安卓的 Rust 代码中发现的内存安全漏洞为零

谷歌称，“在过去几年/版本中，内存安全漏洞的数量大幅下降。”每年的内存安全漏洞数量从 2019 年的 223 个下降到 2022 年的 85 个。Android 13 是第一个该版本中加入的大部分新代码都是内存安全语言的安卓版本，Rust 在 Android 13 所有新的原生代码中占 21%。在整个 Android 12 和 13 系统中，“在安卓的 Rust 代码中发现的内存安全漏洞为零”。

消息来源：9to5google

老王点评：这是 Rust 在产品领域很具有说服力的证明。

OpenAI 的新聊天机器人可以解释代码

OpenAI 发布了一个通用的聊天机器人原型 ChatGPT，可以以更像人类的方式和用户对话。虽然这种聊天机器人本质上是 “随机鹦鹉”，它们的知识仅仅来自于训练数据中的统计规律，而不是像人类那样对世界这个复杂而抽象的系统的理解。但有人用编码问题测试了它，并声称其答案是完美的。比如说，它会说“你使用的那个循环条件犯了一个严重的错误！”或者可以让它像一个聪明的黑客一样解释冒泡排序算法。

消息来源：The Verge

老王点评：能解释代码其实并不令人意外，要是能进一步可以帮忙审查代码就更好了。

英国年龄超过 50 岁的 IT 专家仅有 22%

根据英国计算机协会的研究，在当地 190 万 IT 专家中，只有 22%（41.3 万）达到或超过 50 岁，而英国其他就业领域中 50 岁以上的平均人数约为 56.1万。另外，老年技术人员的时薪中位数为 25 英镑，比整个 IT 专家群体的时薪高 14%。

消息来源：The Register

老王点评：看来 IT 还是吃青春饭的比较多，而且老了不值钱。

回音

• 一个被美国军方关联公司 掌握 的 SSL 根证书机构 TrustCor，其根证书被 Firefox 和 Edge 浏览器 停止信任。

Git 的 bisect 工具通过快速识别坏的提交，节省了时间和精力。

你是不是有过这样的经历：发现代码中有 错误 bug ，但不知道这个错误是什么时候引入的。这有可能是因为，某个人提交了一份有错误的代码，但没有在他的 Git 提交 commit 消息中声明它。这个错误可能已经存在了几周、几个月甚至几年，这意味着你需要搜索数百或数千个提交，才能找到问题何时出现的。而 git bisect 命令能够完美地解决这个问题！

git bisect 命令是一个强大的工具。你可以给 git bisect 命令一个范围，一端是一个已知的好状态，另一端是一个已知的坏状态。它会自动地确认当前范围的中点，在这个中点上进行测试，然后要求你确定那次提交是一个 好提交 good commit 还是一个 坏提交 bad commit ，然后它会重复这一“二分查找”的过程，直到你找到首次引入错误的那一次提交。

这个“数学”工具是利用“二分查找”来找到错误之处的。git bisect 命令通过查看中点，然后由你来决定它是提交列表的新起点（即 “坏提交” ）还是新终点（即 “好提交”），进而来缩小查找范围，如此在几次查找中你可以就能定位到有错误的提交。即使你有 10,000 个提交要检查，最多只需要 13 次查找，就能很快地定位到首次引入错误的提交。

1. 提交 1 坏 <> 提交 10,000 好 => 提交 5,000 是坏的
2. 提交 5,000 坏 <> 提交 10,000 好 => 提交 7,500 是好的
3. 提交 5,000 坏 <> 提交 7,500 好 => 提交 6,250 是好的
4. 提交 5,000 坏 <> 提交 6,250 好 => 提交 5,625 是坏的
5. 提交 5,625 坏 <> 提交 6,250 好 => 提交 5,938 是坏的
6. 提交 5,938 坏 <> 提交 6,250 好 => 提交 6,094 是好的
7. 提交 5,938 坏 <> 提交 6,094 好 => 提交 6,016 是坏的
8. 提交 6,016 坏 <> 提交 6,094 好 => 提交 6,055 是好的
9. 提交 6,016 坏 <> 提交 6,055 好 => 提交 6,036 是坏的
10. 提交 6,036 坏 <> 提交 6,055 好 => 提交 6,046 是坏的
11. 提交 6,046 坏 <> 提交 6,055 好 => 提交 6,050 是坏的
12. 提交 6,050 坏 <> 提交 6,055 好 => 提交 6,053 是好的
13. 提交 6,053 坏 <> 提交 6,055 好 => 提交 6,054 是好的

对于上面这个例子，我们能知道 10,000 个提交中的第一个错误提交是第 6053 次提交。对于 git bisect 命令，最多需要几分钟就能完成检索。但是如果要一个一个查找每个提交是否错误，我甚至无法想象需要多长时间。

使用 Git bisect 命令

git bisect 命令使用起来非常简单：

（LCTT 译注：使用 git bisect start 命令来进入 bisect 模式，并且该命令指定了一个检查范围。它会告诉我们一共有多少次提交，大概需要几步就可以定位到具体的提交。）

$ git bisect start
$ git bisect bad        # Git assumes you mean HEAD by default
$ git bisect good <ref> # specify a tag or commit ID for <ref>

Git 检查中间的提交，并等待你声明这次提交是一个好提交还是一个坏提交：

（LCTT 译注：如果某一提交是可以通过的，则使用 git bisect good 命令标记；同样地，如果某一提交不能通过，则使用 git bisect bad 命令标记。）

$ git bisect good

或

$ git bisect bad

然后，git bisect 工具重复检查好提交和坏提交中间的那次提交，直到你告诉它：

$ git bisect reset

一些高级用户甚至可以自己编写脚本，来确定提交的好坏状态、并在找到特定提交时采取某一补救措施。你可能不会每天都使用 git bisect 命令，但当你需要它来定位首次引入错误的提交时，它会是一个很有用的救星。

via: https://opensource.com/article/22/11/git-bisect

作者：Dwayne McDaniel 选题：lkxed 译者：chai001125 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Bodhi Linux 团队为即将发布的 Bodhi Linux 7.0.0 版本启动了 Alpha 测试。

Bodhi Linux 基于 Ubuntu LTS，其带有基于 Enlightenment 的 Moksha 桌面环境。Moksha 桌面是轻量级的，同时也是一个养眼的桌面。此外，它只包括了可以让你开始使用的基本的应用程序。

目前的 Bodhi Linux 6 系列基于 Ubuntu 20.04 LTS，发布于 2021 年，正好在 Ubuntu 20.04 LTS 发布后。即将推出的 Bodhi Linux 7.0.0 将基于今年 4 月发布的 Ubuntu 22.04 LTS，带来了基于 Ubuntu 稳定性和更新的软件包。

在其核心部分，它采用与 Ubuntu 22.04 一致的 Linux 5.15 LTS 内核。你可以得到基于最新的 Enlightenment 桌面/Enlightenment 基础库（EFL）的改进的 Mokhsna 桌面环境。

由于官方的变化日志还没有发布，这里是你在这个版本中得到的版本的一个快速总结。

Bodhi Linux 7.0.0 摘要（暂定）

• 基于 Ubuntu 22.04 LTS “Jammy Jellyfish”
• Linux 5.15 LTS 内核
• Enlightenment 基础库（EFL）1.26.99
• Moksha 桌面 0.4.0
• Python 3.10
• Systemd 249.11

下载

该团队建议，这个预发布版本是不稳定的，不应该用于你的日常工作。不过，如果你想体验一下，可以从下面的链接下载。

下载

时间表

Alpha 测试阶段应该持续两个月左右，然后是候选版本。之后是最终版本。从时间上看，根据历史记录 —— Alpha 测试大约持续两个月，然后是一个月的 RC 测试。因此，暂定的最终发布日期为 2023 年 2 月底或 3 月初。

via: https://debugpointnews.com/bodhi-linux-7-0-0-testing/

作者：arindam 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Arch Linux 及其衍生版中安装 OpenOffice 的初学者指南。

OpenOffice 是最古老的自由开源的办公生产力套件，已经维护了一段时间。它是由 Apache 开发，尽管它已经被分叉为 LibreOffice，但仍然是一个受欢迎的套件。

本教程适用于那些想要安装 OpenOffice 以满足工作和其他需要的人。

注意：在安装之前，请记住许多更新的功能和与微软 Office 的兼容性在 OpenOffice 中并未得到完全支持。如果你想要更现代的 Office 套件版本，请尝试 LibreOffice。

在 Arch Linux 中安装 OpenOffice

OpenOffice 软件包 在 Arch 用户仓库中可用。因此，要安装它，你需要使用 AUR 助手程序。这是你需要做的。按照下面提到的步骤安装 Yay AUR 助手。如果你想了解有关 Yay 的更多信息，请参阅 此处提供 的详细指南。

依次运行以下命令来安装基本包并克隆 Yay：

sudo pacman -S base-develsudo pacman -S gitcd /optsudo git clone https://aur.archlinux.org/yay.git

通过将 debugpoint 替换为你的 Arch 系统的用户名来运行以下命令：

sudo chown -R debugpoint:users ./yay

最后，使用以下命令安装 AUR 助手：

cd yaymakepkg -si

完成后，使用以下命令安装 OpenOffice：

yay -S openoffice-bin

按照屏幕上的说明进行操作。安装后，你可以在应用菜单中找到它，如下图所示。

启动 OpenOffice 并将你的姓名和详细信息添加到启动向导中，你就可以使用了。

总结

使用上述方法，你还可以在 Majnaro 和其他基于 Arch Linux 的发行版中安装 OpenOffice。尽管它是一个较旧的办公生产力套件，但你应该记住，它并不完全兼容现代微软 Office 文档类型（例如 docx、xlsx）。

如果你在安装过程中遇到任何错误，请在下面的评论栏中给我们留言。

via: https://www.debugpoint.com/install-openoffice-arch/

作者：Arindam 选题：lkxed 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

20 个企业控制了一半的域名解析

据分析，来自 20 个域名的 255 台 DNS 服务器控制了 52% 的域名解析，100 个域名的 DNS 服务器控制了 75% 的域名解析，6000 个域名的 DNS 服务器控制了 99% 的域名解析。控制域名解析的前 20 个域名来自互联网巨头，其中 15 个是美国科技巨头，如 GoDaddy、谷歌、Cloudflare 和亚马逊。其中 34% 的域名解析的 IP 地址属于 Cloudflare 的自治系统 AS13335。

消息来源：Netmeister

老王点评：互联网其实不是去中心化的，而是分布式的。

Mastodon 的安全性并不可靠

自从 Twitter 被收购后，Mastodon 引来了大量注意，用户数量激增，两周内总用户达到 870 万。有安全专家发现多个存在安全漏洞的 Mastodon 实例。Mastodon 项目缺乏专门的安全团队，甚至软件也没有自动更新或检查更新的功能。

消息来源：Ars Technica

老王点评：随着用户增多，安全问题就成了大问题，好在 Mastodon 本身并不收集太多用户数据。

Let's Encrypt 签发了逾三十亿证书

目前全球有数以百万计的网站依赖 Let's Encrypt 作为安全保障。其 2022 年年度报告中称，截至 2022 年 11 月 1 日，它为超过 3.09 亿个域名提供了证书，仅 2022 年增加了逾 3300 万个域名。Let's Encrypt 在 2017 年 6 月签发了第一亿个证书。三年后的 2020 年 2 月签发了第 10 亿个证书。

消息来源：Let's Encrypt

老王点评：Let's Encrypt 功莫大焉，要是一直由 CA 公司把持 SSL 证书的签发，HTTPS 的普及可能会慢得多。

埃隆·马斯克证实，加密私信即将到来! 这是好东西。

今年早些时候，埃隆·马斯克 在 Twitter 上表示：Twitter 的 私信 Direct Messages （DM）需要像 Signal 协议这样的 端到端加密 End-to-End Encryption 。

早在 2016 年，爱德华·斯诺登就 要求 Twitter 的前首席执行官兼联合创始人杰克·多尔西添加 Signal 协议类似的安全措施到 Twitter 平台。

但是，这个协议从来没有被添加到 Twitter。它可能经过测试但还未部署实施。

根据最近的公告，Twitter 似乎即将实现这个安全协议 ?。

马斯克分享了他在公司演讲中的几张幻灯片，其中就包括为 Twitter 2.0 路线图规划的“加密私信”。

? Twitter 通信的 Signal 协议

虽然有一些安全研究员，例如 黄文津，已经在 Twitter 的 iOS 和 Android 应用程序中发现了对 Signal 协议 的代码引用。

但是直到现在，埃隆·马斯克才在 推文 中确认了该计划，该推文介绍了根据 “Twitter 2.0” 路线图将对 Twitter 平台进行的改进。

换句话说，埃隆·马斯克正式确认 Twitter 即将推出加密私信。

对于那些不知道 Signal 协议的人，我们简要地介绍一下 Signal 协议：Signal 协议是一种开源的加密协议，它允许以 完全前向保密 perfect forward secrecy （PFS）方式实施端到端加密。

该协议使用 “ 双棘轮算法 Double Ratchet algorithm ”，通信双方根据不断变化的共享密钥，来交换加密的消息。

这确保没有第三方可以得到通信消息的内容，因为共享密钥仅存在于通信双方的设备上。

Signal 应用程序充分利用了这个方法。但是，进一步来说，还有几个以隐私为中心的替代方案：

（LCTT 译注：Signal 协议是一种真正的端到端加密的通讯协议，号称是世界上最安全的通讯协议。只有参与通讯的用户可以读取并解密信息，而任何第三方（包括服务器）都无法查看到通讯的内容。总的来说，它可以防止潜在的窃听者（包括：通信服务商、互联网服务提供商甚至是该通讯系统的提供者），获取能够用以解密通讯内容的密钥。目前有大量即时通讯软件也使用或借鉴参考了 Signal 协议，例如：Skype、What'sApp、Facebook Messenger）

Signal 协议如何帮助 Twitter DM？

它可以防止恶意攻击者和政府去窥探 Twitter 用户的消息，从而使 Twitter 成为一个更加安全的平台。

Twitter 添加加密私信会对举报人、记者和社会活动家有益，因为他们经常会因其工作而面临被审查或成为攻击目标。

诚然，就隐私而言，加密私信可能不是最严格的保护措施。但有总比没有好。

? 加密消息应该成为通讯软件的标准

在这个动荡的信息时代，我们看到更多的恶意攻击者试图未经授权访问敏感信息。

端到端加密应成为所有通讯软件的必要标准，我希望 Twitter 能够尽快添加它。

你有什么想法吗？请在下面的评论区中分享你的想法吧。

via: https://news.itsfoss.com/twitter-signal/

作者：Sourav Rudra 选题：lkxed 译者：chai001125 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出