Wxy 发布的文章

今日关注

至少有三个系统管理员报告说,他们的 Linux 的 Web 服务器被一种名为 FairWare 的勒索软件攻击了。攻击者会将服务器上 Web 服务器的内容删除并留下如下消息:

Hi, please view here: http://pastebin.com/raw/jtSjmJzS for information on how to obtain your files!

这个 PasteBin 的链接内有更多的勒索内容和说明,要求用户为其指定的比特币钱包转账 2 比特币,并提供了联系的邮件地址。不过这个勒索软件看起来并不是加密了用户的文件,而是删除了它,所以有可能你付出了赎金也不能找回文件。截止到目前为止,该比特币钱包地址还未有人支付勒索的赎金。

图文摘要

Fedora 25 alpha 版本正式发布,采用 Linux 内核 4.8 、支持 Wayland 显示服务器和 GNOME 3.21.4——这是即将发布的 GNOME 3.22 的开发版。

Enlightenment 0.21.2 发布,在新发布的 Enlightenment Foundation Libraries (EFL) version 1.18.0 中支持 Wayland 显示服务器。

在 Mozilla 基金会开展“开源品牌重建”活动两个月之后,终于将选择缩小到了七种。它的这个活动并不要求用户提交设计方案,而是由一家英国的设计公司 Johnson Banks 提供的设计,但是会根据用户的意见作为选择的参考。

下一步,会从这七个设计中选择出三个来,并在九月底选定最终的一个。这些设计包括了各种场景下的不同演绎,目前这七个分别是:

The Eye

The Connector

The Open Button

Protocol

Wireframe World

The Impossible M

Flik Flak

不过,我觉得都……挺丑的。

沉默了九个月之后,自去年十月份的 Java One 大会之后一直没有对 Java EE 的发展停滞进行回应的甲骨文终于对外透露了该公司在 Java EE 方面的发展计划。

正如之前 arstechnica 的报道中所说,自去年秋天伊始,甲骨文在 Java EE 项目上的开发投入就已经几乎完全停止了,该公司不但将该项目上的工程师们投入到了其它项目当中,而且对社区的意见和请愿视若不闻,将 Java 社区进程 Java Community Process (JCP)执行委员会的成员们和 Java EE 的合作伙伴们丢在了深深绝望之中。

据 Java EE 守护者的观察,甲骨文在其自己的 JavaServer Faces 开发上的几个月前就陷入了完全停止,如下图:

甲骨文在其自己的 JSF 实现上的提交数变化

甲骨文在其自己的 JSF 实现上的解决问题数的变化

此事经由 arstechnica 报道之后,在整个技术世界引来了巨大反响。作为对这些质疑和请愿的回应,甲骨文的发言人 Mike Moeller 通过邮件发布了下述申明:

甲骨文致力于 Java 的发展,已经制定好了 Java EE 规范的下一个版本 Java EE 8 草案。 Java EE 8 将支持那些寻求在大规模分布式计算和基于容器的云环境中设计使用微服务来构建新应用的开发者们。甲骨文正在与 Java 社区中的关键合作伙伴们密切合作,以最终推出该草案,并将在九月份的 Java One 大会上与广大的 Java 社区分享该草案的完整细节。

按其说法,甲骨文将于今年九月份在旧金山召开的 Java One 大会上发布相关信息,并于 2017 年上半年发布 Java EE 8

当被问及“关键合作伙伴”是否是同时指 JCP、 Java EE 专家组 Java EE Expert Group 和特定的行业合作伙伴时,甲骨文的一位发言人回应道并不全是。该发言人说,该草案很显然需要在 Java 社区内进行讨论,这包括 Java EE 专家组以及 JCP 内的更多成员,甲骨文希望得到更多的反馈。

Java 社区的一些开发人员对此表示了惊喜和疑虑。不过总体来说该申明所带来的消息还是比较乐观的,这表示甲骨文最终对 Java 社区的意见进行了澄清。这也许是对 Java EE 守护者 Java EE Guardians 请愿投票的回应,截止至 7 月 7 日,该请愿已经得到了超过 2700 位开发者的支持。

“这真是一件令人惊喜的好消息。我们非常高兴甲骨文听到了社区的声音,并努力去寻求解决方案。“前甲骨文雇员、Java 专家,也是现在 Java EE 守护者的发言人 Reza Rahman 对甲骨文的回应表示了感谢,他说,”我们希望甲骨文可以将 Java EE 当成一个标准而不是一个产品,从而取得进一步的发展。……社区应当将此视为继续建设性地伴随甲骨文前进的一个机会,我们需要彼此密切配合以造福 Java 和 Java EE 生态,希望 Java EE 8 的发展计划可以在包括 Java 社区在内的广泛的合作中完整达成。”

一位 Java EE 的开发者及作者 Josh Juneau 说,“这是正确的一步,甲骨文最终就 Java EE 发布了申明。”,但是他又说,“我们需要谨慎从事,通过 Java EE 守护者继续推进,以帮助社区紧密参与到 Java EE 的发展当中。”

Josh Juneau 也有些担心甲骨文申明中提及的新方向可能会影响到 Java EE 8 已经取得的一些进展,“我们需要继续发出声音,推进 Java EE 8 的每个 JSR (Java 规范请求)的发展,让甲骨文知道它们每个都很重要。我们不希望看到甲骨文缩减范围,丢掉一些 JSR。”

甲骨文在 Java EE 8 中重点提到微服务和其它针对云的应用并不令人惊奇,甲骨文日益将其重点放在了云方面的架构、平台和应用服务方面。在过去九个月里 Java EE 8 方面的停摆表明,在最近的财年报告中甲骨文在传统软件许可销售方面的收入首次下降后,它正在努力加大其在云方面的投入。

参考信息来源:arstechnicatheregisterjavaee-guardians

由于 甲骨文 Oracle 在开源项目上的一些作为,以至于它成了开源界的嘲讽对象。在 2015 年旧金山举办的 JavaOne 大会上,前 太阳微系统公司 Sun Microsystems 的 CEO Scott McNealy 出现在了 Java 20 周年纪念视频中,在那段视频中,他讽刺性的列出了“Java 开发者的 12 大噩梦”,其中第四条是“你喜欢开源和分享,但是你却在甲骨文工作。”这惹得在场的开发者们哄堂大笑,但从其中也可以看出甲骨文在开发者中间的形象。

下面列出了一些甲骨文在开源方面发生的一些事情:

2009 年 12 月

MySQL 的创造者 Ulf Michael "Monty" Widenius 向欧共体(欧盟前身)发起请愿,要求阻止甲骨文收购 太阳微系统公司 Sun Microsystems ,其时,太阳微系统公司刚刚收购了 MySQL 公司一年。Widenius 预测,如果太阳微系统公司被收购,甲骨文有可能将 MySQL 的一部分闭源。

2010 年 1 月

甲骨文完成了对太阳微系统公司的收购。

2010 年 2 月

甲骨文从其产品路线图中排除了 OpenSolaris。

2010 年 3 月

太阳微系统公司的开源官 Simon Phipps 在两家公司合并时离开了该公司。

2010 年 4 月

Java 之父 James Gosling 离开了甲骨文,他后来称该公司“挑战了道德”。

2010 年 8 月

甲骨文内部备忘录告知员工,OpenSolaris 将会中止,Solaris 和 ZFS 也会“关闭”。

OpenSolaris 管理委员会解散。

“完全开放”的 OpenSolaris 和 ZFS 项目 Illumos 启动。

多名 MySQL 团队成员离开并加入了 Rackspace,参与到了 MySQL 分支 Drizzle 项目的开发。

2010 年 9 月

OpenOffice.org 社区的一些成员离开并创立了 文档基金会 The Document Foundation (TDF),并分支出了 LibreOffice 项目。他们邀请甲骨文加入文档基金会。

2010 年 10 月

甲骨文要求文档基金会成员离开 OpenOffice.org 项目,理由是“利益冲突”,并且拒绝加入文档基金会。

LibreOffice 正式成为替代 OpenOffice.org 的一个分支。

甲骨文闭源了 HPC 平台(以前叫做 太阳网格计算引擎 Sun Grid Engine ),转而开源维护 开放网格计算调度器 Open Grid Scheduler 项目。四个月后,整个网格计算团队离开并加入了 Univa。

2010 年 12 月

阿帕奇基金会 Apache Foundation 为其 Java 开源实现版本 Apache Harmony 提出了一个技术兼容配套方案,在甲骨文拒绝许可该方案之后,阿帕奇基金会辞去了 Java 社区进程 Java Community Process (JCP)组织的执行董事席位。

2011 年 1 月

甲骨文申请了商标“Hudson”,这是一个开源的 Java 持续集成平台的名字(社区后来投票改名为“Jenkins”),甲骨文继续以它自己的名字“Hudson”开发该项目。

2011 年 4 月

甲骨文停止了 OpenOffice.org 和 OracleOpenOffice 的开发,两个月后,该公司将代码捐献给了阿帕奇基金会。

2011 年 9 月

甲骨文宣布它将发布 MySQL 的商业扩展,并且该项目将不再是完全开源的了,变成了“ 内核开源 open core ”模式。

2013 年 6 月

甲骨文改变了开源的 伯克利 DB Berkeley DB (BDB)的许可证,从一个 BSD 风格的公开许可证变成了 Affero 通用公开许可证,它要求用户以 GPLv3 或 AGPL 许可证提供其应用的源代码给任何一个通过网络连接到他们的应用的人。这一举动被广泛认为是要么恐吓用户为其开发的应用购买商业许可,要么是想弄死 伯克利 DB Berkeley DB (BDB)。


以上信息仅限于笔者收集到的部分,欢迎大家提交更多可信来源的信息来完善此文。

信息参考来源:arstechnica

(题图来自:zimbio.com)

经常来 Linux 中国(https://linux.cn/)的同学可能注意到了,这两天你会在我们的网页顶部看到一个固顶的红色提示信息,喏,就是这样的:

我们的反广告过滤器的提示

嗯嗯,我们没有被黑,这个提示消息是我们主动放的——如果你看到了这个消息,说明是你的浏览器上的广告过滤器(如 ABP、ADblock 等)将我们加到黑名单了。因此,这是我们在无奈之下所作出的反应。

作为一家开源站点,——嗯,我要首先打一张悲情牌——我们有相当部分的收入来自于网站广告投放,还有部分则是微信广告。这些费用用来支付网站的基础设施投入,比如硬件、托管等费用,还要支付运营成本,比如说站长我的生活来源。

我去检查了一下广告过滤软件所常用的黑名单列表,比如 easylistchina+easylist,只是搜索“linux”这个关键字,就有60条匹配,也就是说大部分和 Linux 相关的站点都被加入了广告过滤的黑名单了,我想,这些站点可能也没钱申请加入白名单。

那么,如果访客使用了广告过滤器(据我所知,很多人都会使用广告过滤器,尤其是技术圈子,包括我本人也在使用),那么这些广告就会被屏蔽。这样带来了几个后果:

  • 我们为投放广告的甲方所提供的曝光量不能兑现,因此从商业道德上不对,而且也不会有人再投放了
  • 我们的页面呈现效果会乱掉,比如开了天窗或内容都挤在一起了

针对这种情况,其实,我们之前都是随时调整广告代码,以规避过滤;但是,这种博弈越来越复杂,我们也终于累了。所以,做出了这样的选择,请您——我们的访客——主动对本站关闭广告过滤器。

其实,最初本站是没有投放广告的计划的,但是自力运营了几年之后,我们也需要一些资金支持持续的运营,因此,以审慎的态度,我们接受了部分广告投放。就目前而言,我们在广告方面的策略如下:

  • 只接受针对特定于我们访客的广告,比如说,我们的访客绝大部分都是 IT 行业的,包括学生、工程师、开源爱好者等,所以,我们只接受针对这种受众群体的广告
  • 只接受正面的广告,不接受具有不良诱导和攻击性的广告
  • 只接受静态的 JPG 图片投放,不接受那种闪闪发光的 GIF 动画或 Flash 广告(这里只有一则违例广告)
  • 不接受第三方 JS 代码的广告投放,以避免用户隐私泄露
  • 不接受侵入式广告,比如那种满屏乱飞的广告、遮挡内容的广告
  • 不接受我们认为商誉不好的广告商的广告
  • 不接受难看的广告,这会闪瞎我们访客的钛合金眼睛

在设置这个提醒的时候,虽然我们希望能醒目的提醒到所有的用户,但是还是将这个提示条尽量放到一个不太扰人的位置,至少不会太影响阅读体验。

虽然做了如上决定,但是我还是有些不安,所以,就此事和大家做个说明,也想听听大家的意见和建议。请在下面发表您的意见。

阿里云云栖大会6月15号在厦门盛大召开,我们有幸和阿里云资深总监李津面对面进行了交流,就阿里云在云计算方面的一些发展和战略进行了较为深入的讨论。

这次谈话是在李津(以下简称李)、Linux中国的创始人王兴宇(以下简称王)之间展开的。通过这次讨论让我们对阿里云有了更新的认识。

话题是先从 HTTPS 云加速引开的

王:在之前已有消息说阿里云在开发 HTTPS 云加速的服务,而业界,包括国内已经有云加速服务商提供了 HTTPS 云加速服务。不知道阿里云这方面的进展如何?

李:阿里云的 HTTPS 的云加速其实从技术上已经完成了,目前还在调测一些用户体验的部分,技术上并不是障碍,关键是易用性。HTTPS 云加速事实上是基于 CDN 做的,但是这里还有一些需要完善的部分,CDN 本身是一种管道,解决了从 CDN 到用户的加密传输,但是还需要解决从源站到 CDN 节点间的传输。如果用户本身没有支持 HTTPS ,那么还需要考虑从源站到 CDN 节点之间的传输问题,而部署 HTTPS 对于不少客户来说还是比较复杂的,很多用户希望有一键部署的体验。

此外,对于已经部署 HTTPS 的用户,他们还是愿意将其私钥放在自己控制的服务器上,而不是放到阿里云的 CDN 节点上,对于这种情况下,有两种方式:一种是采用伪密钥的方式,即由 CDN 提供证书给客户,另外一种是客户将自己的 SSL 证书上传,这可以是上传到一个信任的第三方的黑盒中。

窦:说到证书服务,阿里是否有计划建立自己的 CA 或者购买一家 CA 服务商?

李:CA 服务商最重要的不是颁发证书,而是要对所颁发证书的可信性进行背书。颁发了证书就要确保该证书所保护的信息具备起码的安全水准,有些 CA 服务商这方面做的还不够。不仅仅是用户购买就颁发证书,而且要对客户进行检查和判断,判断是否达成安全可信标准。CA 服务商不是一个生意,更多的是一种保障的能力。

王:如果阿里云提供 CA 服务,是否会采用类似 Let’s Crypt 这种免费模式?

李:如果不叠加更多安全服务,是可以采用免费摸,但是如果叠加了比如扫描检查等增值服务,就需要商业收费模式。这些年来,对于安全方面的承诺,需要越来越慎重, CA 证书代表的是信任所传递的责任。

云计算的新形势下,基础运维的变化

窦:云计算让运维行业迎来了第二春,对运维人员的界定也在发生变化。那么您认为将来运维行业会发生什么变化?

李:首先,云计算是从运维上发展起来的一个方向,而不是一个自顶向下的变化。其次,随着 DevOps 的流行,开发和运维在某种程度上是融合的,今天的运维人员已经有能力和空间去做一些更应该去做的事情了,而不仅仅是守在机房整理机架。运维是什么?按照 Google SRE 的说法,就是站点的可持续性的保障。

窦:随着云计算的发展,传统的互联网公司的基础运维部分会越来越少,这部分过渡到了云计算平台服务商了。

李:从使用者的角度看,基础运维会越来越少,而业务运维会越来越多。云计算平台不会提供所有服务,但是会尽量提供各种原子性的服务。比如说,在我看来,MySQL、Cache 现在就是一个原子性的服务,而不像过去,是一个解决方案。现在的业务运维就是快速地用原子化的部件搭建自己的业务系统,支撑业务运维,就像乐高积木一样搭建。今天很多云服务商都喜欢用乐高积木来比喻其服务,其实就是指这些服务会形成标准件,用户可以用这些标准件来搭建自己的业务系统。

当然这种标准件会让客户丧失部分的自主权,比如说某种原子化部件不存在怎么办?有两种方式,如果确实是一种原子性的产品,那么云计算服务商一定会提供的;如果是当下急需或个性的需求,那就可以客户自己做。非常有意思的是,每个大的云计算服务商背后都会有一个云市场,你自己做出自己的原子化部件,也可以将它放到云市场上去。

窦:在这个方面我发现一个问题,比如说他们已经做出来了这个原子件,但是有一天云计算厂商发现这个东西不错,我也要做这个,那你怎么平衡这个关系?

李:这个事情从某种程度上讲一定会发生。为什么呢?原子化的就是抽象化的,如果云技术服务商发现它已经成为大多数人所需要的一个东西,就会向下抽象,让它成为服务平台的一部分。那么对于上层厂商来说该如何发展呢?他们应该向上走,将这个东西做的更细分、更好。这就是一种倒逼机制,就像是假如你要做一个杯子,而你的杯子的生产成本已经远远高于通用化制造的杯子,那你肯定会被淘汰。但是如果你把这个杯子变成陶瓷的、变成有收藏价值的,那就可以做了,不会被通用化制造的杯子挤压到没有市场。

举例说, AWS 上有两家存储服务商,DropBox 和 Box,那这两家公司有生存空间么?其实他们都是做数据文件的共享,而文件共享其实是 AWS 的基础服务。这两家做的是数据增值服务,如果这种增值服务对所有人来说都是标准服务需求的时候,它就会被 AWS 所提供,那么这两家厂商就不停的被底层的厂商倒逼着不停地提供更多的增值服务。但是它们越做新的增值服务,就和用户越贴近,挖掘到的需求对用户的帮助就越大。这个时候产业是良性的。但是如果厂商固守在数据存储上,那这个“游戏”就结束了。

我们再换个例子说,比如手机里面,之前任何一个智能手机里面都有一个“日历”应用的厂商,但今天还有日历厂商么?很少了,因为这种需求已经是一个通用的需求了。但是“万年历”还存在,这是因为“万年历”这个数据是独特的,也不是通用的需求。但是普通的日历、农历是通用的需求,所以就被底层厂商“吃”掉了;同样,“手电筒”应用也是,它成为了手机自身的功能。

安全服务的边界

王:刚才我们提到了安全问题,我们知道阿里云给客户提供了很多安全服务。做安全实际上存在一个矛盾,在效率和安全之间是存在一定的抵触的。据我所知,阿里云至少在两个层面上为客户提供了安全服务,一个是在云的层面上提供了云防火墙;另外一个是在主机层面提供主机安全防护。这里我想知道,阿里云在安全方面的策略是如何的?因为如果安全方面厂商做的太多,会影响到客户的使用,但是如果有些服务不做的话,一些安全问题就会导致客户应用的问题,甚至会造成安全事故的蔓延。

李:安全的最大问题是:安全的边界。如果这个边界说不清,就会出现你说的这个问题,多做、少做都不对。第二个问题是,安全边界是个大家认知的问题,道德和法律的差异,法律是本分、道德是情分,这是有差别的。在安全方面,阿里云做了三个层面:业务安全、主机安全和平台安全。业务安全是防止客户被入侵,保障客户应用的安全,是从外向里看;而主机安全是从主机向外看。还有一个层面是平台本身的安全。

安全一定是要划清边界的,因为不可能包揽百分百,这就一定要和用户说清楚那些部分是不能包揽的。安全里面 30% 是技术的问题,70% 是人的问题,但今天有没有什么办法让人的部分降低到那怕是 50%?让使用更便捷一点?但是这里有个问题是,当你管的多了时候,客户怎么确认你管的这么多是合适的?

窦:很多人对安全的保姆模式还处于一个认可的过程,对保姆模式的信任也没有建立起来。

李:首先是你说的客户不一定相信,不是你说了客户就会相信,这是一个很正常的事情。那只能是在一开始的时候就尽量将事情说清楚。其次是,能以授权的方式存在的就一定要以授权的模式做,让客户随时可控。

当时“安骑士”这个事件之后,在我们内部反思过这个问题。在我看来,第一个,授权做的不清晰;第二个,给用户做的可上可下的提示不明确。如果它是可上可下的、授权清晰的,那就是个用户自我选择的问题。然后是,“安骑士”你到底都做了什么?这个你得给客户提供审计报告出来。

不只是“安骑士”,包括阿里云做的所有东西,都应该提供专业的审计报告。比如说一台主机,服务商进行了维护调整,环境上有了变化,它可能都会对用户发生影响。这个时候,作为用户,我都看不到就没有安全感。那么这个时候应该以一种什么样的方式将这个报告提供出来?所以,我们今天就将各种服务,比如 RDS 的维护日志、用户自己的操作日志都让用户能看到。而且如果用户使用了多种服务,如何将多个报告融合在一起,这也需要我们大量的工作。

企业的开源发展的四个阶段

王:阿里云做了许多产品,也开源了许多产品,阿里云在开源方面的战略是如何的?

李:阿里云做了很多中间件,最流行的是 dubbo。为什么它会很快的流行呢?首先它是一个简单的应用,其次是它被阿里淬炼过,保证了其稳定性。我最近在管理开源社区方面的事务,发现它的社区非常大,使用文档、案例、手册等庞大无比,我非常惊讶,远远超过我的预期!社区对它的贡献非常大。我想说的是,在它刚刚推出的那一刻,它是不成功的,但是随着社区对它的完善,包括我们自己还不断的对它做升级。它变了,它变成了一个很庞大的东西。在它刚刚推出的那个时候,它是不够简单易用的,但是随着社区对它的贡献参与,它就变得简单易用了。之所以这样,是因为它有了更多的使用案例。

我认为开源有四个阶段:

第一个阶段是拥抱开源,就是你去用开源软件,这样让你可以最快地有能力达到一个基本的技术水准上。

第二个阶段是回馈开源,比如你可以将你的一些补丁反馈给社区。比如阿里就对 mysql、hadoop 等做了很多贡献。

第三个阶段是融合开源,你的产品别人是否支持?之前是我反馈给社区,而现在别人是否在开源产品中支持你,比如在 Hadoop 源码中支持你,在 Docker 源码中支持你。我拥抱你,你拥抱我,互相接纳。

第四个阶段是回报开源,当你已经被开源社区接受的时候,那这个时候你要有选择性的回报,将一些产品开源出去。这里是有你自己的商业诉求在里面,比如说你有一个方向性的东西你看不清,那么开源出来,大家一起来做,这种情况就比如说 Google 开源它的深度学习。另外一个做法是是将之前换代的产品开源出去。

阿里集团有一个开源委员会,旗下的各个商业部门都有参与,用来决策如何开源,以什么原则,什么节奏去开源。

结语

经过长达一个小时的深入沟通,我们对许多问题进行了探讨和了解,从阿里云这里能够看到,国内的顶级互联网企业,已经跳出了巢臼,能够更大的从产业、文化、趋势方面对运维行业、云计算领域乃至于互联网行业进行深远的布局。

以上,由 Linux 中国的老王为您独家披露。