硬核老王 发布的文章

2019 年热门开源项目中的漏洞增加了一倍以上

RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。RiskSense 查看了 50 个最受欢迎的开源软件项目,发现开源正以前所未有的速度产生新的漏洞。从 2018 年的 421 个增长到了去年的 968 个。

来源:开源中国

硬核老王点评:开源软件在急速发展的同事,其潜在的质量问题和安全缺陷也应该引起注意。不能因为“集市”就放松品质要求,尤其是流行的、重要的、基础的软件。因此,预期会出现更多专门针对开源软件进行审计和加固的开源组织和商业机构。

印度黑客公司 7 年入侵 1 万多电邮账户,多国政要被殃及

总部位于新德里的 BellTroX 信息技术服务公司专门瞄准欧洲的政府官员、巴哈马的博彩大亨和以及包括美国私募股权巨头 KKR 和做空机构浑水在内的著名投资机构。“这是有史以来受雇开展的规模最大的间谍活动之一。”Citizen Lab 研究员 John Scott-Railton 说。

来源:新浪科技

硬核老王点评:印度在黑客产业方面越走越远了。

IBM 发布完全同态加密工具集

IBM 发布了完全同态加密(FHE)工具集,源代码发布在 GitHub 上,采用 MIT 许可证。同态加密允许对密文进行特定的代数运算得到仍然是加密的结果,与对明文进行同样的运算再将结果加密一样。这项技术可以在加密的数据中进行检索、比较等操作,整个处理过程中无需对数据进行解密。

来源:solidot

硬核老王点评:这对于保密数据的第三方处理非常有价值。

GNOME 基金会发布 2019 年度报告

根据 GNOME 基金会公布的财报数据,去年的总收入比 2018 年稍有下降;支出方面,2019 年的总支出高于 2018 年,尤其是用于支付员工薪资的花费,差不多是翻了一倍。;发布了两个稳定版——Taipei (3.32) 和 Thessaloniki (3.34);技术成果包括 GNOME Flatpak runtime,VM 镜像和改进持续集成;组织了 10 次活动和 13 次 Hackfests;参加了 11 场会议,并代表 GNOME 设立了展台和发表演讲。

来源:开源中国

全球非法走私量最大的哺乳动物穿山甲已从中国药典“除名”

在最新出版的 2020 年版《中国药典》中,穿山甲、马兜铃、天仙藤、黄连羊肝丸等四个品种未被继续收载。《中国药典》2020 版编制大纲中明确提出,野生资源枯竭的品种将从药典退出,这或为穿山甲未收载进本次药典的原因之一。穿山甲被认为是“世界上被贩卖最多的哺乳动物”。而马兜铃、天仙藤的基源均为马兜铃同属植物的不同药用部位,未收载的原因或是由于其存在肾毒性。黄连羊肝丸未收载的原因,是因为处方中含有夜明砂(蝙蝠类动物的粪便)。

来源:快科技

硬核老王点评:科学对待中医药,并要积极保护濒危生物。

清华大学副教授刘利:警惕国外开源软件的隐形“科技侵略”

过去 10 年里,刘利的工作集中在自主研制国产地球系统模式耦合器。耦合器是实现气候预测与数值天气预报软件系统集成的一项系统关键核心技术。在刘利看来,可以通过开源软件学习别人的经验,但不能靠“拿来主义”。否则,失去的是再也换不回来的发展机遇,得到的是国外长久的“科技侵略”。近日,在接受《中国科学报》采访时,他再次表示,“长期使用国外免费开源基础软件,很大程度上制约了我国自主研发的积极性和创新能力,加大了我国在相关领域的差距,这无异于助涨了对我国的‘科技侵略’!”

来源:科学网

硬核老王点评:自己本着“拿来主义”的想法,只对开源软件吸血,还批评别人“科技侵略”。看来刘教授对“开源”的认识还需要学习。

Linus 再次严辞拒绝 Intel CPU 漏洞补丁

今年 3 月,来自 AWS 的软件工程师率先发现了这一漏洞,它可能会泄露 CPU 内部存储器或缓存中的数据,涉及 CPU 包括 Intel 旗下流行的 Xeon 和 Core 系列处理器。另一位来自 AWS 的软件工程师为 Linux 内核提交了一个补丁,以降低 Linux 系统遭遇该攻击的风险。Linus Torvalds 认为,这将导致使用该补丁的所有 Linux 用户(无论是否采用 Intel CPU)的 CPU 性能降低,严正拒绝了该补丁:“因为在我看来,这基本上是将缓存刷新指令导出到用户空间,并为进程提供了一种方式,可以说让与这事情无关的其他人也慢了下来。”

来源:开源中国

硬核老王点评:庆幸 Linux 内核社区有这样一位仁慈独裁领袖。

Chromium 与 Go 开发者提议替换“blacklist”等词汇

从 Chromium 源码中的一个新的提交来看,有开发者提议移除“blacklist”这样的字眼。这一个提交试图安全地替换出现单词“blacklist”的每个可能的实例,大约有超过 2000 个单词需要修改。这将包含所有的类/方法/成员/变量重命名,需要更新必要的构建系统规则。另外,Golang 也有开发者提了类似提交,但几乎所有变化是测试或注释方面的。

来源:开源中国

硬核老王点评:我觉得先从 “White House”(白宫) 改起吧,不如改成“Zebra House”(斑马宫)。

PHP 语言 25 周年,杜蕾斯发文庆祝

1995 年 6 月 8 日,PHP 1.0 版本正式问世,目前已经更迭到 7.4 版本,PHP 8.0 Alpha1 版本也有望于今年 6 月中旬发布。25 周年之际,杜蕾斯官方微博发文庆祝:“#PHP语言25周年#不管PHP是不是世界上最好的语言,反正—— print(durex is the best);”

来源:快科技

硬核老王点评:不知道该如何吐槽,PHP 已经通俗到连杜蕾斯都知道这个梗了。

Fanx 语言 3.2 发布,全面支持中文编程

Fanx 是面向对象的函数式的编程语言。不同于其他语言的 Unicode 支持,Fanx 不仅标识符能用汉字,关键字也能用汉字。中文是可选方式。是在编译器上做的别名处理。项目主页: http://fanx.info

来源:开源中国

硬核老王点评:对于使用中文来编程,仁者见仁智者见智,不过,著名的易语言沦为恶意软件生产工具的情形值得注意和研究。

Linux 内核 4.19 和 5.4 生命周期延长至 6 年

Greg Kroah-Hartman 宣布将 Linux 内核 4.19 和 5.4 版本的生命周期终止(EOL)支持从两年延长到六年,分别延长至 2024 和 2025 年。Linux 内核主要分为稳定版和长期支持版。稳定版本每 8-10 周发布一次;长期版本则是每两年一次,并会在接下来的两年内提供安全和错误修复。2017 年,谷歌高级工程师 Iliyan Malchev 曾宣布,Linux 内核团队同意将部分 Linux 的长期支持版(LTS)维护期从两年延长到六年。目前,有 6 个受支持为六年的 LTS 内核,分别是:5.4、4.19、4.14、4.9、4.4 和 3.6 版本。

来源:开源中国

硬核老王点评:你现在用的哪个内核?是 LTS 的么?

Phoronix 发布 PHP 8 性能基准测试

由于 PHP 8 Alpha1 大约要到 6 月中旬才发布,所以 Phoronix 从 PHP 8 最新的 Git 代码(截至5月底)构建了用于测试的版本。如果 PHP 8 启用了 JIT,性能改进可以说是非常明显,比 PHP 7.4 stable 提升了 92%。至于更旧的版本,PHP 8 with JIT 的性能是 PHP 5.4 的 5 倍。从数据来看,PHP 8.0 是一个相当值得期待的版本,无论是性能方面的提升还是语言特性的增加。

来源:开源中国

硬核老王点评:看来非常值得关注啊。不过,PHP 也越来越和之前的样子不一样了。

DDoS 租用服务 vDOS 两位创始人被判处 6 个月社区服务

DDoS 租用服务 vDOS 目前已经停止运行,在过去四年中帮助付费客户发起了超过 200 万次分布式拒绝服务(DDoS)攻击,让无数互联网用户和网站陷入离线状态。两人均为以色列公民,在 2016 年被捕的时候年仅 18 岁。两名被告在运营 vDOS 服务期间非法所得超过 60 万美元。

来源:cnBeta.COM

硬核老王点评:这个处罚感觉很温柔。

搜狗输入法强制弹窗 618 红包广告,被指存在多种越位行为

近日不少用户反馈,称电脑不断出现托盘闪烁弹窗,点击后即为淘宝天猫的6.18促销网页。火绒工程师发现该弹窗均来自于常用软件“搜狗输入法”。该广告配置通过云控下发,无法通过设置关闭。进一步分析发现,该软件除了疯狂弹窗,还存在统计用户浏览器浏览历史数据等越位行为,符合广告程序的定义。

来源:火绒安全实验室

硬核老王点评:一个输入法不好好干输入法的事情,却变成了一个垃圾广告软件。

谷歌现在正试图说服使用 Chromium 内核的 Edge 浏览器用户使用 Chrome 浏览器

TechDows 发现在 Windows 10 上使用微软 Edge 登录谷歌账户时,谷歌会在 Gmail 上发送典型的登录通知,以警告用户新的登录方式。但除了警告信息外,谷歌还加入了一个小惊喜:“使用 Chrome 浏览器,让 Windows 10 的功能发挥到极致。Chrome浏览器是一款快速、简单、安全的浏览器,专为现代网络而生。”目前 Chrome 浏览器的市场份额接近 70%,Edge 则为 7%。

来源:softpedia

硬核老王点评:Edge 放弃了自己的内核倒向了 Chromium 阵营,却还被谷歌挖墙脚,真是太南了。

LibreOffice 7.0 Beta 1发布,添加ODF 1.3 文档支持

今天文档基金会分享了 LibreOffice 7.0 办公套件的首个公开测试版本。该公测版本并没有引入任何重大的新功能,主要是对 ODF 的支持升级至 1.3 版本。现在是默认文件格式是 ODF 1.3 Extended。

来源:cnBeta.COM

Google Chrome:曾经的屠龙者如今也变成了龙

整个桌面浏览器领域,基本上成为 Google Chrome 的天下了。2020 年 5 月,在全球桌面浏览器市场,Google Chrome 的占比高达 69.81%。全球范围内,基于 Chromium 内核的桌面浏览器,其市场份额加起来已经超过 80%。这就意味着,整个人类桌面浏览器的底层技术和标准,都已经被一家美国商业公司所主宰,而这家公司就是 Google。

来源:雷锋网

硬核老王点评:谷歌曾经的“不作恶”口号删去之后,人们对谷歌的担忧越来越重,无论如何,这种垄断可能带来的问题都很深远。

苹果推出全新开源项目,方便密码管理应用创建强密码

项目可以让密码管理应用的开发者为知名网站创建可以兼容的强密码,这个机制与 iCloud 钥匙串密码管理器相同。当密码管理器生成一个与网站实际不兼容的密码时,人们不仅有了不好的体验,而且有自己创建密码的机会,这样非常不安全。这个项目收集了很多共享登陆的网站,收集密码规则有助于减少人们遇到这样的问题。

来源:MacX

硬核另外点评:这是一个有趣的项目。事实上,强烈推荐密码管理器。

中国提升穿山甲的保护等级

国家林业和草原局宣布,穿山甲的保护等级国家二级保护提升为国家一级,将对中华穿山甲、马来穿山甲和印度穿山甲进行更严格保护。穿山甲最近引发了广泛关注,原因是它被认为极有可能是新冠病毒从蝙蝠传播到人类的中间宿主。新华社报道称,由于过度猎捕利用和栖息地破坏,中华穿山甲分布范围不断缩小,种群数量急剧下降,保护形势非常严峻。根据 2003 年发布的第一次全国陆生野生动物资源调查结果,中华穿山甲分布范围已缩减至 11 个省份,数量降至约 6.4 万只。

来源:solidot

硬核另外点评:严格的立法和执法才是解决问题的根本。

外媒推荐 2020 年最佳安卓手机,华为没有在列

近日,ZDnet 推荐了 10 款最佳的安卓手机,包括:1、三星 Galaxy S20/S20 Plus/S20 Ultra;2、LG V60 ThinQ 5G;3、一加 8/8 Pro;4、三星 Galaxy Note 10/10 Plus;5、索尼 Xperia 1 II;6、三星 Galaxy S10/S10 Plus;7、谷歌 Pixel 4 XL/Pixel 4;8、TCL 10 Pro;9、Pixel 3A XL/Pixel 3A;10、摩托罗拉 Moto G Power。不知道出于什么原因,华为旗下的安卓手机并未出现。

来源:ZDnet

硬核老王点评:从文章看,似乎不是公众票选,或许只是编辑的个人偏好?

TrueNAS(原 FreeNAS)将发布一个基于 Linux 的版本

今年三月,FreeNAS 和 TrueNAS 合并后,统一名称为 TrueNAS。在 11.3 版本中,FreeNAS 和 TrueNAS 已经共享超过 95% 的相同源代码,但它们依旧内置于单独的镜像中。接下来要发布的 TrueNAS 12.0 则是首个二者完全融合、统一镜像的版本。此次宣布的新项目 TrueNAS SCALE 就用到了不少 TrueNAS 12.0 的源代码。不过,不同于建立在 FreeBSD 之上的 TrueNAS CORE,SCALE 项目基于 Linux 开发,更确切来讲是基于 Debian 11 (Bullseye)。

来源:开源中国

Chrome 83 对表单控件和焦点元素的更新被吐槽

最新发布的 Chrome 83 对表单控件进行了视觉效果的更新,其中对焦点元素的处理引起了众人的关注,当文本输入框处于焦点以及选定下拉菜单中的选项时,浏览器会在它们周围显示一个“黑框”。而此前这些表单组件处于焦点时,Chrome 会显示蓝色或橙色的边框。对于这个问题,已经有人向 Chromium 团队提交了议题。Chromium 团队成员进一步表示问题已经得到修复,将在 Chrome 84 Dev 中应用修复后的更新。

来源:开源中国

硬核老王点评:Chromium 一家独大,连微软 Edge 都投入其阵营,一点点失误都会带来很大的影响。

ASF 官方正式宣布 Apache Hudi 晋升为顶级项目

Apache Hudi 数据湖技术可在 Apache Hadoop 兼容的云存储和分布式文件系统之上进行流处理。该项目最初于 2016 年在 Uber 开发,于 2017 年开源,并于 2019 年 1 月提交给 Apache 孵化器。

来源:开源中国