由 HongBo Fang 博士领导的研究团队发现，推特是一种吸引更多人关注和贡献 GitHub 开源项目的有效方式。Fang 博士在国际软件工程会议上发表了这项名为“‘这真是太棒了！’估计推文对开源项目受欢迎程度和新贡献者的影响”的研究，并获得了杰出论文奖。这项研究显示，发送和一个项目有关的推文，导致了该项目受欢迎程度增加了 7%（在 GitHub 上至少增加了一个星标），贡献者数量增加了 2%。一个项目收到的推文越多，它收到的星标和贡献者就越多。

Fang 说：“我们已经意识到社交媒体在开源社区中变得越来越重要，吸引关注和新的贡献者将带来更高质量和更好的软件。”

大多数开源软件都是由志愿者创建和维护的。参与项目的人越多，结果就越好。开发者和其他人使用该软件、报告问题并努力解决这些问题。然而，不受欢迎的项目有可能得不到应有的关注。这些劳动力（几乎都是志愿者），维护了数百万人每天依赖的软件。例如，几乎每个 HTTPS 网站都使用开源的 OpenSSL 保护其内容。Heartbleed 是 OpenSSL 中发现的一个安全漏洞，在 2014 年被发现后，企业花费了数百万美元来修复它。另一个开源软件 cURL 允许连接的设备相互发送数据，并安装在大约 10 亿台设备上。开源软件之多，不胜枚举。

此次“推特对提高开源项目的受欢迎程度和吸引新贡献者的影响”的研究，其实是 “Vasilescu 数据挖掘与社会技术研究实验室”（STRUDEL）的一个更大项目的其中一部分，该研究着眼于如何建立开源社区并且其工作更具可持续性。毕竟，支撑现代技术的数字基础设施、道路和桥梁都是开源软件。如果维护不当，这些基础设施可能会崩溃。

研究人员检查了 44544 条推文，其中包含指向 2370 个开源 GitHub 存储库的链接，以证明这些推文确实吸引了新的星标和项目贡献者。在这项研究中，研究人员使用了一种科学的方法：将推特上提及的 GitHub 项目的星标和贡献者的增加，与推特上未提及的一组项目进行了比较。该研究还描述了高影响力推文的特征、可能被帖子吸引到项目的人的类型，以及这些人与通过其他方式吸引的贡献者有何不同。来自项目支持者而不是开发者的推文最能吸引注意力。请求针对特定任务或项目提供帮助的帖子会收到更高的回复率。推文往往会吸引新的贡献者，他们是 GitHub 的新手，但不是经验不足的程序员。还有，新的关注可能不会带来新的帮助。

提高项目受欢迎程度也存在其缺点，研究人员讨论后认为，它的潜在缺点之一，就是注意力和行动之间的差距。更多的关注通常会导致更多的功能请求或问题报告，但不一定有更多的开发者来解决它们。社交媒体受欢迎程度的提高，可能会导致有更多的“巨魔”或“有毒行为”出现在项目周围。

（LCTT 译注：我觉得文章中有三句话写得很好，于是把它们加粗了，和大家分享。 —— 六开箱）

via: https://www.opensourceforu.com/2022/06/according-to-studies-twitter-drives-open-source-projects-popularity/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Adobe 设想的是为网络上充斥的照片和视频标注关于它们的来源。该公司的主要目标是减少视觉错误信息的传播，不过，该系统也可以使那些“希望将自己的名字与工作关联起来”的内容创作者受益。

Adobe 在 2019 年首次宣布了其 内容真实性计划 Content Authenticity Initiative （CAI）项目，此后，它发布了一份关于实现该目标的技术白皮书，将该系统集成了到自己的软件中，并与新闻编辑室和硬件制造商展开了合作，以帮助普及其愿景。

现在，该公司发布了一个由三部分组成的开源工具包，从而把该技术交到开发人员手中，并投入使用。Adobe 的新开源工具包括一个用于开发“在浏览器中显示内容凭据”的 JavaScript SDK、一个命令行实用程序，和一个用于开发桌面应用程序、移动应用程序和其他应用的 Rust SDK，以创建、查看和验证嵌入式内容凭据。

众所周知，照片的 EXIF 数据中记录了有关光圈和快门速度的信息，这个新标准也采用了这种方式，它还记录有关文件创建的信息，例如文件的创建和编辑方式。如果该公司的共同愿景成真，这些 Adobe 称之为“内容凭证”的元数据，将在社交媒体平台、图像搜索平台、图像编辑器、搜索引擎中广泛可见。

C2PA 是 Adob​​e 的 CAI 与 微软、索尼、英特尔、推特以及 BBC 等合作伙伴的合作成果。华尔街日报、尼康和美联社最近也加入了 Adob​​e 的这个计划，即将 内容认证技术 content authentication 更加广泛地应用。

有了这些新工具，社交媒体平台就可以使用 Adob​​e 的 JavaScript SDK，快速让平台上的所有图像和视频显示内容凭据，这些凭据将会在鼠标悬停时，显示为右上角的一个图标。因此，无需专门的团队和更大的软件构建，该实施可以由几个开发人员在几周内完成。

CAI 的主要目标是打击互联网上的视觉错误信息，比如那些扭曲乌克兰战争的旧图片的重新传播，或是臭名昭著的南希·佩洛西的“廉价假货”。不过，数字监管链也可能使“作品被盗或出售”的内容创作者受益，这个问题多年来一直困扰着视觉艺术家，现在也正在 NFT 市场引发问题。

根据 Parsons 的说法，CAI 还引起了那些“制作合成图像和视频”的公司的巨大兴趣。公司可以将原始元数据嵌入到我们从 DALL-E 等模型中看到的那种 AI 创作中，从而确保它提供的合成图像不会轻易被误认为是真实的东西。

via: https://www.opensourceforu.com/2022/06/adobe-launches-open-source-toolkit-to-contain-visual-misinformation/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Travis CI 持续集成工具中的一个缺陷暴露了来自数千个在线开源项目的敏感数据。这并不是该软件第一次遇到此类安全问题。

Travis CI 是一个持续集成工具，它帮助软件开发者实现自动化地测试新代码，并将新代码集成到开源项目中。Aqua 研究人员发现，通过该软件的一个 API，可以访问来自 Travis CI 免费用户的多达 7.7 亿条“日志”（即使用户的账号已经删除）。

攻击者可以从这些明文存储的日志中，提取出用于登录 GitHub、Docker Hub 和 AWS 等云服务的用户身份验证令牌。研究人员在 800 万份日志样本中，发现了 70000 多个敏感令牌和其他机密凭证。Aqua 团队认为“所有 Travis CI 免费用户都有可能暴露”。根据 2019 年的数据，Travis CI 被超过 60 万名独立用户，用于超过 932977 个开源项目。

这种对高级用户凭证的访问，会给使用该产品的软件开发者及其客户带来风险。趋势科技英国和爱尔兰安全技术总监 Bharat Mistry 解释道：“如果攻击者获得了这些凭据，就没有什么能阻止他们将恶意代码引入库或构建过程。这个缺陷无疑会导致数字供应链攻击。”

供应链攻击可能极具破坏性。2020 年的 太阳风 Solar Winds 攻击，使国家资助的俄罗斯黑客能够访问数千家企业和政府组织的系统。2021 年的 Kaseya 供应链攻击，使犯罪分子可以同时加密 1500 多家公司的数据，将它们全部扣为人质。

via: https://www.opensourceforu.com/2022/06/the-travis-ci-vulnerability-exposes-sensitive-open-source-project-credentials/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

开源电子邮件客户端 Thunderbird 将通过 K-9 Mail Android 电子邮件应用项目登陆 Android，该项目与 Thunderbird 合并后的产品就是 Thunderbird Android 电子邮件应用。两年前，Thunderbird 被转移到了 Mozilla 基金会的子公司 MZLA Technologies Corporation 下，该公司的所有权结构与基金会子公司 Mozilla 公司旗下的 Firefox 类似。有了 OpenPGP 端到端加密和期待已久的移动应用等新功能，Thunderbird 项目能够开辟出一条自己的道路。

根据 Thunderbird 团队的说法，Thunderbird 产品经理 Ryan Lee Sipes 和 K-9 的主要维护者 Christian Ketterer，两人早在 2018 年就开始讨论可能的 Thunderbird 电子邮件应用合作了。到了 2022 年，两人决定不再让 Thunderbird 从头开始​​开发自己的应用程序，而是直接让 K-9 加入 Thunderbird。

Thunderbird 团队表示：“许多 Thunderbird 用户都要求在移动设备上获得 Thunderbird 体验，我们打算通过把 K-9 打造成令人惊叹的产品（并将其变成 Android 上的 Thunderbird）来提供这种体验。K-9 将补充提供 Thunderbird 体验，并增强它的使用场景和方式，让用户获得出色的电子邮件体验。我们对桌面 Thunderbird 的承诺没有改变，我们团队中的大多数人都致力于将其打造为一流的电子邮件客户端，并将保持这种状态。”

虽然 K-9 在 Google Play 上并不是特别受欢迎的电子邮件应用，但它已经获得了 500 万次下载。K-9 Mail 的路线图目前包括：使用 Thunderbird 帐户自动配置的帐户设置、改进的文件夹管理、消息过滤器支持，以及桌面和移动 Thunderbird 之间的同步。虽然 Thunderbird 知道人们对 iOS 版 Thunderbird 应用程序也很感兴趣，但在常见问题解答（FAQ）中，该项目仅声明它正在“评估”这种可能性。

Thunderbird 团队还打算将 Firefox Sync 作为一种在 Thunderbird 和 K-9 Mail 之间同步帐户的方法。它应该会在 2023 年夏天正式投入使用。该项目还在研究将哪些 Thunderbird 功能引入 Android 应用程序，例如日历、任务、提要和聊天支持等。

via: https://www.opensourceforu.com/2022/06/thunderbird-the-open-source-email-client-is-coming-to-android/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

OpenInfra 基金会的前身为 OpenStack 基金会，几年前它将范围扩展到其旗舰项目之外，于是改了名字。2022 年 6 月 7 日，它宣布了一种有趣的新方式，让企业资助基金会内的开源项目。一般来说，开源基金会的企业成员通过支付会员费来支持该组织，然后基金会按照他们认为合适的方式分发这些费用。OpenInfra 基金会现在推出了一种新的“定向资助”模式，允许成员将他们的资金直接用于项目。

此前，基金会并不允许这样做，因为正如 Bryce 指出的那样，它可能会产生混合激励和付费游戏动态，而该组织一直试图避免这种情况。然而，社区对支持特定项目有很大的兴趣，这是有道理的，因为该基金会现在拥有更多种类的项目，但并不是每个成员都对每个项目进行了大量投入。

Bryce 表示，基金会的领导层和董事会，花费了大量时间来考虑，如何使基金会的核心原则与这种新模式相协调。因此，该模型试图将过去十年运行良好的 OpenStack/OpenInfra 技术治理模型的优点，与这些新的财务考虑相结合。

在这种“定向资助”模式下，每个新项目都将拥有自己的法人实体来持有项目资金。为确保新项目的合法性，OpenInfra 白金会员（目前为 9 家，包括蚂蚁集团、华为、Meta、微软和红帽）必须担任项目的发起人，之后其他组织才能加入项目基金。如果赞助公司还不是 OpenInfra 成员，则必须成为成员。然后，所有这些资助成员组成一个项目基金管理委员会，决定创建预算的费用。与此同时，OpenInfra 基金会将为这些项目提供社区建设服务。

这种新模式暂时只适用于加入基金会的新项目。Bryce 和 Collier 指出，组织可能会在一些现有项目中追溯应用这种新模式，但这个考虑目前不在路线图上。

自从将范围扩展到 OpenStack 之外后，OpenInfra 基金会增加了一些新项目，例如用于提高容器安全性的 Kata Containers、用于基础设施生命周期管理的 Airship、Startling X 边缘计算堆栈以及 Zuul CI/CD 平台。

“我们从每个成功的项目中学到的最重要的一点是，协作是关键，支持生态系统的范围越广越好，” OpenInfra 基金会总经理 Thierry Carrez 说，“事实上，我们发现最成功的开源项目是由多家公司资助的，因为他们能够整合资源以实现更高的回报率。”

这种新模式显然是 OpenInfra 基金会引入新项目和新成员的一种方式。正如领导团队欣然承认的那样，其在多方生态系统中管理开源项目的模型 —— 无论是通过新的定向资金还是更传统的方法 —— 可能并不适合每个项目。即使 OpenInfra 基金会只收到一小部分项目，随着对这些复杂云基础设施项目需求的增长，开源项目的数量也在增加，同时它们也变得更加复杂。

基金会还宣布了其各个项目的几个里程碑版本的发布，包括 Kata Containers 2.0 版、Zuul 5.0 版和 StarlingX 6.0 。

Collier 说：“基金会今年庆祝成立 10 周年，在展望下一个十年的开放基础设施之际，我们正在推动我们的模型如此成功的关键，那就是：将希望合作的公司和个人联合起来，为他们提供一个框架和有效协作的工具，并帮助他们投资资金以最好地帮助他们关心的项目。”

via: https://www.opensourceforu.com/2022/06/openinfra-foundation-launches-directed-funding-to-support-open-source-projects/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

DeepMind 是 Alphabet 的子公司和 AI 研究实验室，在 2021 年 10 月，它收购了用于机器人研发的 MuJoCo 物理引擎，并承诺该模拟器将作为免费、开源、社区驱动的项目进行维护。现在，DeepMind 声称开源计划已完成，它的整个代码库 可在 GitHub 上获得。

MuJoCo 是 “Multi-Joint Dynamics with Contact” 的缩写，它是一个物理引擎，旨在帮助机器人、生物力学、图形和动画等领域的研究和开发（也包括其他需要快速准确模拟的领域）。MuJoCo 可用于帮助机器学习应用实现基于模型的计算，例如 控制综合 control synthesis 、 状态估计 state estimation 、 系统识别 system identification 、 机制设计 mechanism design 、通过 逆动力学 inverse dynamics 来进行数据分析，以及 并行采样 parallel sampling 。它也可以用作标准模拟器，例如用于游戏和交互式虚拟环境。（LCTT 译注：这段话中涉及到不少专业词汇，鉴于译者水平有限，若有谬误，请在评论中指出，同时也欢迎在评论中科普，一起学习～）

根据 DeepMind 的说法，以下是 MuJoCo 适合协作的一些功能：

• 能够模拟复杂机制的综合模拟器
• 可读、高性能、可移植的代码
• 易于扩展的代码库
• 丰富的文档，包括面向用户的和代码注释 —— 我们希望学术界和 OSS 社区的同事能够使用这个平台并为代码库做出贡献，从而改善所有人的研究

DeepMind 还说：

“作为没有动态内存分配的 C 库，MuJoCo 非常快。不幸的是，原始物理速度一直受到 Python 包装器的阻碍：全局解释器锁（GIL）和非编译代码的存在，使得批处理、多线程操作无法执行。在下面的路线图中，我们将解决这个问题。”

（LCTT 译注： 这里补充了原文没有提及的路线图和基准测试结果。）

路线图：

• 通过批处理、多线程模拟释放 MuJoCo 的速度潜力
• 通过改进内部内存管理支持更大的场景
• 新的增量编译器，带来更好的模型可组合性
• 通过 Unity 集成支持更好的渲染
• 对物理导数的原生支持，包括解析和有限差分

“目前，我们想分享两个常见模型的基准测试结果。注意，这个结果是在运行 Windows 10 的标准 AMD Ryzen 9 5950X 机器上获得的。”

via: https://www.opensourceforu.com/2022/05/deepminds-open-source-mujoco-is-available-on-github/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出