分类 硬核观察 下的文章

JavaScript 和 Python 继续统治编程语言,但 Rust 在崛起

根据 SlashData 去年年底的对 166 个国家的 20000 多名开发者的调查,目前最受欢迎的编程语言是 JavaScript,其次是 Python。仅在过去半年,Python 就净增加了 330 万开发人员。而 Rust 的采用在过去两年里几乎翻了两番,达到 220 万开发者。PHP 的增长最少,在 2021 年第三季度和 2022 年第一季度之间,净增加了 60 万名新开发者。但 PHP 是仅次于 JavaScript 的网络应用程序中最常见的语言。Go 和 Ruby 是后端开发中的重要语言,Go 在过去一年中的增长速度超过了两倍,现在有 330 万开发者。

消息来源:InfoWorld
老王点评:所以,现在该去学什么语言了?其实我看,不论什么语言,能用的上的语言就是好语言。但是如果只是泛泛的使用,那无论是学那种语言都没什么用。

Linux 5.18 释出

Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.18。新版的主要新特性包括:C 语言标准从 C89 切换到 C11;改进了随机数生成器;英特尔即将推出的软件定义芯片驱动,可以通过付款解锁处理器附加功能;内存管理接口 DAMOS;严格 memcpy() 边界检查;支持英特尔 CPU 的间接分支跟踪;改进 AMD Zen CPU 进程调度性能等等。

消息来源:KernelNewbies
老王点评:这个版本其实有很多特征值得关注,之前我们也陆续提到了一些,比如使用的 C 语言标准的升级,比如随机数生成器和软件定义芯片功能。

科学家正在修改蚊子的基因以减小雌蚊数量

一个名为“目标疟疾”的组织已经开发出基因驱动,以阻止蚊子产生雌性后代。这很重要,有两个原因:只有雌性才会咬人,而没有雌性,蚊子的数量就会骤减。其核心目的是大大减少死于疟疾的人数,根据世界卫生组织的数据,2020 年有 627,000 人死于疟疾,估计疟疾每年会使非洲大陆的经济产出减少 120 亿美元。不过该技术还没有允许公开使用,目前只是在实验室进行实验。

消息来源:BBC
老王点评:虽然消灭蚊子是一件好事,我天天被蚊子咬,但是我担心贸然破坏自然界可能有意想不到的结果。

微软警示一个针对 Linux 设备的“隐形 DDoS 恶意软件”

微软发现一个名为 XorDdos 的 Linux 木马的活动大幅增加。这是一个结合了拒绝服务功能和基于 XOR 通信加密的木马,它是 2021 年最活跃的基于 Linux 的恶意软件家族之一。它会对 Linux 服务器进行自动密码猜测攻击,以找到 SSH 服务器上使用的管理密码。微软怀疑其被用作后续恶意活动的一个载体。

消息来源:ZDNet
老王点评:木马不稀奇,稀奇的是微软开始为 Linux 的安全而担忧——但其实这也很正常,Azure 上有很多 Linux 服务器。

美国政府首次对用加密货币躲避制裁提出刑事指控

上周,美国司法部批准了对一名美国人的刑事指控,“指控他向美国政府全面制裁的几个国家之一的虚拟货币交易所转账了价值超过 1000 万美元的比特币。”虽然一些法律专家认为,比特币、以太坊或 USDT 等虚拟货币不受美国制裁法的约束,因为它们是在传统金融体系之外创造和流动的。该案是美国第一个在制裁案件中仅针对使用加密货币的刑事起诉。这表明,在许多方面,加密货币不是逃避制裁或洗钱的好工具。顺便说一句,今天的比特币披萨节。

消息来源:MSN
老王点评:加密货币并不是法外之地,另一方面,加密货币的事实可追踪性也使得其并不适合违法行为。

Rust 供应链攻击感染云 CI 管道

Rust 安全响应工作组发布了一份公告,宣布发现了一个托管在 Rust 依赖性社区仓库的恶意库。它会感染 GitLab 的持续集成(CI)管道,成为后续供应链攻击的助推器。它用错误的名字冒充知名的 rust_decimal 包,里面充斥着攻击者劫持受感染主机的各种功能,被一个热心的观察者发现并汇报给官方。

消息来源:sentinelone
老王点评:软件供应链攻击被人们称之为“炸鱼”,可以一次性感染整个用户群。这种放大式的攻击,一旦得手,影响非常严重。我觉得软件包社区应该建立更好的监控和发现机制,而不是依赖某个人的偶尔发现。

谷歌的人工智能 PaLM 能够懂你的玩笑

笑话、讽刺和幽默需要了解语言和人类行为的微妙之处,人类能够理解这些是从多年的人类互动中学到的。谷歌迄今为止最大的人工智能模型 PaLM,经过 5400 亿个参数的训练,在没有经过明确的幽默和笑话逻辑的训练就学会了理解幽默,在被灌输了两个笑话后,它能够解释它们并给出一个解释。在一篇博文中,谷歌展示了 PaLM 是如何理解一个互联网上没有的新颖笑话的。这已经超越了许多科幻小说中的人工智能的水平。

消息来源:CNET
老王点评:5400 亿个参数,这比 GPT-3 的 1750 亿个还夸张!而其所能做到的事情也更令人吃惊,以后可以和 AI 开玩笑而不会被它当真了。

英国政府网站 GOV.UK 移除 jQuery 以改进性能

jQuery 诞生于 15 年前,是最广泛使用的 JS 库之一,数据显示 2021 年有 84% 的移动网页使用它。因为其普遍性,转而导致它所提供的东西成为 Web 平台本身的一部分。如今,我们几乎可以用普通的 JavaScript 做任何 jQuery 能做的事情,虽然语法更长一点。因此,在 jQuery 提供的便利性和性能之间就有人做出了选择,英国政府网站 GOV.UK 在 3 月移除了 jQuery 库。结果显示网站整体上减少了前端处理的时间,95% 的用户减少了 10% 的等待时间。

消息来源:Web Dev
老王点评:我觉得虽然 jQuery 已经显示出了老态,但是 jQuery 30kb 的大小真不是什么负担,就为这些而重新改写大量网页,我觉得不值得。

Ubuntu 正在努力集成微软的 Azure AD

Canonical 从 Ubuntu 20.10 开始集成微软的活动目录(AD)。根据 Ubuntu 桌面团队更新,多名 Canonical 工程师现在正致力于对 Azure AD 的支持。Azure AD(AAD)是微软的 Azure 驱动的身份管理解决方案,作为内部活动目录的替代品,为那些寻求“身份即服务”的人提供单点登录、多因素认证和各种网络安全保障。Ubuntu 的这一举措是为了让 Linux 桌面在企业使用中更有吸引力,并更好地整合到企业环境。

消息来源:Phoronix
老王点评:自从 Ubuntu 率先进入了微软商店,Canonical 就和微软走的越来越近了。

美国司法部修订反黑客法律,将不对白帽黑客追究责任

美国司法部周四修订了其反黑客法律《计算机欺诈和滥用法》(CFAA)。该部指示检察官不要用 CFAA 来起诉网络安全研究人员,即所谓的“白帽黑客”、“道德黑客”。CFAA 是美国于 1986 年颁布的一项美国联邦法规,其禁止未经授权或超出授权的情况下访问计算机。此举意义重大,因为 CFAA 经常对安全研究人员构成威胁,他们可能会探测或入侵系统,以确定漏洞,从而修复这些漏洞。政策的修订意味着这种研究不应面临指控。

消息来源:techcrunch
老王点评:保护这些白帽子才能保护网络安全。不过想想某个被封的某云和被起诉的白帽子,也就是想想罢了,还是自己保护自己吧。

2 个严重程度为 9.8 级的漏洞正在被利用!

之前我们 报道 过 F5 的 BIG-IP 防火墙有一个评分为 9.8(满分为 10)的漏洞正在被利用,F5 已经提供了相关补丁。而更早一些时候,VMware 多个产品系列的未修补版本也被发现存在 9.8 级的安全漏洞。这两个漏洞使攻击者有能力远程执行恶意代码或命令,并以不受约束的 root 系统权限运行。而根据披露的补丁,攻击者可以很快就开发出相关的攻击代码,并将其积极投入利用。

消息来源:arstechnica
老王点评:随着世界局势不稳定,这种恶性漏洞也会越来越多的被发现。再结合上一条,你品一下。

谷歌宣布开源卸载友好协议 PSP

谷歌早在十多年前就对数据中心之间的流量进行加密,但加密和解密的处理需要大约 0.7% 的处理能力,以及相应的内存占用。这促使谷歌研发了 PSP 协议,将加密处理卸载到网卡上,也就是将本来由操作系统进行的一些数据包处理(如 TCP 分段、IP 分片、重组、校验、TCP 协议处理等)放到网卡硬件中去做,降低系统 CPU 消耗的同时提高处理的性能。PSP 加密卸载可节省约 0.5% 的谷歌整体处理能力。

消息来源:谷歌
老王点评:虽然谷歌总是被批评,但是平心而论,无论是科研水平,还是开放程度,都不是一般的科技公司能比拟的。

代码托管平台 Gitee 的开源仓库需要先审再上线

周三晚上,有用户反馈 Gitee 上的开源仓库访问受限,需要审核后才能公开访问。这一事件引发了大量讨论。Gitee 回复称:“即日起执行开源仓库审核后上线的措施,所有新上线的开源仓库需要进行人工审核后可正式公开。已经是开源状态的仓库,我们会暂时转为私有仓库,经审核后会进行公开。……此举也是迫于无奈,目前已经是 Gitee 团队能确保大家尽快正常使用的最优解。”有趣的是,如此重大的动作在 Gitee 官网并没有明确公布,而是选择在知乎上草草回复了不到两百字。而且,从用户实际公开仓库的过程中,只是勾选了几个平台方免责的选项而已。

消息来源:知乎
老王点评:红薯做 Gitee 时可能没想到最大的运营风险不是来自于友商的竞争。不过就这个事情,虽然无奈,但是我觉得处理的有点太糙了,一看就是技术人员破罐破摔的处理方式。

依靠近距离蓝牙解锁的特斯拉都能被远程解锁

研究人员设计了一种黑客技术,使他能够解锁数以百万计的特斯拉和无数的其他设备,即使认证的手机或钥匙扣在数百码或数英里之外。这种攻击利用了蓝牙低能耗标准的弱点,采用中继攻击方式,只需要不到 100 美元的设备,就可以在汽车和解锁手机之间通过中继的方式截获并传输蓝牙密钥,从而非法解锁设备。而且这种攻击对所有不需要在解锁手机上进行操作的解锁操作都有效。几乎所有仅靠接近度进行认证、并且不同时要求用户互动或地理位置查询的 BLE 设备都是脆弱的,这影响到了大量的特斯拉汽车和智能门锁。

消息来源:arstechnica
老王点评:本来 BLE 就不是为近距离解锁设计的,只是被产品厂家用到这个场景了。要想解决这个连 CVE 编号都没有的问题,只能是修改使用方式,比如解锁需要人在手机上进行操作。

愚蠢的 CEO 们最常使用的密码一样愚蠢

一般人最常使用的密码是连续的数字或简单的单词,如123456picture1,以及 password。在最近的一份由全球 2.9 亿个网络安全数据泄露事件组成的研究样本中,也记录了受影响者的工作级别。结果发现,当涉及到 CEO 和其他高级企业高管时,他们的密码选择与一般公众基本相同,尽管许多人经常以名字为特征。

消息来源:pcgamer
老王点评:给这些愚蠢的老板们准备个用来输入密码的助理吧,要不他们会一直用这么简单的密码的。

回音

  • 红帽前两天说 RHEL 9 将在几周内可用,不过实际上没等那么久,现已向客户 正式发布 了 RHEL 9。

软件自由保护协会为开源权利赢得了重大进展

软件自由保护协会(SFC)是一个促进开源软件和捍卫自由软件通用公共许可证(GPL)的非营利组织。SFC 最近以消费者身份起诉美国主要电视厂商 Vizio 滥用了 GPL,因为其基于 Linux 开发了 SmartCast 操作系统,而没有遵守 GPL 许可证公开源代码。Vizio 认为 SFC 无权要求提供源代码。然而,5 月 13 日,SFC 在美国联邦法院成功地提出了动议,要求将其对 Vizio 的诉讼发回加利福尼亚州奥兰治县高级法院。根据法院的裁决,SFC 解释说:“这项裁决是版权许可许可历史上的一个分水岭。这一裁决表明,GPL 协议既作为版权许可,又作为合同协议发挥作用。”此外,这一裁决使其成为第一个以个人消费者作为 GPL 的第三方受益人对源代码拥有权利的案例。

消息来源:ZDNet
老王点评:虽然这一诉讼还未完结,但是这一动议裁决,作为判例,可能影响非常深远。以后那些基于 Linux 开发的软硬件,都面临在 GPL 大刀之下不得不交出源代码的境地。我指的不是“谁”,而是在座的“各位”。

Arm 开源项目从 GitHub 迁移到 GitLab

GitLab 官方博客阐述了 Arm 选择 GitLab 作为自托管平台的优点:最大化选择和成本效益,最小化供应商锁定。Arm 软件社区高级主管说,“GitHub 是一个黑盒子,所以我们必须与他们合作,或者让他们来做这些工作,而且不一定正确。然后我们就必须做审查。我们不一定能做补丁审查,因为这都是私有和专有代码……这是我们选择 GitLab 的一个重要因素”。

消息来源:GitLab
老王点评:虽然搭建自己的 Git 基础设施感觉离开了 GitHub 上的海量用户,但是那些不关心你的项目的海量用户其实和你没有什么关系。建立自己的 GitLab 实例是个不错的选择,至少对我们来说,访问速度快,能自己把握控制权。

谷歌引入“有保证的开源软件”服务

在最近发表的一篇博文中,谷歌推出了名为“有保证的开源软件”服务。谷歌称,将把谷歌自己广泛的软件审计经验的好处扩展到其云客户。该公司表示,所有通过该服务提供的开源软件包也是谷歌内部使用的,并定期扫描和分析漏洞。

消息来源:谷歌
老王点评:这对谷歌云及其客户来说都是一件好事,不过我更乐于见到谷歌将其做成一种公共服务,而不仅仅是面对其商业客户的商业服务。