Adobe 设想的是为网络上充斥的照片和视频标注关于它们的来源。该公司的主要目标是减少视觉错误信息的传播，不过，该系统也可以使那些“希望将自己的名字与工作关联起来”的内容创作者受益。

Adobe 在 2019 年首次宣布了其 内容真实性计划 Content Authenticity Initiative （CAI）项目，此后，它发布了一份关于实现该目标的技术白皮书，将该系统集成了到自己的软件中，并与新闻编辑室和硬件制造商展开了合作，以帮助普及其愿景。

现在，该公司发布了一个由三部分组成的开源工具包，从而把该技术交到开发人员手中，并投入使用。Adobe 的新开源工具包括一个用于开发“在浏览器中显示内容凭据”的 JavaScript SDK、一个命令行实用程序，和一个用于开发桌面应用程序、移动应用程序和其他应用的 Rust SDK，以创建、查看和验证嵌入式内容凭据。

众所周知，照片的 EXIF 数据中记录了有关光圈和快门速度的信息，这个新标准也采用了这种方式，它还记录有关文件创建的信息，例如文件的创建和编辑方式。如果该公司的共同愿景成真，这些 Adobe 称之为“内容凭证”的元数据，将在社交媒体平台、图像搜索平台、图像编辑器、搜索引擎中广泛可见。

C2PA 是 Adob​​e 的 CAI 与 微软、索尼、英特尔、推特以及 BBC 等合作伙伴的合作成果。华尔街日报、尼康和美联社最近也加入了 Adob​​e 的这个计划，即将 内容认证技术 content authentication 更加广泛地应用。

有了这些新工具，社交媒体平台就可以使用 Adob​​e 的 JavaScript SDK，快速让平台上的所有图像和视频显示内容凭据，这些凭据将会在鼠标悬停时，显示为右上角的一个图标。因此，无需专门的团队和更大的软件构建，该实施可以由几个开发人员在几周内完成。

CAI 的主要目标是打击互联网上的视觉错误信息，比如那些扭曲乌克兰战争的旧图片的重新传播，或是臭名昭著的南希·佩洛西的“廉价假货”。不过，数字监管链也可能使“作品被盗或出售”的内容创作者受益，这个问题多年来一直困扰着视觉艺术家，现在也正在 NFT 市场引发问题。

根据 Parsons 的说法，CAI 还引起了那些“制作合成图像和视频”的公司的巨大兴趣。公司可以将原始元数据嵌入到我们从 DALL-E 等模型中看到的那种 AI 创作中，从而确保它提供的合成图像不会轻易被误认为是真实的东西。

via: https://www.opensourceforu.com/2022/06/adobe-launches-open-source-toolkit-to-contain-visual-misinformation/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Fedora 安装之后稍作一些简单优化和配置，就可以愉快的使用了。

Fedora 是红帽系发行版中最激进的发行版。不少朋友将使用 Fedora 的人看做是红帽的小白鼠。但是 Fedora 超快的更新速度其实也为开发者提供了不少便利。本文介绍了安装 Fedora 36 后一些简单的设置，可以使你的 Fedora 更加易用一些。

1、设置软件源

Fedora 默认使用 Metalink 给出推荐的镜像列表，保证用户使用的镜像仓库足够新，并且能够尽快收到安全更新，从而提供更好的安全性。所以通常情况下使用默认配置即可，无需更改配置文件。

不过，由于 Metalink 需要从国外的 Fedora 项目服务器上获取元信息，所以对于校园内网、无国外访问等特殊情况，Metalink 并不适用，此时可以参照清华大学 tuna 小组介绍的 方法 来修改软件源。

2、更新系统

激进的发行版就要有激进的用法，因此配置好软件源后第一件事就是执行系统更新、刷新存储库列表是理所当然要做的。

你可以从 GNOME 软件中心执行此操作，或者使用终端操作。

对于终端，只需使用以下命令：

sudo dnf update

可能需要重新启动才能完成系统更新。

3、删除旧的内核以及其他不需要的旧软件包

更新系统之后多半会安装新的内核，以及会出现一些无用的依赖。重新启动系统到新的内核，确保内核运转没有问题了，就可以删除旧内核以及无用的依赖了。

使用以下命令就可以自动删除无用的依赖：

sudo dnf autoremove

Fedora 内核更新快，但是每次更新内核，旧的内核不会自动删除，占用硬盘空间。以前的教程删除旧内核都是先搜索，再移除要删除的版本，输入版本号也非常麻烦。使用以下命令即可一条命令删除旧内核：

sudo dnf remove --oldinstallonly

4、启用 RPM Fusion 软件源

安装 Fedora 时会提示你是否启用其他第三方软件源。

但是自动启用的软件源，只有英伟达驱动程序、谷歌 Chrome 和 Steam 等软件源，全套的 RPM Fusion 软件源并没有自动启用，因此还有诸如 VLC 和 MPV 等软件也不可用。

建议你还是开启全套的 RPM Fusion，国内玩家还是建议使用清华的镜像开启 RPM Fusion：

sudo yum install --nogpgcheck https://mirrors.tuna.tsinghua.edu.cn/rpmfusion/free/fedora/rpmfusion-free-release-$(rpm -E %fedora).noarch.rpm https://mirrors.tuna.tsinghua.edu.cn/rpmfusion/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm

安装成功后，修改 /etc/yum.repos.d/ 目录下以 rpmfusion 开头，以 .repo 结尾的文件。具体而言，需要将文件中的 baseurl= 开头的行等号后面链接中的 http://download1.rpmfusion.org/ 替换为 https://mirrors.tuna.tsinghua.edu.cn/rpmfusion/， 替换后的文件类似如下：

[rpmfusion-free]
name=RPM Fusion for Fedora $releasever - Free
baseurl=https://mirrors.tuna.tsinghua.edu.cn/rpmfusion/free/fedora/releases/$releasever/Everything/$basearch/os/
mirrorlist=http://mirrors.rpmfusion.org/mirrorlist?repo=free-fedora-$releasever&arch=$basearch
enabled=1
metadata_expire=7d
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-fedora-$releasever

[rpmfusion-free-debuginfo]
name=RPM Fusion for Fedora $releasever - Free - Debug
mirrorlist=http://mirrors.rpmfusion.org/mirrorlist?repo=free-fedora-debug-$releasever&arch=$basearch
enabled=0
metadata_expire=7d
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-fedora-$releasever

[rpmfusion-free-source]
name=RPM Fusion for Fedora $releasever - Free - Source
baseurl=https://mirrors.tuna.tsinghua.edu.cn/rpmfusion/free/fedora/releases/$releasever/Everything/source/SRPMS/
mirrorlist=http://mirrors.rpmfusion.org/mirrorlist?repo=free-fedora-source-$releasever&arch=$basearch
enabled=0
metadata_expire=7d
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-rpmfusion-free-fedora-$releasever

5、添加 Flathub 存储库

Fedora 默认情况下启用了 Flatpak。 但是，它是过滤后的 Flatpak 。

因此，要访问各种可用的 Flatpak 应用程序，你可以在终端中使用以下命令添加 Flathub 存储库：

flatpak remote-add --if-not-exists flathub https://flathub.org/repo/flathub.flatpakrepo

6、配置 DNF 以更快地下载包

Fedora 可以通过多种方法增强下载包的速度。比如选择最快的镜像，可以提高包下载速度。此外，如果你的互联网连接速度足够快，则可以更改并行下载的数量以获得更快的下载。

要做这两件事，只需编辑位于 /etc/dnf/dnf.conf 的 DNF 配置文件。

将以下行附加到 /etc/dnf/dnf.conf 文件中，保存并退出：

fastestmirror=true
deltarpm=true
max_parellel_downloads=10

• fastestmirror 为选择最快软件源，如果你手动修改了仓库里面的信息则不需要启动这个。
• deltarpm 相当于增量下载，把软件增加的部分下载下来，和原软件包合成新软件包，类似于现在的 Android 软件更新。
• max_parellel_downloads 设置最大并行下载数量。

7、安装后更改主机名

安装后，默认主机名设置为 fedora。

因此，如果你想在安装后个性化你的系统主机名，可以使用以下命令设置新的主机名：

sudo hostnamectl set-hostname <你的主机名>

请将 <你的主机名> 替换为你的主机名（不包含 < 和 >），建议采用 FQDN 主机名，即包括域名的完全限定主机名。

然后可以修改 /etc/hosts 在 127.0.0.1 以及 ::1 条目后面都加上你的主机名。类似下面这样：

# Loopback entries; do not change.
# For historical reasons, localhost precedes localhost.localdomain:
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4 <你的主机名>
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6 <你的主机名>
# See hosts(5) for proper format and other examples:
# 192.168.1.10 foo.mydomain.org foo
# 192.168.1.13 bar.mydomain.org bar

8、安装 GNOME 优化和扩展应用程序

要调整 GNOME 的外观和感觉，你需要安装 GNOME 优化 Tweaks 和扩展管理器应用程序。 可以通过软件中心或终端使用以下命令来完成：

sudo dnf install gnome-tweaks gnome-extensions-app

然后你就可以在 GNOME Shell 扩展页面 挑选扩展了。

使用一些好用的 GNOME 扩展来增强你的桌面工作的使用体验。限于篇幅，本文就不展开 GNOME 扩展的玩法了。

9、用于电池健康管理的 TLP

TLP 是一个很好的实用程序，可帮助优化笔记本电脑的电池。该实用程序带有各种命令行选项来调整和查看有关功耗的报告。

TLP 非常好用，你只需安装它并忘记它。这不需要任何设置或设置即可使其工作。使用默认设置安装后，它就可以开箱即用。

dnf install tlp tlp-rdw

然后卸载有冲突的 power-profiles-daemon 软件包：

dnf remove power-profiles-daemon

设置开机启动 TLP 的服务：

systemctl enable tlp.service

您还应该屏蔽以下服务以避免冲突，确保 TLP 的无线设备（蓝牙、wifi等）切换选项的能够正确操作：

systemctl mask systemd-rfkill.service systemd-rfkill.socket

安装 TLP 能够极大的提高笔记本电脑电池的使用时长。

10、安装和配置主题

GNOME 桌面的美化是个见仁见智的事情。

我的美化方案是用软件源里面有的东西。

安装主题：

sudo dnf install flat-remix-theme

安装图标：

sudo dnf install numix-icon-theme-circle

安装光标：

sudo dnf install breeze-cursor-theme

然后启用“ 用户主题 User Themes ” 扩展，在扩展里面启用它。

再去 GNOME 优化 Tweaks 的“外观”设置里面修改刚刚安装的主题、图标和光标，还可以修改字体。

11、配置 NTP 以获得准确的时间

网络时间协议（NTP）是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源做同步化，它可以提供高精准度的时间校正。

Fedora 默认使用 chrony 来进行时间同步。

可以修改 /etc/chrony.conf

将 pool 的值选择为下列中的其中一个即可：

# 中国 NTP 授时快速服务
pool cn.ntp.org.cn 

# 阿里云 NTP
pool ntp.aliyun.com 

# 腾讯云 NTP
pool ntp.tencent.com 

随后重启 chrony 即可。

sudo systemctl restart chronyd.service

最后就是愉快的使用 Fedora 了。

作者简介：

insidentally：一个喜欢瞎鼓捣的医学生。

via: https://www.insidentally.com/articles/000028/

作者：insidentally 编辑：wxy

本文由贡献者投稿至 Linux 中国公开投稿计划，采用 CC-BY-SA 协议 发布，Linux中国 荣誉推出

TikTok 已将美国用户数据转移到甲骨文

TikTok 表示，将 TikTok 的所有美国用户数据存储在美国的甲骨文数据服务器上。此前，TikTok 一直将其美国用户数据存储在位于弗吉尼亚州的数据中心，并在新加坡进行备份。字节跳动希望以此来解决美国海外投资委员会对数据安全的担忧。此外，TikTok 还成立了一个有数百人的美国数据安全管理团队，作为美国用户信息的看门人，并将其与字节跳动隔离开来。甚至 TikTok 正在讨论让该团队将自主运作，不受 TikTok 的控制或监督。

消息来源：路透社

老王点评：好吧，好好去毒害他们吧。

思科称不会修复终止支持的 VPN 路由器的零日漏洞

该漏洞的 CVSS 严重性评级为 9.8（满分 10.0），影响到了四款 VPN 路由器。思科表示，他们不会发布安全更新来解决该问题，因为这些设备已不再支持，建议这些“报废”的路由器升级到较新的型号。用户除了关闭广域网接口上的远程管理外，没有其他可用的缓解措施。

消息来源：Bleeping Computer

老王点评：一句报废就丢下了所有责任，这就是商业产品。

GNOME 项目得到了微软 FOSS 基金的 10000 美元资助

微软每月都会让员工提名其所依赖的第三方开源社区项目，每轮提名 5-20 个左右的开源项目，这些项目需要采用 OSI 批准的开源许可证。投票决出者便可拿到 10000 美元的奖励，通常每月拨付 1000 美元，并持续 10 个月的时间。systemd、curl、QEMU 等也得到该捐助。捐助并不附带任何条件。

消息来源：微软

老王点评：虽然对于 GNOME 这种大型项目来说聊胜于无，但是好歹是无条件赞助的。国外的很多 IT 公司都有类似项目。

回音

• 前两天 IE 落幕 时，一幅 IE 墓碑的相片风传全网。该墓碑是 真实存在 的，出自 38 岁的韩国软件工程师郑其永，该墓碑放置于韩国庆州一家由其兄弟经营的咖啡馆屋顶上。

tmate 扩展了你分享 Linux 终端会话的方式。

作为 Fedora Linux QA 团队的一员，我有时想将自己执行的一堆命令广而告之给其他开发者。如果你曾经使用过像 tmux 或 GNU Screen 这样的 终端复用器，你可能会认为这是一个挺轻松的任务。不是所有看我的示范的人都是从笔记本电脑或台式机连接到我的终端会话的，有些人可能是随手在他们的手机浏览器中打开的，因为我使用了 tmate，所以他们可以很容易地做到这一点。

使用 tmate 分享 Linux 终端

观看别人在 Linux 终端的工作是非常有教育意义的。你可以学到新的命令、新的工作流程，或者新的调试和自动化的方法。但要抓住你所看到的东西，以便你以后可以自己尝试，这可能很困难。你可能会借助截图或一个共享终端会话的屏幕记录，这样你就可以在以后打出每个命令。剩下的唯一选择是由演示命令的人使用 Asciinema 或 script 和 scriptreplay 等工具来记录会话。

但是通过 tmate，用户可以在只读模式下或通过 SSH 分享终端。SSH 和只读会话都可以通过终端或以 HTML 网页的形式访问。

当我为 Fedora QA 团队培训人员时，我使用只读模式，因为我需要运行命令并显示输出，但有了 tmate，人们可以通过从他们的浏览器复制和粘贴到文本编辑器来记录笔记。

Linux tmate 上手

在 Linux 上，你可以用你的包管理器安装 tmate。例如，在 Fedora 上：

$ sudo dnf install tmate

在 Debian 和类似的发行版上：

$ sudo apt install tmate

在 macOS 上，你可以用 Homebrew 或 MacPorts 安装它。如果你需要其他 Linux 发行版的说明，请参考 安装 指南。

安装后，启动 tmate：

$ tmate

当 tmate 启动时，会生成链接，通过 HTTP 和 SSH 提供对终端会话的访问。每个协议都有一个只读方式，以及一个反向的 SSH 会话。

下面是一个网络会话的样子：

tmate 的网络控制台是 HTML5 的，因此，用户可以复制整个屏幕并粘贴到终端来运行相同的命令。

保持会话

你可能想知道如果你不小心关闭了你的终端会发生什么。你也可能想知道如何与不同的控制台应用共享你的终端。毕竟，tmate 是一个多路复用器，所以它应该能够保持会话，脱离并重新连接到一个会话，等等。

当然，这正是 tmate 所能做到的。如果你曾经使用过 tmux，这可能是相当熟悉的。

$ tmate -F -n web new-session vi console

这个命令在 vi 中打开了 new-session，-F 选项确保会话在关闭时也能重新产生。

社交复用

tmate 给你带来了 tmux 或 GNU Screen 的自由度，以及与他人分享会话的能力。这是一个有价值的工具，可以教其他用户如何使用终端、演示一个新命令的功能，或调试意外的行为。它是开源的，所以请试一试！

via: https://opensource.com/article/22/6/share-linux-terminal-tmate

作者：Sumantro Mukherjee 选题：lkxed 译者：geekpi 校对：turbokernel

本文由 LCTT 原创编译，Linux中国 荣誉推出

开源朗读者 | 淮晋阳

每当人们知道我在 Linux 基金会 Linux Foundation 工作，他们总是会问我们的工作具体是做什么的。有时候，他们会一直问我是不是开发 Linux 操作系统的。我只能回答说，我们做的是开源软件，并试图在他们失去兴趣之前，在短短的 20 秒钟内介绍它对世界的影响力。如果他们的兴趣还在，想要进一步了解，我就会给他们深入分析一番：企业为何想参与到开源软件项目之中？它们为何会使用开源软件？没错，企业确实会这样做，无论它们有没有意识到这一点。此外，成千上万的企业会将企业内部代码捐给开源项目，为推动开源软件的进一步开发和优化投入大量的时间和资源。

开源软件的使用范围有多广

引用我们最近发表的一项报告《 企业开源指南 A Guide to Enterprise Open Source 》：“ 开源软件 open source software （OSS）改变了世界，是数字经济的支柱，数字世界的基石。从我们日常使用的互联网和移动应用到开拓未来的操作系统和编程语言，开源软件无不发挥着重要的作用，可谓是科技行业的命脉。在今天，开源软件驱动数字经济发展，推进科学技术取得突破，不断改善人们的生活水平。手机、汽车和飞机等设备，家庭、企业和政府等群体都在使用着开源软件。但就在 20 年前，开源软件还仅仅为少数人所知，它的使用也仅限于一小部分专门的爱好者。”

开源软件（OSS）已经改变了我们的世界，成为我们数字经济的支柱和数字世界的基础。

而它实际上：

• 在各行业的 垂类软件栈 vertical software stacks 中，开源软件的占比达到了 20% - 85%。
• 超过 90% 的网站服务器和联网设备都依靠 Linux 来运行。
• 安卓手机系统也是基于 Linux 内核。
• 用于应用程序开发的 AMP、Appium、Dojo、jQuery、Marko、Node.js 等 主流的库和工具 均属于开源项目。
• 世界上排名位列前 100 名的超级计算机都在使用 Linux。
• 大型机客户均在使用 Linux。
• 亚马逊、谷歌以及微软三大云服务供应商都在使用开源软件运行服务，并在云端托管开源解决方案。

企业为何想参与到开源软件项目之中

企业参与开源软件项目主要通过三种方式：

• 企业向开源社区捐赠自家开发的软件。
• 企业向开源软件项目提供直接的资金援助。
• 企业向开源项目分派软件开发人员以及其他员工。

人们经常会问，为什么这些企业愿意放弃自家软件的所有权？为什么它们不让员工专攻自家软件的开发呢？

从整体上来看，这一问题的答案就是，企业和组织聚集起来，合力解决共同的难题，如此一来，他们就可以各自专注于在这基础上的各类难题。这些企业明白，将资源聚集在一起，能够更好地解决基础问题。有时，这种现象被叫做“ 竞合 coopetition ”，大概的意思是企业在一些领域可能互为竞争对手，但是它们在另一些领域则会互相合作。

“竞合”现象的一些典型例子：

• 铁路公司采用统一的铁轨尺寸，统一规划建设。得益于此，火车就可以在同样铁轨上运行，铁路公司之间也可以互相交换设备。
• 在数码相机诞生之前，不同的公司在电影和摄像机行业各行创新之路，形成了各自的优势，但为了推进电影行业的发展，它们在相机链轮间距这一问题上达成了统一。
• 娱乐产业在开展竞争的同时，也一致坚持采用家用录像系统和蓝光格式。

如今，企业、组织以及个体在合力解决难题的同时，也在不断地改进自身的产品与业务。

• 来此加密 Let’s Encrypt （LCTT译注：Let’s Encrypt 官网并没有用“来此加密”这样的称呼，但是在一些场合有这样的译名。我们认为此翻译很贴切。） 是一个免费的、开放的自动化证书颁发机构，旨在通过简化安装程序，减低安装费用，快速扩大安全网络协议的应用范围。该机构为超过 2.25 亿个网站提供服务，每天平均发放证书约 150 万张。
• 好莱坞成立的 学院软件基金会 Academy Software Foundation 通过共同开发软件，推动娱乐、游戏和媒体等产业的增长，为产业发展提供开放标准，在电影行业内 创造了巨大的价值。
• 超级账本 Hyperledger 基金会管理多个企业级区块链软件项目。众所周知，这些项目 消耗的能源远比其他解决方案要少。
• LF 能源基金会 LF Energy 推动 电网朝着更加模块化、互操作和可拓展的方向发展，助力提升可再生能源的利用率。
• 无人机代码基金会 Dronecode 致力于无人机软件的开发，促进企业在无人机领域进一步开拓创新。
• 开源软件软件安全基金会 OpenSSF 聚集了顶尖的科技企业，共同强化开源软件的安全与韧性。
• Kubernetes 是 Google 捐赠给 Linux 基金会下属的云原生计算基金会（CNCF）的一个项目，是管理基于云计算软件的首选方案。

上述只是企业参与的一小部分开源软件项目，点击 此处，可以在 Linux 基金会官网浏览全部项目列表。

企业如何有效利用和参与开源软件项目？

若想要更好地利用开源项目，更有效地参与开源项目，企业可以向 Linux 基金会寻求帮助。我们最新发布的报告 《企业开源指南》 提供了企业与组织需要了解的大部分信息。这份报告凝聚了来自多家顶级企业、具有几十年丰富经验的开源领袖的知识与智慧，报告主要分为以下六个章节：

• 使用开源软件
• 准备参与开源
• 制定开源策略
• 部署基础设施
• 建立人才团队
• 应对多方挑战

此外，Linux 基金会还提供了许多开源 培训课程、全年 活动、LFX 平台，发起开源项目，协助企业与组织利用和参与开源项目，比如：

• TODO 工作组 为开源项目办公室的建立和运作提供资源，包括其自身 丰富的指导意见。
• Openchain 项目 旨在提供和维护国际开源许可标准，包括各种许可规定的相关信息。依赖于此，企业可以确保自身行为符合法律规定。
• FinOps 基金会 目前正在将自身打造为“不断发展的云财务管理和文化实践平台，通过促进工程、财务、技术以及商业团队之间在数据驱动支出决策方面的合作，确保企业能够最大化实现商业价值”。
• 软件数据包交换标准 Software Data Package Exchange （SPDX）是一个用于交流 软件物料清单 software bill of materials （SBOM）的开放标准。在该标准下，每个用户都能清楚了解整个软件包中包括哪些软件。

同样，上述这些只是 Linux 基金会所有项目中的一小部分。所有这些项目都致力于帮助企业接受和使用开源项目，引导企业为开源项目做出贡献、提供捐赠。

总而言之，目前，企业正在迅速投向开源软件项目，借此解决共同的难题，并探索进一步的创新发展，而 Linux 基金会将为它们提供帮助。

该文 《企业为何使用开源软件，又为何推动开源软件的发展》 首发于 Linux 基金会 官网。

via: https://www.linux.com/news/why-do-enterprises-use-and-contribute-to-open-source-software/

作者：Dan Whiting 选题：lkxed 译者：aREversez 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Travis CI 持续集成工具中的一个缺陷暴露了来自数千个在线开源项目的敏感数据。这并不是该软件第一次遇到此类安全问题。

Travis CI 是一个持续集成工具，它帮助软件开发者实现自动化地测试新代码，并将新代码集成到开源项目中。Aqua 研究人员发现，通过该软件的一个 API，可以访问来自 Travis CI 免费用户的多达 7.7 亿条“日志”（即使用户的账号已经删除）。

攻击者可以从这些明文存储的日志中，提取出用于登录 GitHub、Docker Hub 和 AWS 等云服务的用户身份验证令牌。研究人员在 800 万份日志样本中，发现了 70000 多个敏感令牌和其他机密凭证。Aqua 团队认为“所有 Travis CI 免费用户都有可能暴露”。根据 2019 年的数据，Travis CI 被超过 60 万名独立用户，用于超过 932977 个开源项目。

这种对高级用户凭证的访问，会给使用该产品的软件开发者及其客户带来风险。趋势科技英国和爱尔兰安全技术总监 Bharat Mistry 解释道：“如果攻击者获得了这些凭据，就没有什么能阻止他们将恶意代码引入库或构建过程。这个缺陷无疑会导致数字供应链攻击。”

供应链攻击可能极具破坏性。2020 年的 太阳风 Solar Winds 攻击，使国家资助的俄罗斯黑客能够访问数千家企业和政府组织的系统。2021 年的 Kaseya 供应链攻击，使犯罪分子可以同时加密 1500 多家公司的数据，将它们全部扣为人质。

via: https://www.opensourceforu.com/2022/06/the-travis-ci-vulnerability-exposes-sensitive-open-source-project-credentials/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出