新的 USB “橡皮鸭子”比以前更危险

USB “橡皮鸭子”看起来就像一个普通的 U 盘。但把它插入电脑，机器就会把它看作是一个 USB 键盘。最初的 USB “橡皮鸭子”在 10 多年前发布，成为黑客们的最爱，如创建一个假的 Windows 弹出框来获取用户的登录凭证，或使 Chrome 浏览器将所有保存的密码发送到攻击者的服务器。这些年来它也在不断更新。新的 DuckyScript 3.0 允许用户编写函数、存储变量和使用逻辑流控制，成为了一种功能丰富的语言。它还可以将数据编码为二进制格式，并通过键盘的大写锁定或数字锁定灯的闪烁作为信号，来窃取目标机器的数据。用这种方法，攻击者可以把它插上几秒钟，告诉别人："对不起，我想那个 U 盘坏了"，然后把它拿回来，并保存他们所有的密码。

消息来源：The Verge

老王点评：真是防不胜防，要我说，这些黑客工具的想法也真巧妙。

Copilot 将使计算机教育的编程练习变得毫无意义

有计算机教授担心 Copilot 将使传统的计算机教育的编程练习变得毫无意义，因为 Copilot 知道所有的答案。“据我所知，Copilot 在所有的入门编程作业上都接受过专门培训，Copilot 该死的喜欢编程入门作业。”虽然很多计算机编程练习可以在网上找到代码的例子，但老师也可以在谷歌上找到它们，然后用抄袭检测器将这些代码与提交的代码进行比较。而 Copilot 是不同的，它实际上产生了新颖的解决方案，在表面上有足够的不同，以至于它们看起来可能来自学生们自己写的。

消息来源：The Register

老王点评：确实，这就如同使用计算器来学习初等数学，并不能真的让人学会数学。所以，计算机教育需要为 Copilot 这类 AI 工具的到来做一些准备。除了限制对 Copilot 的访问，是否还可以做更多的事情？

新的后量子密码学算法将于 2024 成为标准

上个月，由恩智浦、IBM 和 Arm 的安全专家共同编写的专门安全算法被美国 NIST 选中，成为旨在应对量子威胁的行业全球标准的一部分。NIST 宣布了这些后量子密码学算法将在 2024 年成为标准。而目前通行的 RSA 和 ECC 等密码学算法用了十多年才确定了最佳标准。

消息来源：IoT Times

老王点评：先不说两年时间能不能准备好，我认为现在的抗量子加密学算法还未经受过考验，仓促之下怕是用处有限。

做一个高效的、充满好奇心的问题解决者吧！这会帮助你成为一名成功的程序员。

你是否曾经遇到过这样一种情况：你想解决一个问题，并且你在 YouTube 或 Google 中找到了相关的教程。嗯，你觉得看会了，可真做起来，却止步不前，大脑一片空白。你感觉自己每一行代码都看懂了，可一旦离开了那个教程，就步履维艰。如果你在 HackerRank 或 LeetCode 上看过别人的解题过程，你就能体会到，一个有追求的程序员第一次看到这些挑战时，他会是何种感受。举例来说，假设你正在学习一门新语言，在你刚开始理解这门语言的基础知识的时候，你看了一个教程，摩拳擦掌，结果发现自己无法独立应用学到的知识，这反过来可能会导致你怀疑自己的知识和能力。

把教程付诸于实践

你应该从头开始吗？如果你这么做，你可能很快就会发现自己重复学习了很多次相同的知识点。虽然从头开始并不一定是种浪费，但是，你该如何变得更高效呢？

死记硬背在编程中完全是行不通的。话虽如此，但你也不能够忽视熟悉语法的重要性。因为，死记硬背和养成习惯之间是有明显区别的。习惯是很难打破的。要养成多使用编程语言的常规语法、函数、方法、模式、范式和构造的习惯，这样你才能掌握它。掌握一门编程语言需要大量的创造力和练习。练习语法是非常必要的，直到它们能在你的脑海中自然地浮现，就像血液在血管里流动一样。

“问题解决”的工作原理

那么，你该采取什么样的方案呢？这实际上取决于许多因素。这些因素可以是任何东西，下至技术限制，上至用户需要。世界上有无数的问题，每个问题都有许多解决方式。如何选择一个最好的？这就需要 “问题解决” problem-solving 的技巧了。

下面是一个简单的例子。你需要把两个数相加，让它们等于 6。显然，你有多种方式可供选择：

3 + 3 = 6 或 4 + 2 = 6 或 5 + 1 = 6

同理，如果你需要让两个数字，经过一次减法、乘法或除法运算后，得到的结果为 6。你仍然有很多选项，包括：

8 - 2 = 6 或 12 / 2 = 6 或 3 * 2 = 6

每种方案都有它固有的限制，且各不相同。当你在现实生活中尝试做出一个高效的方案时，你必须要考虑到所有的限制。这个方案可行吗？有什么障碍吗？有可操作性吗？是否可扩展呢？而如何最小化约束，并做出一个最优方案，就取决于问题类型和业务需要。

练习很重要

编程的目标不仅仅是解决问题。因此，从工程视角理解代码如何工作始终是一个优势。这就是代码审查在企业级开发中发挥作用的地方。编程的最低要求是具备基本的编码知识，包括语言的语法、函数和方法。归根结底，“写代码”是需要你去写的，所以练习总是有助于提高你的技能。流畅的写作和复杂方案的开发都来自于持续的学习和训练。

学习编码

我撰写和分享这篇文章，是为了鼓励新程序员去探寻自己的内心，寻找那个“优秀的问题解决者”。请不要停止相信自己。

要成功编码，你需要培养许多习惯。下面是我在学习编码时保持高效的方法：

1. 一个包含语法、方法和函数 速查手册 总能应付不时之需。
2. 将问题分解成更小的部分，便于追踪。
3. 尝试理解代码运行的核心概念。
4. 构思解决方案时，大可发挥你的创造力 —— 但刚开始还是要注重基础。
5. 在练习时，创建尽可能多的应用和组件。
6. 永远不要从 Stack Overflow/Exchange 等开放平台上复制/粘贴代码，特别是在不了解上下文的情况下。
7. 跟着教程做了一遍后，尝试从头开始构建所有内容。即使你只能独立完成一半，那也仍然是一个成就。

祝我们所有人好运！

via: https://opensource.com/article/22/8/coding-advice-new-programmers

作者：Sachin Samal 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

有几十个基于 Ubuntu 的发行版可用。从 面向初学者的发行版 到 漂亮的发行版，Ubuntu 主导着 Linux 桌面空间。

如果通用发行版还不够的话，你还会发现一些 奇怪的基于 Ubuntu 的发行版。

我不打算参与 Ubuntu 与 Fedora 的辩论。我只是说如果你想在 Fedora 领域中尝试一些东西，我可以列出一些选项。

请记住，我不会列出面向服务器的 Linux 发行版。此处的列表适用于 桌面 Linux 用户。

该列表没有特定的排名顺序，并且提到的选项可能并不总是适合新用户。因此，在第一次安装任何基于 Fedora 的发行版之前，请确保你浏览了文档。

1、Fedora 定制版

Fedora 有很多 定制版 spin ，但没有 Ubuntu 那么多。

Fedora 定制版 不是基于 Fedora 的独立发行版，而只是具有 不同桌面环境 或采用平铺窗口管理器的不同版本的 Fedora。

如果你不喜欢默认的 GNOME 桌面环境，你可以下载其中一种。

一些可用的选项是：

• Fedora KDE Plasma
• Fedora i3 平铺窗口管理器
• Fedora LXQt
• Fedora LXDE
• Fedora MATE-COMPIZ
• Fedora Cinnamon 版

2、Nobara

当你在找 游戏发行版 时，列表将由 Debian 和 Arch 衍生产品占据主导地位。因此，如果你正在寻找基于 Fedora 且具有相同效果的游戏发行版，那么 Nobara 就是你所需要的。

Nobara 是由 Proton GE 的维护者制作的游戏发行版，他也是 Lutris 开发团队的成员，因此你可以期待开箱即用的下一代游戏体验！

为了带来更好的体验，Nobara 在 Fedora 上预先应用了 30 多个补丁程序，以及一组游戏工具，包括 Lutris、GOverlay、Stream 和 ProtonUp。

3、Ultramarine

基于 Fedora 的发行版，开箱即用，适用于普通用户，它就是 Ultramarine！

Ultramarine 预装了一堆工具，包括 Flathub、RPM fusion 和该发行版自己的专用仓库。

你将获得一个预配置的桌面，使其看起来赏心悦目，因此你不再需要花费额外的时间进行调整。

此外，对于那些在 Fedora 基础上寻求 Pantheon 和 Budgie 桌面环境的微调体验的人来说，Ultramarine 是完美的选择。

4、RisiOS

“一个支持 Web 应用的 Fedora。”

这是一种描述 RisiOS 的方式，但等等，不止如此。

从 Bash 脚本的用户 GUI 到欢迎屏幕，你只需单击几下即可准备好系统，RisiOS 让 Fedora 的使用更加轻松！

RisiOS 还为你提供与 Linux Mint 相同的 Web 应用管理器，而且非常棒。

但是在你跳转到下载页面之前，要记住一件事是 RisiOS 仍处于测试阶段（如网站所说的 Big beta），你可能会遇到一些小问题。

5、Qubes OS

Qubes OS 是一个有趣的 Linux 发行版，它让你可以自由选择要用作基础的操作系统。它也提供了一个 Fedora 模板，并且他们会定期维护它。

事实上，Qubes OS 也是一个 注重隐私的 Linux 发行版。因此，你可以在使用基于 Fedora 的产品时获得最新技术，而且完全自由。

值得注意的是，Qubes OS 需要大量系统资源和至少 8-16 GB 的内存才能使用，并且具有挑战性的学习曲线。

6、Berry Linux

Berry Linux 是一个简单的基于 Fedora 的发行版，你可以直接从 CD 或任何其他介质启动。它支持自动硬件检测，并且似乎定期维护。

Berry Linux 提供对英语和日语的支持。它预装了一些媒体播放器、照片编辑应用和基本应用。

7、ClearOS

它不是 来自 Intel 的 Clear Linux 项目，尽管听起来很相似。

ClearOS 是基于 Fedora 的发行版，专为服务器环境量身定制，或帮助你在 HP 支持的家庭网络上运行 IT 相关任务和流式传输音乐/视频。你必须根据自己的要求同时购买家庭版/企业版。

如果你不想购买而想自己管理，还有一个社区版。

你的看法

长期使用 Linux 的用户可能还记得 Korora 和 Chapeau 发行版。它们曾经在 Fedora 用户中很受欢迎，但从那时起这些项目就停止了。

虽然 Fedora 本身很棒，但我并不反对衍生发行版。看看 Linux Mint 的成功。它是 Ubuntu 的衍生产品，但已经获得了如此好的用户群。谁知道这些基于 Fedora 的发行版是否会像 Mint 一样流行？

我缺失了任何基于 Fedora 的活跃发行版吗？你如何看待 Fedora 衍生版及其定制版本？ 在下面的评论中告诉我！

via: https://itsfoss.com/best-fedora-linux-distributions/

作者：Abhishek Prakash 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

韦伯太空望远镜大量使用了 20 年前的一种 JavaScript 方言

根据韦伯太空望远镜的综合科学仪器模块手册，它有一堆预先写好的 JavaScript 脚本来完成特定的任务，地面上的科学家可以告诉它运行这些任务。当然，这些脚本不是运行在一个浏览器里面，而是用一个叫做“脚本处理器”的程序解释，然后它将根据脚本的要求，与其他的应用程序和系统联系。这些脚本所使用的语言是一种 JavaScript 版本 Nombas ScriptEase 5.00e，但开发它的公司已不存在，这种语言最后的版本发布于 2003 年。虽然韦伯太空望远镜是在 2021 年底发射的，但这个项目从上世纪八十年代就开始了，而建设在 2004 年开始时的。

消息来源：The Verge

老王点评：居然选择了这么古老而不严谨的脚本，这十年间就难道没有一点点改进的想法吗？

VFX 参考平台建议动画行业升级到 RHEL 9

VFX 参考平台旨在帮助规范数字内容创作领域的软件平台，以发布年度软件建议清单而闻名，如每个操作系统上的编译器版本，特定年份的 Qt/Python/Numpy 组件，以及基于行业反馈和与各种内容创作者和工作室互动的各种其他软件版本。他们发布了一份报告，供视觉效果和动画工作室在选择下一个 Linux 平台时考虑。他们发现很多工作室仍然依赖 CentOS 7，他们建议这些工作室不迟于 2024 年转移到新的操作系统，首选是红帽的 RHEL 9，或者 Rocky Linux、AlmaLinux 等下游分支。他们也建议可以考虑 Ubuntu Linux。

消息来源：Phoronix

老王点评：即便不想付费购买 RHEL 9，Rocky Linux 等也可以考虑。其实，根据我的研究， CentOS Stream 也是可以的。

Meta 用算法“随机”解雇 60 名劳务派遣人员

此前 Meta 与埃森哲签订了近 5 亿美元的合同，由隶属于后者的劳务派遣人员到 Meta 位于奥斯汀的办公室工作，主要开展内容审核和商业诚信等业务。Meta 通过视频电话会议告知被裁的员工，除了明确是“随机”选择之外，没有给出裁员的具体原因。去年 8 月份，游戏行业支付处理公司 Xsolla 也使用算法裁掉了 150 名员工。

消息来源：纽约邮报

老王点评：很多底层员工，在他们看起来，其实就是一个数字，可以掷骰子决定。

在 2020 年 SolarWinds 网络间谍活动之后，一系列进一步的软件供应链漏洞凸显了确保软件监管链安全的必要性。在这场间谍活动中，俄罗斯黑客渗透到一个广泛使用的 IT 管理平台，并将受污染的升级程序悄悄带入其中。由于开源项目从根本上来说是分散的，而且经常是临时的活动，因此在这种背景下，这个问题尤其紧迫。GitHub 著名的 npm 注册中心广泛使用的 JavaScript 软件包遭到一系列令人不安的黑客攻击后，该公司前不久公布了一项战略，以提供更好的开源安全保护。

代码签名平台 Sigstore 将由微软旗下的 GitHub 支持，以用于 npm 软件包。代码签名类似于数字蜡封。为了让开源维护者更加容易地确认他们编写的代码是否与全球范围内人们实际下载的软件包中最终包含的代码相同，跨行业协作促成了该工具的创建。

GitHub 并不是开源生态系统的唯一组成部分，但 Sigstore 的联合开发者、Chainguard 的首席执行官 Dan Lorenc 指出，它是社区的一个重要枢纽，因为绝大多数项目都在这里存储和共享源代码。然而，当开发人员真正想下载开源软件或工具时，他们通常会通过软件包管理进行。

通过让包管理器可以使用 Sigstore，开发人员可以在 Sigstore 工具的帮助下，在软件通过供应链时处理加密检查和要求。这增加了产品流通过程中每个阶段的透明度。Lorenc 说，许多人在得知这些完整性检查尚未实施时感到震惊，开源生态系统中相当大的一部分长期以来一直依赖于盲目的信心。拜登政府于 2021 年 5 月发布了一项行政命令，主要涉及软件供应链安全问题。

Linux 基金会、谷歌、红帽、Purdue Universit 和 Chainguard 都对 Sigstore 的开发做出了贡献。现在有了使用 Sigstore 为 Python 包发行版签名的官方软件，而且开发软件的开源环境 Kubernetes 现在也支持它。

Sigstore 依靠免费和简单易用来鼓励采用，就像主要行业推动 HTTPS 网络加密一样，这在很大程度上是由非营利组织 互联网安全研究组 Internet Security Research Group 的 Let's Encrypt 等工具实现的。据 GitHub 称，该项目会首先提出 Sigstore 将如何在 npm 中实现的建议，并在开放评论期征求社区人员对该工具的精确部署策略的意见。然而，最终的目标是让这样的代码签名能够被尽可能多的开源项目使用，从而让对供应链的攻击更加困难。

GitHub 的 Hutchings 说：“我们希望看到这样一个世界，最终所有的软件工件都被签名并链接回源代码，这就是为什么构建像 Sigstore 这样的开放技术栈是如此重要，其他打包存储库也可以采用这种技术。”

via: https://www.opensourceforu.com/2022/08/github-takes-action-to-prevent-supply-chain-attacks-on-open-source/

作者：Laveesh Kocher 选题：lkxed 译者：lzx916 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

deepin 23 将是一个有趣的升级，有几个基本的变化。

deepin 仍然是目前最 漂亮的 Linux 发行版 之一。

虽然整个用户体验可能不是毫无痛点的，但它还是看起来不错的。deepin 的开发者尝试了一些引人关注的定制，以使它从人群中脱颖而出。

如果你是第一次了解它，你应该知道它是 基于 Debian Linux 的有趣发行版 之一。

随着 deepin 20 和它最近的小版本发布，他们推出了一系列不错的升级。现在，看起来deepin 23 将是下一个主要的升级。

deepin 23 预览版中的新内容

deepin 23 预览版已经可以进行测试。与之前的版本不同，deepin 23 包括一些基本的升级，在多个层面上影响用户体验。

主要的亮点包括：

• 一个新的软件包格式。
• 一个新的系统更新的构想。
• 一个新的资源库。
• 新的墙纸。
• Linux 内核 5.18。

新的软件包格式：玲珑

玲珑 是 deepin 开发的新软件包格式。

它的目的是解决 Linux 下传统软件包格式的复杂依赖性所造成的各种兼容性问题。此外，通过支持沙盒以及增量更新和隐私保护来减少安全风险。

截至目前，你可以在其 玲珑商店 上找到这些软件包。

我们需要另一种软件包格式吗？我不这么认为。

有了 Flatpak 和 Snap 的存在，它听起来并不像以前没有的新东西。

对我来说，看起来 deepin 只是想拥有自己的软件包格式作为其产品的一部分。

原子式更新

系统更新将被视为原子操作，也就是说，当软件包被成功安装后，更新就完成了。如果安装失败，系统可以恢复到以前的版本，没有任何变化。

因此，你在升级后可以得到系统回滚的支持，并可以避免部分升级的困难。

独立的上游

虽然它是基于 Debian 的，但 deepin 的目标是为核心软件包和一些可选组件建立一个独立的仓库。

对于预览版，开发者提到，他们打算从上游如 Debian 和 Arch Linux 中学习，以改进他们的仓库。

新的墙纸

像其他主要版本一样，deepin 23 增加了一些令人耳目一新的壁纸和新的默认壁纸。

下载 deepin 23 预览

请注意，deepin 23稳定版还没有上市。因此，如果你想在你的测试系统上进行实验，并体验一下，请尝试预览版。

你可以在 官方公告 中找到 ISO 文件的下载链接。

via: https://news.itsfoss.com/deepin-23/

作者：Ankush Das 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出