Google 的标志性口号“不作恶”在劳工审判中受到质疑

上个月，软件工程师 Kyle Dhillon 在美国国家劳工关系委员会（NLRB）的审判中说，Google著名的企业口号“ 不作恶 Don't be evil ”，在五年前吸引了他加入这家科技巨头。近年来，Google 不再强调这一口号，但现在却成了 NLRB 对该公司投诉案的焦点，公众对该公司的行为准则进行了反思。2015 年，Google 成立新的 Alphabet 母公司之后，这句口号从 Google 行为准则的开头被移到了结尾。而 Alphabet 的更广泛的行为准则没有提到这句话。

终究还是“作恶”更容易一些。

Linux 基金会调查显示企业急于招聘开源人才

在西雅图举行的开源峰会上，Linux 基金会和 edX 发布了 2021 年开源工作报告。其中有几个值得注意的数据：92% 的经理人说难于找到足够的人才；在该调查历史上第一次，云和容器技术技能比 Linux 更受招聘经理的青睐，分别是 41% 和 32%；几乎所有的开源专业人士（88%）都报告说在他们的工作中使用 DevOps 实践；大多数雇主（88%）优先雇用经过认证的专业人员，而 2020 年为 57%，2018 年为 47%。

开源和云技术已经成为技术人的必备技能。

Apache OpenOffice 发现安全漏洞，能被恶意文件劫持

Apache OpenOffice（AOO）目前存在远程代码执行漏洞，虽然该应用的源代码已经打了补丁，但该修复程序只作为测试版软件提供，等待正式发布。该漏洞的公开披露日期是 8 月 30 日，这意味着大多数运行这个开源办公套件的人可能拥有该软件的脆弱版本，该套件已被下载数亿次，最后一次更新是在 5 月。

还有人用 OpenOffice 吗？赶快离开它吧。

Linus Torvalds 表态 9.17 才是真正的 Linux 内核生日

关于 Linux 内核的诞生日有几个不同的意见，比如 Linus Torvalds 第一次在 USENET 宣布开发消息、第一个出现的版本，第一个宣布的版本等等。Linux 内核 0.01 是 1991 年 9 月 17 日上传的，但该版本从来没有公开宣布过。不过，Torvalds 认为，这才是 Linux 内核真正的纪念日，“虽然没有宣布，但在许多方面，这是实际代码的真正的 30 周年纪念日。”

此外，Torvalds 承认 -Werror 的决定使得 Linux 内核的工作混乱，这个决定让他陷入了“按下葫芦起了瓢”的境地，但他愿意承受这种痛苦，“我仍然相信，这一切都是为了一个好的目的。”他说，“rc2 这周对我来说往往是相当安静的，所以这周我接着看奇怪的‘警告变成错误’的报告也不是太糟糕。”

感谢您！脱袜子先生！

微软 Exchange 将默认阻止某些新文件类型

近年来，攻击者的技术纯熟度日渐增长，甚至能够将恶意软件隐藏在 .ISO 文件中，以使之更隐蔽地躲过 Windows 与反病毒软件的深层扫描。为解决这一问题，微软计划在 10 月份增加 Exchange 服务器默认自动阻止的附件类型和数量。新添加的文件类型包括 .iso、.cab、以及 .jnlp，带有这些附件的邮件将被自动隔离，目前总计有 96 种文件类型被阻止。

这种阻止只能是带来越来越的不便，而最终导致阻止被跳过。

在虚拟机运行 Windows 11 也要求 TPM 2.0

之前，在虚拟机中安装 Windows 11 预览版没有任何特殊要求。但最近在开发和测试频道中提供给用户的 Windows 11 预览版，即使是在虚拟机上也开始要求 TPM 2.0，以使它们与单独运行操作系统的设备保持一致。所以在理论上，除非 TPM 2.0 可用，否则你将不能再在虚拟机中运行 Windows 11。而 Oracle 已经开始为 VirtualBox 添加 TPM 2.0 设备支持了。

好吧，有人要在虚拟机中安装 Windows 11 吗？

英特尔准备为 Linux 引入无需重启更新固件功能

“英特尔无缝更新”是英特尔平台即将推出的一项功能，在其最新的 Linux 内核补丁中暴露出了这一新功能，它能够避免重新启动而进行系统固件更新，如 UEFI 更新。其目标是那些在停机时间方面有高服务水平协议（SLA）的客户。由于系统固件更新通常需要重新启动，这可能会使服务中断几分钟，从而可能影响服务水平协议，或者给这些服务的用户带来不便。英特尔可能会在明年发布的 CPU 上推出这项功能。

这下好了，内核更新不用重启，固件更新也不用重启了。

Android 6 以上版本将重置不使用应用的权限

谷歌周五宣布将向后移植 Android 11 系统的隐私功能，将应用权限自动重置机制引入到 Android 6 及以上版本。该功能旨在自动限制用户不使用的应用，当我们在一段时间内未使用某应用时，Android 会自动剥离该应用已被授予的一切权限，从而限制它在后台跟踪你的动向或访问数据。在再次打开该应用时，系统会再次请求所有权限。该功能是去年推出的 Android 11 版本带来的。

这是一个不错的功能，可以让你随时被提醒收回那些不必要的权限。

全球计算的碳足迹比以前估计的要大

根据一项新研究00188-4)，信息和通信技术（ICT）在温室气体排放中的比例比之前估计的要大。之前的估测没有考虑到 ICT 产品和基础设施的整个生命周期和供应链，这包括 ICT 组件制造商产生的排放，或与 ICT 产品的处置有关的排放。之前估计 ICT 在温室气体排放中的份额定为 1.8% 至 2.8%。但最新的研究结果表明，全球计算更有可能达到 2.1% 至 3.9% 的温室气体排放比例。这一比例要比占 2% 的航空业要高。

随着信息化的增加，ICT 的碳足迹可能还会更高。

一笔 BTC 交易将产生至少 272g 的电子垃圾

根据荷兰央行和 MIT 经济学家的分析，专门用于 BTC 挖矿的 ASIC 矿机的生命期只有 1.29 年。这些 ASIC 矿机除了用来挖矿而别无用处，为了追上算力增加，这些矿机需要不断升级，每年比特币网络需要更换重达 3.07 万吨的矿机，这个数字与荷兰这样的国家产生的小型IT和电信设备垃圾量相当。在 2020 年比特币网络共处理了 1.125 亿笔交易，即每笔交易产生至少 272g 的电子垃圾，与两部 iPhone 12 mini 手机的重量相当。

这种代价不可谓不高，但是我认为 BTC 重要的不是它本身的价格，而是它所揭示的新思想。

微软必应可能很快成为 Firefox 的默认搜索引擎

Mozilla 目前正在测试将微软的 Bing 作为 Firefox 的默认搜索引擎。自本月 6 日以来，约有 1% 的 Firefox 桌面用户群接受了这种早期测试。Mozilla 预计这个测试阶段将持续约五个月，并在明年一月前完成。目前，Mozilla 与 Google 的搜索协议预计将在明年结束，所以必应可能是 Mozilla 的备胎，以防与 Google 的搜索合同没有进一步延长。

其实，做浏览器挺赚钱的。

研究人员用化妆打败了先进的面部识别技术

一项新研究发现，软件生成的化妆图案可以用来持续绕过最先进的面部识别软件，这些通过通过数字和物理施加的化妆的成功率高达 98%。他们使用一个自拍应用程序，根据面部最易识别的区域对进行数字化妆。然后，一位化妆师用自然的妆容将数字妆容模仿到参与者身上，以测试目标模特在现实情况下的识别能力。论文称，在物理实验中，他们只在 1.2% 的画面中被识别到。

虽然之前也有一些在面部绘制特定条纹的方式来欺骗 AI，但是反而容易被人类注意到，而这种化妆术却可以做到不引起人类注意的同时欺骗 AI。

新恶意程序正利用 WSL 隐蔽攻击 Windows

安全专家发现了针对 WSL 创建的恶意 Linux 安装文件。首批针对 WSL 环境的攻击样本在今年 5 月初被发现，并每过一段时间就出现一次。这表明黑客正在尝试用新的方法来破坏 Windows 设备，并利用 WSL 以逃避检测。这些恶意文件主要依靠 Python 3 来执行其任务，并打包成用于 Linux 的 ELF 可执行文件。

这真是无孔不入，恶意软件就以这种形式将 Linux 当成了目标。

Travis CI 漏洞暴露数千开源项目的密钥

Travis CI 是一个流行的持续集成工具，它提供了与 GitHub 和 Bitbucket 等的无缝整合，能直接克隆用户在 GitHub 中的代码库，然后在虚拟环境中进行构建和测试。它被 90 万个开源项目使用。安全研究人员发现了它的一个严重安全漏洞，会导致 Travis CI 曝光使用它测试的仓库的安全环境变量，如签名密钥、访问证书和 API 令牌。这可能会导致攻击者可借此进入组织的网络。安全研究人员建议所有使用 Travis CI 的项目更换相关的密钥和令牌。而在此事件中，Travis CI 对安全问题的漫不经心激怒了开发者社区，他们甚至要求 GitHub 禁用 Travis CI。

作为一家普遍应用的 CI 服务商，这样对信息安全和开发者的漠视，必将带来更大的问题。GitHub Action 不香么？

Alphabet 采用激光技术实现 5 公里传输 700TB 数据

Google 母公司 Alphabet 关闭了探索将氦气球投放至平流层以实现无线互联网覆盖的项目，但该项目中的用于连接高空气球的自由空间光通信链路（FSOC）等技术保留了下来。目前这项技术正被用于为非洲人民提供高速宽带链接。这种链路有点像是没有电缆的光纤。X 实验室表示，该链路在短短 20 天之内传输了近 700 TB 数据。

这种技术在某些场景下很有意义啊，其实包括它的气球项目，在救灾等恶劣环境都很有用。

PHP 仍然是统治服务器端的编程语言

根据 W3Techs 今天发布的一份报告，PHP 在 2010 年的市场份额为 72.5%，而在 2021 年占比达到 78.9%。只有一个其他的服务器端语言曾经突破 10% 的份额，这个竞争对手是 ASP.NET，它在 2010 年拥有令人印象深刻的 24.4% 的份额，但在 1 月份下降到 9.3%，这个月下降到 8.3%。本次调查涉及热门网站，而非仅限于一些精英网站，并且在调查中避免来自域名停放服务和垃圾邮件发送者的数据歪曲，尽量契合当前的互联网现实。

PHP 确实是最好的语言！

用户可以从微软账户中彻底删除密码了

微软表示密码机制本身已经成为安全软肋，每年遭受的相关攻击多达 180 亿次。从今天开始，用户可以将微软账户中的密码彻底删除了。当然，在步入无密码时代之前，你需要在自己的智能手机上安装微软验证器应用，并与你账户连接。之后根据实际使用位置的不同，通过安全密钥，或者是通过邮件、手机或 Outlook、OneDrive 等其他兼容性应用或服务接收到的验证码进行登录。此前微软在 2018 年启用了安全密钥，并在 2019 年成功使 Windows 10 实现无密码登录。超过 2 亿的商业客户已经在使用无密码登录。

不知不觉中，大家习以为常的密码其实已经是落后的、可淘汰的安全缺陷了。

Azure 默认 Linux 配置曝出严重的远程代码执行漏洞

安全研究专家指出，他们在诸多流行的 Azure 服务中，发现了开放管理基础设施（OMI）软件代理中存在的一系列严重漏洞。问题在于当 Azure 客户在云端设置 Linux 虚拟机服务时，OMI 代理会在他们不知情的情况下自动部署。更糟糕的是，黑客只需发送一个剔除了身份验证标头的数据包，即可渗透并取得远程机器上的 root 访问权限。微软已经发布了补丁，同时建议客户手动执行更新。据推测 Azure 上多达 65% 的 Linux 部署都受到影响。

最讨厌云服务商偷偷往系统镜像里面塞东西，而且这些软件还经常有验证漏洞。