开源身份标准和策略协调软件巩固了对多云访问策略的管理。

根据多云身份协调公司 Strata Identity 的说法，Hexa 和 IDQL（ 身份查询语言 Identity Query Language ）开源项目使组织能够在多个云平台上的应用程序中采用一致的访问策略，已被云原生计算基金会（CNCF）接受为沙盒项目：https://www.cncf.io/projects/hexa/

“ 云身份 Cloud Identity 是非常分散的，没有明确的路径来协调不同服务提供商平台的策略管理，” TechVision Research 首席咨询分析师兼首席执行官 Gary Rowe 说。“IDQL 代表了在为基于云的 IAM 治理提供基于标准的方法方面向前迈出的重要一步。”

Linux 基金会的 CNCF 是一个致力于监督开源云原生计划的非营利组织。Versa Networks、S&P Global、Cummins、Kroger、MEF 和 Strata Identity 都是 IDQL 和 Hexa 的作者和工作组参与者。有关如何帮助该项目的更多详细信息，请访问 https://hexaorchestration.org。

目前，每个云平台（如 AWS、谷歌云、微软 Azure 等）都使用一个独特的身份系统，采用独特的策略语言，彼此完全不兼容。而每个应用程序都需要进行硬编码才能与特定的识别系统一起运行。根据 2022 年多云身份状况调查，只有 25% 的受访者表示他们了解多云访问限制，这对企业来说是一个重大障碍。

基于该公司创始人共同编写 SSO 联盟 SAML 标准的经验，Strata Identity 领导了 Hexa 和 IDQL 项目。这个新项目的目标是引入一个精心设计的开源策略编排框架，以增加组织、客户和软件提供商从转向现代、开放和无密码的身份验证方法中获利的可能性。

在不改变识别系统或应用程序的情况下，IDQL 和 Hexa 允许任意数量的身份系统作为单个集成系统运行。这些开源计划共同提供了以下优势：

发现策略：

• 对重要的应用程序、数据和策略进行分析和清点
• 发现可用的应用程序以及它们的位置
• 识别策略、用户和角色

管理策略：

• 在策略发现期间，将本机命令式策略转换为声明性 IDQL 策略
• 在策略编排期间，将声明性 IDQL 策略转换为目标系统的本机命令式策略

策略编排：

• 使用基于云的架构，无需代理、代理或本地代码；
• 分发的规则由身份提供者（IdP）、云、IaaS 和网络系统执行
• 采用可扩展的开源范例，允许定制的连接器集成

via: https://www.opensourceforu.com/2022/09/cncf-accepts-open-source-hexa-project-as-a-sandbox-project/

作者：Laveesh Kocher 选题：lkxed 译者：littlebirdnest 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

对开源仓库的攻击越来越频繁了。

根据近日的研究，由于越来越多的企业使用开源代码仓库来开发他们的软件及解决方案，网络犯罪分子正在借此获利。根据软件供应链管理服务提供商 Sonatype 最近所做的研究，在最近三年里，受感染的软件包、以及对这些软件平台的 仿冒攻击 typosquatting assaults 和类似的黑客攻击的频率大幅增加。

该企业在过去三年中发现了大约 95000 个有害软件包，以及超过 55000 个最近才使用他们的存储库防火墙公布出来的危险软件包。届时，这个数字在三年内平均增长了 700%。

该企业称，他们的存储库防火墙将通过融合行为分析和自动策略执行的方式，不断发现并阻止有害软件包及潜在的易受攻击的组件。此外，它还使用了人工智能对每个新发布的开源软件进行评估，看它是否会带来一些安全风险。而且该企业断言，由于开源代码的迅速增加，人工分析已变得几乎不可能。

然而，这与企业是否在它的最终产品中包含受感染的恶意组件无关。该公司声称，如果那些恶意组件已经被下载到他们的端点上，就已经太晚了。

“恶意网络攻击的数量、频率、严重性和复杂性还在增长。但企业不能，也不应该仅为保护自身而避免使用开源代码。” Fox 补充说：“但他们可以使用预防性的工具，例如 Sonatype 防火墙来保证开发人员的工作进度和软件供应链的安全。”

via: https://www.opensourceforu.com/2022/09/attacks-on-open-source-software-are-on-the-rise/

作者：Laveesh Kocher 选题：lkxed 译者：自由的铁矿 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

在 Adobe 同意以 200 亿美元收购 Figma 两周后，开源设计项目 Penpot 背后的公司 Kaleidos 表示已筹集到 800 万美元的新资金。

自 Adobe 透露打算向著名设计工具背后的公司 Figma 投资 200 亿美元以来，已经过去了 13 天。Penpot 是个开源替代品，当时有过一段繁荣。Penpot 现在有额外的资金来支持这种扩张。据其母公司 Kaleidos 周二称，得益于 800 万美元的资金，Penpot 的协作设计软件的开发将继续进行。该公司表示，当 Adobe 同意购买 Figma 后，其注册用户在一天内就增加了 5600%。

为了支持不断增加的访问量，Penpot 在周末增强了托管 Web 应用程序的基础设施。据该公司称，本地部署量增加了 400%，托管 Penpot 开源代码的 GitHub 存储库的星标数出现了硅谷流行的曲棍球棒图。本轮投资由思科支持的 Decibel 牵头，投资方 Athos Capital 也参与其中。Decibel 的创始合伙人 Jon Sakoda 表示，这个时机可能看起来特别恰当，但这只是巧合，因为该协议是在 8 月中旬达成的，在大家兴趣飙升的几周前。

Adobe 在给 CNBC 的一份声明中表示，与 Figma 相结合，该公司将“让协作创意更轻松、更顺畅，并让数百万用户更有创造力和生产力”，而且它“将加速 Figma 的创新路线图并提供访问更广泛的客户群”。

Penpot 仍然是很难存活的企业。设计师目前可以使用 Penpot 开源软件的托管版本或免费下载。但 Penpot CEO Ruiz-Múzquiz 并不是唯一一个将 Adobe-Figma 合作伙伴关系视为重要可能性的人。在 Reddit 的 Figma 讨论板上有个帖子，标题为“如果你希望看到 Adobe Figma 交易失败，请投票。”有 400 多人投了支持。让 Figma 不属于 Adobe，这是英国设计机构 Rejiggle 的创始人 Daryl Ginn 在 Twitter 上提出的建议。

Adobe 表示，如果收购在 2023 年按预期进行，Figma 的联合创始人兼 CEO Dylan Field 将继续领导该公司。这并不能减轻一些怀疑论者的恐惧。尼日利亚品牌设计师 Chisaokwu Joboson 在 Twitter 上的一篇的帖子收到了 3,000 多个赞，他的帖子似乎暗示，在 Adobe 的领导下，Figma 存储文件的简单性将结束，它将开始更像是一个强大的桌面应用程序，需要手动保存。

预期中的合并也不是所有人都反对。例如，荷兰设计师 Fons Mans 在 Twitter 上表示，能够使用 Figma 同时还能够在 Photoshop 和其他程序中“处理你的照片”将是“一个梦想”。

由于直接共享和协作编辑等功能，Figma 最初吸引了一些摆脱 Adobe Creative Cloud 工具的设计师。尽管其被宣传为竞争对手，但据报道，Adobe 的 Creative Cloud XD 在七年后每年的经常性收入仅 1500 万美元。在 Twitter Spaces 的讨论中，产品主管 Scott Belsky 表示 Adobe 致力于帮助 XD 的用户。然而，Ruiz-Múzquiz 声称，出售的时机非常有利于他的公司的发展。

via: https://www.opensourceforu.com/2022/09/penpot-gains-additional-users-thanks-to-adobes-figma-purchase/

作者：Laveesh Kocher 选题：lkxed 译者：littlebirdnest 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Constellation 是第一个始终加密的 kubernetes（K8S）。在这个 K8S 中，你的所有工作负载和控制平面都被完全屏蔽起来，你可以使用加密证书远程确认这一点。

Constellation Kubernetes 引擎使用 秘密计算 secret computing 和 机密虚拟机 confidential VM ，将 Kubernetes 集群与云架构的其余部分隔离开来。因此，无论是在静态还是在内存中，数据总是被加密的，并创建了一个 机密上下文 confidential context 。根据创建 Constellation 的公司 Edgeless Systems 的说法，由于它为在公共云上运行的数据和工作流增加了安全性和保密性，因此机密计算是云计算的未来。

Kubernetes 节点在使用 Constellation 的私有虚拟机中运行。根据 Edgeless Systems 的说法，机密虚拟机是安全飞地的演变，它将机密计算的三个原则——运行时加密、隔离和远程证明——扩展到整个虚拟系统。机密虚拟机（TDX）使用底层硬件对私有计算的特殊支持，例如 AMD 安全加密虚拟化（AEM）、SEV-安全嵌套分页（SEV-SNP）和英特尔信任域扩展。此外，ARM 去年还发布了名为 Realms 的新 V9 架构。此设计包括私有 VM 功能。

Constellation 尝试在集群级别提供证明或通过加密证书进行验证，以及“始终在线”加密。 Constellation 中的机密 VMS 使用了 Fedora CoreOS，它构建在一个不可变的文件系统之上，是面向容器而设计的。Constellation 还利用 Sigstore 来保护 DevOps 信任链。

使用秘密计算时，性能可能会令人担忧。是的，加密会影响性能，但 AMD 和微软的联合基准测试发现，这只会导致 2% 到 8% 之间的微小性能损失。Edgeless Systems 声称 Constellation 将在繁重的工作负载下表现类似。

鉴于 Constellation 已通过 CNCF 认证，并且可与包括 GCP 和 Azure 在内的所有主要云服务互操作，这应保证其与其他 Kubernetes 工作负载和工具的互操作性。

via: https://www.opensourceforu.com/2022/09/kubernetes-to-soon-support-confidential-computing/

作者：Laveesh Kocher 选题：lkxed 译者：littlebirdnest 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

美国的《保护开源软件法案》将责成管理和预算办公室提供有关如何安全使用开源软件的说明。

美国立法者周四提出了一项要求，美国网络安全和基础设施安全局（CISA）需创建风险框架以提高开源软件安全性的措施。为了降低依赖开源代码的系统风险，各机构将利用该框架，CISA 将决定关键基础设施所有者和运营商是否也可以自愿使用它。

大多数系统依赖于免费提供的并由社区维护的开源软件来构建网站和应用程序；最大的用户之一是美国联邦政府。该立法由美国国土安全委员会主席兼高级成员、俄亥俄州共和党参议员 Sens. Rob Portman、R-Ohio 和 Gary Peters D-Mich 在一次听证会后提出，以回应在开源代码中发现的影响美国联邦系统和全球数百万其他系统的严重、广泛的 Log4j 漏洞。

“这一事件对联邦系统和关键基础设施公司——包括银行、医院和公用事业公司——构成了严重威胁，美国人每天都依赖这些公司提供基本服务，”彼得斯在公告中说。“这项明智的两党立法将有助于保护开源软件，并进一步加强我们的网络安全防御，防止网络犯罪分子和外国对手对全国网络发起的不断的攻击。”

这项《保护开源软件法》还要求美国管理和预算办公室为各机构发布关于保护开源软件的指南，在 CISA 网络安全咨询委员会中设立一个软件安全小组委员会，并要求 CISA 聘请开源软件专家协助处理网络事件。

在此之前，Peters 和 Portman 的提议已获得美国参议院一致通过并签署成为法律，以加强州和地方政府的网络防御，并迫使关键基础设施的所有者和运营商向 CISA 报告重大网络攻击和勒索软件付款。

via: https://www.opensourceforu.com/2022/09/lawmakers-proposes-a-new-bill-to-protect-open-source-software/

作者：Laveesh Kocher 选题：lkxed 译者：littlebirdnest 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

RDNA 2 GPU 的 Linux 用户可以使用 AMD 的 AMDVLK GPUOpen 开源 Vulkan 驱动程序。

用于 Radeon RX 6000 GPU 的 AMDVLK GPUOpen 图形驱动程序在过去一周改进了对 64 位光线追踪的支持。这涵盖了支持 RDNA 2 图形的 APU 以及桌面/移动 GPU。所有平台上的所有 AMD Vulkan 驱动程序现在都支持硬件光线追踪，包括 Mesa3D RADV、AMDVLK GPUOpen 和 AMDGPU-PRO。

GPU 光线追踪库（GPURT）的基础是一个 C++ 接口。根据其用法和依赖关系，公共接口被拆分为各种头文件。用户可以在官方的 GitHub 仓库上了解更多信息，它还包括了 RDNA 2 GPURT 的结构细分。最新的 AMDVLK GPUOpen v-2022.Q3.4 信息如下：

更新和新功能：

• 扩展 Navi2x 的 64 位光线追踪功能。
• 将 Vulkan 标头升级到版本 1.3.225
• 游戏性能优化，包括《荣耀战魂》和《奇点灰烬》

已解决的问题：

• dEQP-VK.api.copy_and_blit.*.resolve_image.whole_copy_before_resolving_transfer.* 新版本 CTS 失败。
• dEQP-VK.pipeline.creation 缓存控件有一个 CTS 警告。
• Ubuntu 22.04 上的 Firefox 损坏
• VulkanInfo 崩溃，管道缓存已停用
• RX 6800 上的 RGP 测试套件故障

新的改进包括 GPU 光线追踪库（GPURT），它将包括使用 HLSL 之类的着色器在光线追踪中看到的边界体积层次（BVH）的构造和排序处理。这个库将提供一个标准库来改进图形渲染并引入更多的统一性。DirectX 12 DXR 也将与新库一起使用。

对 GPU 光线追踪（GPURT）库的描述为“一个静态库（源代码交付），为支持 DXR（DirectX 12）和 Vulkan® RT API 的 AMD 驱动程序提供与光线追踪相关的功能。” 该公司的平台抽象库用于构建库（PAL）。

用户可参考最新 AMDVLK GPUOpen v-2022.Q3.4 升级的安装说明。用户在更新任何软件、硬件或驱动程序之前应备份所有相关数据，以免丢失重要文件。

为了让最新的 Linux 驱动程序为 AMD、Intel 和 NVIDIA 技术做好准备，已经投入了大量工作，这些技术都是在今年第一季度推出的。

via: https://www.opensourceforu.com/2022/09/amds-open-source-vulkan-graphics-drivers-now-enable-ray-tracing/

作者：Laveesh Kocher 选题：lkxed 译者：littlebirdnest 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出