Linus Torvalds 在采访中再次提及一些观点

Linux 创始人参加了今年的北美开源峰会，并按惯例接受了采访，就一些经常被问到的问题发表了一些并不算新的观点：

• 在关于使用 Rust 编写 Linux 内核模块的讨论中，他说，从技术角度有没有意义不重要，重要的是要有趣。
• 他表示真的很喜欢 C 语言，它是一种伟大的语言，当然，他也承认 C 语言存在容易被所有人忽视的陷阱，并认为 Rust 可能真的是一种解决方案。
• 关于社区，他说，社区使 Linux 保持了活力，要不是社区，Linux 可能早被他扔在脑后了。

老王点评：这些观点我们都知道了，但是我们还是一次次不厌其烦的愿意听到 Linus 讲它们。这就是精神领袖。

上百万人遇到 Let's Encrypt 根证书到期问题

Let's Encrypt 之前使用的根证书于 9 月 30 日到期，可能受到证书过期影响的设备是那些不定期更新的设备。它早在 5 月就通知大家这一消息，并提供替代方案和变通办法，以确保设备在转换期间不受影响。周四晚上，至少有 200 万人在他们的手机、电脑或智能小工具上遇到了由于证书问题导致的一些互联网连接问题。数十种主要科技产品和服务受到证书过期的严重影响，如亚马逊、谷歌和微软的云计算服务；思科的 IT 和云安全服务；Shopify 的卖家无法登录；以及一些游戏和工作流平台等等。

老王点评：Let's Encrypt 几乎是以一己之力推动了 HTTPS 的普及，但是由于历史原因，其根证书的有效期并不很长，所以 Let's Encrypt 越成功，这种遗留问题就越大。

亚马逊、谷歌、微软和 IBM 等签署“可信云原则”

这些技术巨头联合起来建立了“可信云原则”，声称这是对保护客户权利的承诺。具体主要包括：除“特殊情况”外，政府应首先直接向企业客户而非云供应商索取数据；当政府试图直接从云服务供应商处获取客户数据时，客户应有权获得通知；云供应商应有明确的程序来质疑政府对客户数据的访问请求，包括通知相关数据保护机构，以保护客户的利益。此外，该原则还提出，政府应建立机制，提出并解决彼此之间的冲突，使云服务提供商在一国的合法合规性不等于在另一国的违法行为；政府应支持跨境数据流动。他们承诺支持允许政府通过遵守人权标准的透明程序索取数据的法律，支持在国家和国际层面改进规则和条例，以保护云客户的安全、隐私和安保以及他们对数据的所有权。

老王点评：这种业界共识需要更多方的参与，目前看起来想落地没那么多容易。

二十年后，ATI Radeon R300 的 Linux 驱动仍有零星改进

ATI R300 图形处理器推出于 2002 年.虽然 AMD 的开源 Linux 开发者在很长一段时间内不再关注这个 R300g 驱动，但由于开源的性质，社区能够对这个传统的硬件支持进行偶尔的改进。仅今年就已经提交了 14 个补丁。当然，大多数与这个近 20 年历史的 GPU 驱动有关的提交都是围绕着错别字和普通修复。顺便说一句，R300g 并不是 ATI/AMD 官方的硬件 Linux 驱动，但正是通过这种逆向工程和业余工作，导致这些开源开发者中的几个人陆续加入了 AMD，并受雇于该公司为其开发更多现代驱动。

老王点评：这就是开源的好处，各种意义上的。

谷歌赞助 Linux 基金会的安全开源计划 100 万美元

安全开源（SOS）试点计划会奖励广泛的改进措施，主动加强关键开源项目和支持基础设施，以应对针对应用程序和供应链的攻击。为了补充现有的奖励漏洞管理的计划，还会直接支持项目开发者。奖励范围从 10000 美元以上的复杂、高影响和持久的改进，几乎可以肯定地防止受影响的代码或支持的基础设施中的重大漏洞，到 500 美元的小改进，但至少从安全的角度来看需要有好处。谷歌初期向该计划投资 100 万美元，并计划根据社区反馈扩大该计划的范围。

老王点评：主动去加强开源软件的安全，我觉得谷歌这钱花的值。

Telegram 机器人正试图窃取你的一次性密码

虽然双因素认证（2FA）这样的一次性密码可以改进单独使用密码的安全性，但威胁者很快就开发出拦截这些 2FA 的方法，如通过恶意软件或社会工程。根据英特尔 471 团队的消息，自 6 月以来，一些用于规避 2FA 的服务正在滥用 Telegram 的消息服务。由 Telegram 驱动的机器人正被用来窃取 2FA 安全中所要求的一次性密码。

老王点评：虽然 2FA 是一个好的安全实践，但是安全最薄弱的环节往往是人。

一半的开发人员因为烂代码考虑辞职，但是如果钱给够了……

一个对 200 名软件工程师的调查显示，51% 的工程师因为技术债而考虑辞职，其中 20% 的人说这是他们离开公司的主要原因。不过在面试新职位时，技术债只是第四大因素。薪水问题最重要，82% 的人认为它是面试新职位的最重要因素之一。而技术挑战和成长机会是第二重要的因素，75% 的人选择了它。68% 的人选择了远程工作因素，只有 62% 的人将技术债当成换工作的首要考虑因素。

老王点评：一句话，钱给够怎么都行。

一半的企业 PC 无法升级到 Windows 11

Windows 11 对特定处理器和 TPM 2.0 的要求意味着有很大一部分用户将无法升级到该操作系统。 换句话说，如果你的个人电脑是在 2017 年之前生产的，它在运行 Windows 11 时可能面临阻碍。一项针对企业的调查表明，只有 54.53% 的企业工作站确定可以升级，而绝大部分服务器都无法升级。这些设备中满足要求的 CPU 只有 44.4%，满足要求的 TPM 只有 52.55%。

老王点评：可惜 Linux 桌面不给力，多好的机会啊。

AI 可以预测两小时后是否会下雨

谷歌旗下的 DeepMind 和埃克塞特大学的科学家们与英国气象局合作，可以对天气做出更准确的短期预测，包括关键的风暴和洪水。该系统学会了如何识别常见的降雨模式，它使用英国 2016 年至 2018 年的雷达地图，在 2019 年的地图上进行了测试，气象学家们发现，在 89% 的情况下预测是准确的。

老王点评：又一个 AI 的好领域。

国内知名“开源软件”织梦 CMS 向用户追索 5800 元授权费

织梦 CMS（DedeCMS）是国内使用广泛的一个内容管理系统，近日它发出一则通告称，“除个人非营利网站外，均需购买 DedeCMS 商业使用授权，授权费为人民币 5800 元”。要求除个人非营利网站外，在 2021 年 10 月 25 日 24 时前必须购买授权。据称，织梦 CMS 官方已经通过 AI 取证机器完成了全网的材料取证，并且组建了一个庞大的律师团队。很多人一直将织梦 CMS 视为“开源的免费软件”。但实际上它并不是开源软件，也不是自由软件，甚至并不是免费软件——因为据其授权协议，只允许“个人非营利网站”免费使用，这种授权协议显然并非 OSI 认可的“开源许可证”。

老王点评：要注意，织梦 CMS 不是开源软件，请大家绕道而行。

Google 律师称必应上最常见的搜索词是“Google”

多年来，Google 一直因其在网络搜索领域的主导地位而受到抨击。本周，Google 提出一个证据，必应上最常见的搜索词显然是“Google”。Google 用这个角度来证明其客户选择使用 Google 搜索而不是竞争对手，不是因为它是其设备上的默认选项。必应是微软的搜索引擎，是该公司的 Edge 浏览器以及 Windows 的默认选项。目前，这家科技巨头正因其行为在欧盟面临 50 亿美元的巨额罚款。欧盟针对 Google 的案件裁定，Google“不公平地”在 Android 手机上推送其搜索引擎，将其作为这些设备的默认选项，以迫使竞争对手退出。

老王点评：在一个搜索引擎输入另外一个搜索引擎的名字，我不知道你们在想什么。

微软五年前就知道 Exchange 的 Autodiscover 缺陷

之前我们报道过 Exchange 的 Autodiscover 缺陷，它会泄露用户凭证。但是其实微软早在 5 年前就知道这个缺陷，并坚称这不是问题，也没有给出修复。2016 年就有人给微软安全响应中心发邮件，指出了该缺陷，“基本上，我已经发现以纯文本方式获取 Exchange（因此也包括活动目录）用户密码是非常容易的”。微软承认有这种情况，但“确定它不是一个安全问题”，而是让用户在向服务器“发送请求之前，确保它是值得信赖的”。

老王点评：问题是，客户在向这些服务器发送请求时，是不知道有这些默认服务器的，即便是发送后也不知道。

Stack Overflow 的“复制粘贴键盘”

Stack Overflow 今年的愚人节的恶作剧说，它将限制对其网站的免费访问，除非人们购买“钥匙”，一个带有打开 Stack Overflow、复制和粘贴的按钮的设备。但是大家似乎对这个键盘很感兴趣，于是在一位键盘爱好者和定制键盘制造商 Drop 的帮助下，Stack Overflow 设计了一把真正的键盘，并开始以 29 美元的价格出售。

老王点评：这样的键盘，你想不想要一块？你值得拥有~

广告主投诉 Chrome 取消 Cookie 影响行业营收

代表广告主、出版商和科技公司的行业组织“开放网络运动”今日向欧盟投诉谷歌，称谷歌 Chrome 浏览器取消 Cookie 的计划是一种反垄断行为，将严重影响广告主和出版商的营收。谷歌去年年初宣布，未来两年内将逐步淘汰对第三方 Cookie 的支持，并计划推广其“隐私沙箱”技术。但出版商和广告技术公司纷纷抱怨称，谷歌所谓的“隐私沙箱”将限制他们收集网络用户信息的能力，从而影响他们提供更具价值广告的能力。

老王点评：套用一句俗话，“和尚摸得，我也摸得”。各位广告商在想，凭啥你谷歌一个人可以摸，不让我们摸。

AI 判断一副价值 660 万英镑的名画是赝品

英国国家美术馆最重要的藏品之一鲁本斯的画《参孙与大利拉》，是 40 年前在佳士得拍卖会上以当时创纪录的价格 250 万英镑购买的，相当于今天的 660 万英镑。批评家们长期以来一直认为这幅画并非真正出自鲁本斯之手。而现在，一系列采用突破性人工智能技术的科学测试得出了结论。在与 148 幅无争议的鲁本斯画作进行比较后，它不是鲁本斯的原创作品的概率为 91.78%，而与之对比的是，另外一幅英国国家美术馆收藏的画作则有 98.76% 的概率是真品。

老王点评：AI 技术的进步，往往能做到很多人类做不到和做不好的事情，我认为这才是 AI 真正该发挥作用的领域。

年轻人已经没有了计算机文件夹的概念

现在使用计算机的年轻人们已经习惯了用操作系统的搜索来找到文件，而不是按照文件系统路径找到文件夹和文件了。老一辈使用计算机的人习惯于“认为一个项目住在一个特定的文件夹里，我必须去那个文件夹里找它”，而年轻人“把它看作是一个桶，所有东西都在这个桶里”，从而在桌面上堆了上千个文件。在老一辈的计算机用户看来，这可能很奇怪，他们从小就维护着一个精心设计的嵌套子文件夹的集合。但由于 21 世纪初诞生的操作系统的搜索功能现在已经成为默认功能，以及手机和平板电脑掩盖其文件结构的方式，还有云存储的普及，年轻人们并不以同样的方式看待他们的硬盘。

老王点评：这未必是一件坏事，但是这种潜移默化的变化，还是让人挺吃惊的。你是如何找你的文件的？

美国将开启替换美国网络中的华为设备的计划

美国联邦通信委员会（FCC）周一表示，它将开启一项 19 亿美元的计划，以补偿主要是农村的美国电信运营商拆除被视为国家安全威胁的中国公司如华为和中兴制造的网络设备。去年，FCC 指定华为和中兴为通信网络的国家安全威胁，要求拥有中兴或华为设备的运营商“销毁并更换”这些设备。但这对农村运营商来说是一个大问题，因为他们面临着高成本和难以找到工人来拆除和更换设备，因此，FCC 将为这些运营商提供补贴。

老王点评：反正补偿的钱也是印出来的，FCC 花起来一点也不心疼。

Cloudflare 正在着手解决电子邮件安全

周一，Cloudflare 宣布了两个电子邮件安全和安保产品，以捕捉更有针对性的网络钓鱼攻击、降低地址欺骗的有效性以及减轻用户点击恶意链接的后果。该公司将免费提供这些功能，无论客户使用的是由 Gmail、微软 365、雅虎，甚至是像 AOL 这样的老式邮件服务。Cloudflare 首席执行官说，该公司一直没有涉足电子邮件安全领域，是因为觉得“像谷歌、微软和雅虎这样的托管供应商会解决这个问题”，但在几年过去了，这仍然不是一个已经解决的问题。他补充说，这并不是因为谷歌它们缺乏进展，而是有太多的电子邮件威胁需要处理，因此，Cloudflare 决定建立额外的防御工具，让公司本身和客户都能使用。

老王点评：作为中国反垃圾邮件联盟的创始人，我对电子邮件安全有一定的了解。确实，谷歌在这方面做了一些有效的工作，但是这些年，其实电子邮件安全的进展乏善可陈，现在看起来需要更多人下场了。