就是 Sidecar,它在原有的客户端和服务端之间加多了一个代理。
  • 多个服务调用的情况,Service Mesh 出现在所有的服务的下面,这一层被称之为服务间通讯专用基础设施层。Service Mesh 会接管整个网络,把所有的请求在服务之间做转发。在这种情况下,上面的服务不再负责传递请求的具体逻辑,只负责完成业务处理。服务间通讯的环节就从应用里面剥离出来,呈现出一个抽象层。

如果有大量的服务,Sidecar 之间的连接就会形成一个网络,这个就是服务网格名字的由来。

“我们将以 Service Mesh 为跳板再往前走。”鲁直表示,“Serverless 更多的还是应该聚焦在其字面本身,其含义就是‘无服务器’,后面的技术都是为了让无服务器承载具体的业务。

Serverless 这个概念虽然提出来已经有几年了,目前 AWS 在 Serverless 和 FaaS 方面处于比较前沿的位置,但是在国内,Serverless、FaaS 这些技术的发展还是相对比较滞后。

鲁直指出,“我觉得 Serverless 想要成功,还是要从覆盖业务的整个广度上打开,否则可能还是停留在 FaaS 上,那场景就比较受限。”

Service Mesh 将是微服务的下一个时代,关于它还在持续进行理论研究和实践探索。

鲁直说:“坦白来讲,我觉得 istio 的理念非常好,但是在整个工程设计上,如果放到蚂蚁金服这样体量较大的环境里面,可能跑起来还需要做一些工作。我们希望今年 Service Mesh 在蚂蚁金服有了更大规模落地之后,可以把我们在 Service Mesh 方面的一些实践经验用到产品环境的工程中去实践,然后贡献出去。目前更多的一些工作,是将整个体系上进一步完善,铺到更多业务上,然后将这些经验反哺到整个 Service Mesh 的设计上,让它走的更远。”

也就是说,蚂蚁金服在 Service Mesh 上跟 istio 的技术路线是一致的,但是会从工程的角度更多地推动它的发展。

我们希望能够在我们进行了生产验证之后,再慎重地推送给开源社区。这也是蚂蚁做开源贡献的一贯理念。

鲁直:“我们希望能够在我们进行了生产验证之后,再慎重地推送给开源社区。这也是蚂蚁做开源贡献的一贯理念——我们希望一个东西经过了内部一段时间的成熟之后,再去开源。经过了大规模的内部验证之后,它的稳定性上有了一定的保障,就贡献给外部社区使用,再去拓展更多一些使用场景,包括完善和解决一些之前没有遇到一些问题。”

合力 Seata 分布式事务框架

2007 开始,蚂蚁金服自主研发了分布式事务中间件 XTS,在内部广泛应用并解决金融核心场景下的跨数据库、跨服务数据一致性问题,最终以 DTX 的云产品化展现并对外开放。而与此同时,阿里巴巴中间件团队发布 TXC,为集团内应用提供分布式事务服务,经过多年的技术沉淀,于 2016 年产品化改造为 GTS,通过阿里云解决方案在众多外部客户中落地实施。

2019 年 1 月,基于技术积累,阿里巴巴中间件团队发起了开源项目 Fescar,蚂蚁金服也开源了自己的分布式事务框架,并与 Fescar 合并一起共建分布式事务解决方案。这个发展既在情理之中,也在意料之外,我确实好奇这期间发生了什么,是如何和 SOFA 中间件团队的发展结合的,他们下一步会有什么计划?

鲁直说:“分布式事务是蚂蚁金服在 2007 年做的创新,是基于 TCC 原理,我们在内部实现了这个模式。TCC 理论相对还是比较简单的,但是它要落地,需要花费比较长的工程实现上的打磨才行。分布式事务这个技术在蚂蚁金服已经走过了 12 年的时间了。在蚂蚁金服最核心一些业务上,包括支付、交易、账务等等系统都在使用这套分布式事务框架解决和孵化的。”

在分布式事务这一块领域上,在业界来看目前相对来说比较空白,还没有非常好的分布式事务框架。说起来合并的初衷,鲁直表示,“既然阿里巴巴和蚂蚁金服都在这个方向做了一些开源的工作,所以我们把这两个部分的努力结合起来,取长补短,以适用于更多的分布式事务业务场景,蚂蚁金服加入 Seata 社区共建,在 Seata 0.4.0 版本中加入了 TCC 模式,为大家提供一个更加宽泛的分布式事务的解决方案。”

具体来说,“阿里巴巴的 Seata 提供是 AT 模式,对业务来说,不用有太多感知,但是它覆盖的场景有限,如果可以接受这样的情况,用 AT 模式更好。而蚂蚁金服因为有更强的金融方面的要求,就需要采用 TCC 模式,业务接入成本更高,但是它能做到非常好的分布式执行。未来还会提供像 XA 这样的模式,去适应更宽泛业务场景,这在这一块上,蚂蚁金服和阿里巴巴会结合在一起提供一个融合的框架。”

Seata 为解决微服务架构下的分布式事务问题交出了一份与众不同的答卷。而 Seata 的愿景是让分布式事务的使用像本地事务的使用一样简单和高效,希望可以让 Seata 适用于所有的分布式事务场景。

如何做开源

作为开源核心模式的项目,我希望了解蚂蚁金服中间件的开源一般会做哪些工作,是否有比较完善的流程和规则?

“首先,最基础的肯定是代码,并提供对应的示例,然后我们会提供贡献者指南这样的指引文档,因为本质上我们希望打造成一个开源社区,社区的参与度对我们来说是非常重要的东西,有人会上来提 issue,也有人来解答,有人提功能需求,有人提 PR 等等”,鲁直说。

Linux 中国曾经开发过一个用于测算开源项目活跃度的一个模型,我们认为从过去感性地看一个开源项目是不是活跃,已经开始逐渐进步到通过理性数据评估了,但是这需要排除一些数据作弊的情况,就像之前很多人会用项目的星标数来评估项目的活跃度,这当然很粗糙。我们今年还会继续配合 2019 年度的开源年报,而提供数据支持,到时候我们肯定会给 SOFA 相关的项目做一个考察。希望可以切实地反映出来 SOFA 在开源方面的工作。

从之前的脉络上看,到了 SOFA5,还会继续沿袭开放核心的模式,即:核心部分开源,与本地业务强关联,但是跟核心不是强关联的部分不开源。

从蚂蚁金服自身的实践来看,他们已经切实地践行了开源核心模式。

而对于开源核心模式,有人唱衰,也有人说好,各种观点都有。但从蚂蚁金服自身的实践来看,他们已经切实地践行了开源核心模式,这是我在国内第一个深入了解过的真实落地的开源核心模式项目。

说到开源模式,鲁直表示:“做开源,我觉得首先肯定要做一个心理准备,就是说你要有一个核心部分,再在这个基础上做扩展,在维护的成本上肯定有一定的上升,但是你要接受这样的成本——我觉得这种成本是可以接受的。……项目本身要设计好,具备一定分拆的可能性。如果不具备分拆可能性,那没法做了。像微内核这样的设计方式就会比较适合——就是开源一个核心模块,然后再去扩展,各种模块是可插拔的。”

而对于开源工作是如何做的,鲁直说:“我们没有专门做开源的人,也没有专门做内部代码的人,我们是把这两部分放在一起,既做开源又做内部代码,因为这样一个好处是,既熟悉外部的代码,又熟悉内部的代码,这个边界自己可以把握比较好。我们更多是制定一些规则。比如说跟业务层强相关的部分,你开源出去也没人用;如果说跟业务不相关的,你为什么不开源?因为你开源的这个产品想要做得更好,这些能力开源出去其实没有太大问题,所以一般我们的标准就是看是不是跟内部系统相关,是不是跟业务强相关,如果不相关就可以开源。”

谈话中,鲁直反问的“你为什么不开源?”这句话让我印象深刻。

谈话中,鲁直反问的“你为什么不开源?”这句话让我印象深刻,这其实代表了他们开源的初心,但是从商业者从公司的角度来说,开源有没有给公司带来真正的好处?这不仅仅是情怀的问题,我相信每一个热爱开源的人,其实存在开源情怀或者是更理想化的想法,但是从另一方面来说,无论是从公司的机制上,还是公司的业绩上,开源还是要有实实在在的收益,能够推动公司业务发展才行。作为一个开源项目的负责人,他是怎么感受到开源的好处呢?

对这个问题,显然他有过成熟的思考:

“最直接的好处就是更长效。从眼前看,你的名声出去了招聘是不是也容易找到更合适的人?这是最短期的收益。长期的好处,开源社区里面大家分享了非常多的观点,从实践来看,也是这样。比如说你在一家公司里面去做的话,公司的业务场景是有限的,虽然说蚂蚁金服覆盖了各种各样的业务,金融方面的基本上全覆盖了。但是其他的行业不一定都有,他们遇到这个问题,我们可能并不会遇到,但这些问题可能是未来能够遇到的,如果把一个项目以开源的方式运作,就意味着说,更大的用例场景更容易发现 bug,用的人越多,越有可能会触发这个bug,那对于就是有了进一步完善的可能。

另外,有了这样的一个社区化的发展,有更多人参与进来之后,这个项目可以更快往前发展,而不是只有你自己在。在一家公司里边,团队的人员数量肯定是有限的,而有这么多人来参与,那对于这个项目的往前演进来说有非常大的好处,反过来对公司也会带来更多好处——无论是潜在的还是直接的。

最后,如果你的产品有商业化的支持,比如说其他系统的支撑,也能够更好提供商业化的支持。”

SOFA 开源以来,就我目前了解到的情况,大概已经有 30 家左右的企业用户在使用这套开源框架——就是直接拿开源的部分去用了。当然这主要是国内的用户,那么在国外影响力没有像国内这么大的原因在哪儿呢?是因为我们的项目不够国际化呢,还是知道这个框架的人不够多呢?

鲁直说:“我觉得可能是两方面的原因。一方面,我们的确在国际化方面做的并不是很多,在今年我们会去尝试做更多的国际化工作。另外一方面,更多的是文化方面的差异,大家的思维方式可能不太一样。当然我们会尝试走一下国际化的路线,因为开源本来就是不分国界的。”

进一步,SOFA 在社区治理这方面,“我们希望能够采用和参考 Apache 基金会的方式,这是一个很完善的治理模式,我们会尝试采用这样的方式去社区治理。这对于国际化产品是有很多好处的,它更多强调的是一种治理模式,是不是以社区的方式在运作,是不是在尊重整个社区等等。”鲁直表示,“我们会考虑跟 Apache 基金会、CNCF 进行直接接触,如果合适的话,我们会捐献项目给基金会。如果只是一家商业公司而没有基金会的支持,大家也会有更多的顾虑。把项目捐献给基金会,给大家更多的信心,通过基金会的托管,让更多一些参与方参与,而不只是有蚂蚁金服,大家也会有更大的信心参与进来。”

最后,鲁直希望致语开源社区,“其实蚂蚁金服开源的东西,也不只是 SOFA 中间件框架,未来会开源更多的东西,包括 AI 方面的一些技术,也希望整个社区能够多关注蚂蚁金服在开源上面未来的举措。”

“穿山甲专访”栏目是 Linux 中国社区推出的面向开源界、互联网技术圈的重要领军人物的系列采访,将为大家介绍中国开源领域中一些积极推动开源,谙熟开源思想的技术人,并辨析其思考、挖掘其动因,揭示其背后所发生的事情,为关注开源、有志于开源的企业和技术人标出一条路径。

取名为“穿山甲”寓意有二:取穿山甲挖掘、深入之意来象征技术进步和表征技术领袖的作用;穿山甲是珍稀保护动物,宣传公益。

Big News

根据 BuzzFeed 报道, Google 开始清除 Play Store 中由 DO Global 公司开发的应用程序。此前一项调查显示,DO Global 曾对用户进行广告欺诈,并向用户隐瞒了应用程序的所有权细节。

Do Global 是一家由百度持股(约 34%)的公司,它是目前在谷歌 Play 商店上线应用程序的最大开发者之一。目前 Do Global 公司官网已经关闭所有功能,仅显示一个 Statement 声明。【BuzzFeed】

总是想着在框架内做一些超出规范的事情,来赚取利润,这似乎成为了百度、百度系的标志了。

Quick News

MIT 许可证的神秘历史

红帽工程师 Gordon Haff 在 OpenSource 上发布了一篇文章,说明了为什么 MIT 协议没有办法很容易的说明何时创建的。【OpenSource】

Google 的新项目 Project Euphonia,可能会让手机替人说话。

今年的 Google I/O 大会上,Google 将会推出一个新的帮助残障人士的服务 Project Euphonia,这个项目将用于为语言障碍者提供声音的支持。【9to5Google】

开源面临的 Working For Free 的问题

自由软件工程师,前红帽工程师,现 Tidelift 联合创始人 Havoc Pennington 说,我们需要放弃开源只是慈善事业的观念,并给出了一些如何让开源项目更好的建议。 
【Tidelift】