开源 2D 绘图软件 Krita 5.0 发布

Krita 发布了 5.0，带来了 大量更新，但与之前的 4.x 和 3.x 版本的文件存在部分不兼容。主要更新包括：修改了它对画笔/渐变/调色板的处理，所以它现在更快，使用的内存少得多，而且更稳定。Krita 5.0 还对渐变进行了改进，重写了涂抹笔刷引擎，对动画系统进行了大修，现在有了一个内置的故事板编辑器，一个可以将绘画过程制成视频的录像机等等。

老王点评：这是 Linux 上引以为傲的绘图应用之一，虽然它也支持 Linux 之外的操作系统。

systemd 发布重大更新版本 250

systemd 250 是一个重大的版本，带来了非常多的 更新改进。其中一些我感兴趣的地方有：

• 支持加密和认证的凭证，可以是存储在 /var 的密钥，也可以是系统上的 TPM2 芯片，当服务启动时，凭证会被自动解密。
• 支持长按系统上的电源、重启或暂停键，并可以对其行为进行设置。
• 可以限制服务能访问的文件系统和网络接口。
• /dev 默认的最大节点数从 64k 提高到了 1M；/tmp 默认的最大节点数从 400k 提高到 1M。
• 改进对各种 TPM 2.0 模块的支持。
• 对 LoongArch 架构的初步支持。

老王点评：不管你喜欢不喜欢，systemd 现在已经成为 Linux 上的初始化系统的标准。

暴露了客户源代码的 Azure 漏洞已经存在 4 年

该漏洞 至少从 2017 年 9 月起就暴露了他们 Azure Web 应用的源代码。该漏洞存在于 Azure 云的一项允许客户从源代码库中部署网站和 Web 应用的功能中。通过这种方法部署的所有 PHP、Node、Ruby 和 Python 应用程序都受到影响。而且只有部署在基于 Linux 的 Azure 服务器上的应用程序受到影响，但不包括那些托管在 Windows 服务器系统上的应用程序。而最危险的暴露情况是，暴露的源代码包含一个 .git 配置文件，该文件本身包含其他客户系统的密码和访问令牌，如数据库和 API。

老王点评：如果你是相关用户，请尽快处置。

美国互联网协会宣布倒闭

由于微软、亚马逊、谷歌、苹果和 Meta 等互联网巨头之间的关系日益紧张，已成立 9 年的美国“互联网协会”（IA）宣布将在今年年底关闭。此前，微软和 Uber 等公司都撤回了资金支持，留下了巨大的资金缺口。微软是美国“互联网协会”的最大贡献者之一，每年支付 80 万美元至 100 万美元的会费。分析人士认为，微软希望与硅谷同行保持距离，以免遭反垄断指控。

老王点评：微软几乎参加了所有主要科技组织，偏偏放弃了这个组织，只是为了保持距离有点说不过去。

AWS 本月第三次出现故障

AWS 今天因停电再次遇到了 问题，Slack、Imgur 和 Epic 商店等服务受到影响。AWS 将这些问题归咎于单个数据中心的停电，影响到 AWS 美国东 1 区的一个可用区。故障发生 12 个小时后，AWS 标明问题已经解决，但这种恢复并不一定能解决所有受影响的服务器的一切问题。这是 AWS 本月以来第三次出现故障，本月早些时候发生的两起故障导致了大量平台和产品瘫痪。

老王点评：虽然 AWS 引领了云计算的发展，并拥有最大的云计算市场份额，但是屡次出现故障已经影响了人们对 AWS 的信心。这是大规模云计算的必然结局么？

开源游戏 SuperTux 历时一年半发布新版本

受《超级马里奥》启发的知名开源视频游戏《SuperTux》发布了 0.6.3，增强了游戏性，引入了游泳、跳墙能力、新的雪砖、一些新的游戏对象等等。它可以被编译成 WebAssembly，这样它就可以在现代网页浏览器中运行了。

老王点评：看起来还不错，可以玩一下试试，这是 Linux 上早期少有的独占游戏。

一条“圣诞快乐”的短信拍卖了 10.7 万欧元

周二，有史以来发出的第一条短信 “Merry Christmas” 作为 NFT 在巴黎一家拍卖行以 10.7 万欧元 的价格拍卖出售。这条短信是在 1992 年 12 月 3 日发出的，沃达丰的工程师从他的电脑上把短信发给了英国的一位经理，他们当时正在进行年终活动，所以他给他发送了“圣诞快乐”的信息。这位经理用他的 2 公斤重的无绳电话收到了这条短信。

老王点评：一些标志性的电子信息确实有历史意义和文物价值，但是铸造成 NFT 就能代表那条信息吗？

2021 年域名流量排行榜 TikTok 居首

虽然 Alexa.com 消失了，但如果你需要一个域名排名，你可以从 Cloudflare 得到它。Cloudflare 发布了 2021 年域名流量排行榜，Google.com 不幸落败，TikTok 夺得了首位，而在去年 TikTok 才排名第 7 名。今年大部分时候 Google.com 都牢牢占据首位，但在 2021 年 8 月之后，TikTok 在大多数日子里占据了领先地位。除了 TikTok.com 之外，前五名剩下的四个是：Google.com、Facebook.com、Microsoft.com、Apple.com。Cloudflare 称其排名依据 “来自 1.1.1.1 公共 DNS 解析器的汇总数据” 和其 “拥有的关于全球互联网流量模式的一系列数据”。

老王点评：看来美国人在疫情大流行之下，都没事去刷“美版抖音”了。

DuckDuckGo 将发布桌面浏览器

这款 桌面浏览器 将在默认情况下提供“强大的隐私保护”，你不必在任何隐藏的安全选项上进行设置。与其移动应用程序一样，该桌面浏览器也将配备相同的“Fire”按钮，一键即时清除所有的浏览历史、存储数据和标签。不过，和它的移动应用程序一样，它也没有自己的渲染引擎，而是采用操作系统说提供的引擎。换句话说，在 Windows 上，浏览器将使用 Edge / Chromium 渲染，在 macOS 上采用 Safari / Webkit。DuckDuckGo 称“对该浏览器的早期测试表明，它明显比 Chrome 浏览器更快”。

老王点评：如果采用同样的引擎而做的更好，那 Chrome 们在做啥？

在“我的世界”中构建的 8 位 CPU 可以运行自己的游戏

玩家花了七个月的时间在 “我的世界” 建造了一个名为 Chungus 2 的极其复杂的计算机 CPU。这并不是第一个在 “我的世界” 内虚拟构建的 CPU，但它很可能是最大和最复杂的，它模拟了一个 8 位 CPU，时钟速度为 1 Hz，内存为 256 字节。它使用 “我的世界” 游戏的物理引擎，在宏观上重现了真实处理器的结构，材料包括红石粉、火炬、中继器、活塞、杠杆和其他简单机器。如果将游戏内的每个 “块” 视作一米，那么在现实世界中重现这个 CPU 将大约有一个摩天大楼大小。当连接到其 32×32 “屏幕” 和 “控制器” 时，它可以玩俄罗斯方块、贪吃蛇等游戏，甚至还可以运行一个图形计算器。它的每个程序也都是在 “我的世界” 中虚拟构建的，可以像一个货运列车一样大小的卡带插入这台电脑。

老王点评：要是再继续发展到可以在这个计算机上玩“我的世界”，不知道会不会递归到爆？

TikTok 新推出的 Live Studio 直播软件被指抄袭 OBS

上周，TikTok 推出了名为 Live Studio 的 Windows 直播软件，它旨在帮助人们实现高质量的直播推流，同时方便地整合游戏视频流、以及图像和文本等叠加图层。但著名的开源直播软件 OBS 指出 TikTok 的这个软件实质上是 OBS 项目的一个复刻。OBS 项目团队主动联系了 TikTok，但没有得到回应。OBS 软件采用 GPLv2 许可证开源，按许可证要求，使用了该软件代码的项目也必须以相同的许可来公开任何经过修改的源码。

老王点评：让我们看看 TikTok 如何说，是抵赖到底还是去买商业授权。

开发者创建了一种开源的“相当不错的图像格式”

一位开发者认为 PNG、JPEG、MPEG、MOV 和 MP4 这些图形格式过于复杂，因而创建了一种新的文件格式，并给它起了一个响亮的名字：“Quite OK Image Format”（QOI）。他已经将其发布到 GitHub 上。虽然作者承认 QOI 对图片的压缩效果不如优化后的 PNG 编码器，但他声称“无损压缩图片的大小与 PNG 相近，同时提供 20-50 倍的编码速度和 3-4 倍的解码速度”。最重要的是，他的编解码器的参考实现大约只有 300 行的 C 代码，而文件格式规范只有一页而已。

老王点评：看起来不错，或许在某些场景是个很好的选择。

Ruby on Rails 作者称其新版本是“一个人的框架”

Ruby on Rails 上周三发布了 7.0 版本，作者称这是他“一直渴望的版本，……是多年来在五个不同方面取得进展的高潮。”不过，作者最兴奋的是，7.0 更接近“一个人的框架”的理想，“可以让一个人创建现代应用程序，并在此基础上建立一个有竞争力的业务”。Ruby on Rails 在官网宣传其可以让你边学边提高，“从入门到上市”。

老王点评：Ruby 和 Rails 相得益彰，虽然现在不是很流行了，但是 Ruby 的一些理念非常有趣，这个版本的理念也很有趣。

2021 年至少有六起超过 1 亿美元的加密货币盗窃案

据报道，在过去 12 个月中，至少有 20 次超过 1000 万美元从加密货币交易所或项目中被盗的案件，其中 6 起超过了 1 亿美元。这些窃案大多数没有抓住窃贼。有的交易所提前计划好了应急基金，如果被黑客攻击，它可以对客户进行赔偿，而有的干脆就倒闭跑路了。作为对比的是，根据美国联邦调查局的年度犯罪统计，去年银行抢劫案平均每次抢劫不到 5000 美元。

老王点评：以后的惊天大劫案就不再是抢银行了，而是在线抢劫了。

云计算使互联网更脆弱

在过去的三周里，亚马逊的云计算服务出现了两次重大故障，这导致了其他在线服务的广泛中断，比如视频流瘫痪、与互联网连接的吸尘器停止工作，甚至连宠物喂食器都关闭了。这些事情打破几十年来稳步提高的互联网速度和可靠性所强化的幻想。专家认为，“‘云’从来就不是可持续的，它只是一个由集中式实体控制的集中式网络资源的委婉说法。”在短时间内出现多次故障，这是一个值得警惕的事情。企业在“云服务是有弹性的”假设前提上投入了很多，而一些公司现在正在考虑使用多云解决方案。

老王点评：确实，现在的云，其实更多是一个集中计算中心，其弹性并没有得到足够的保证。

Log4j 发布新 2.17 补丁解决拒绝服务漏洞

由于在周二发布的 Log4j 2.16 版被发现一个 拒绝服务 的高危漏洞，Log4j 周五发布了新的版本。攻击者可以制作包含递归查找的恶意输入数据，导致堆栈错误，从而终止进程。此外，安全研究人员声称发现一种新的 Log4j 攻击载体，可以通过私有网络甚至是本地回环地址上的监听端口来利用，即便是你的进程没有监听外部网络端口都有可能被利用。而谷歌也 发布报告 称 Maven 上有 8% 的软件包，多达 35,863 个可用的 Java 工件受到 Log4j 漏洞影响，而目前只有 5000 多个进行了修复。

老王点评：继续补吧。不过我觉得这个事情更大的意义在于，让人们反思开源基础设施贡献和回报不对等的问题。应该有一种机制评估某个基础设施的重要性，应该有一种机制来根据受益程度做出相应付出。这可能不仅仅是纯理想化的开源许可证问题。

素有“开源 Windows” 之称的 ReactOS 发布新版本

ReactOS 旨在实现与微软 Windows 的二进制兼容，它在一年半之后发布了一个大更新，嗯小版本号增加了一个数字，从 0.4.13 升级到了 0.4.14，带来了诸多新变化。

老王点评：看起来还不错，可以试试。

科学家们正在准备发射价值 100 亿美元的韦伯望远镜

在经过多年的拖延，花费了超过 100 亿美元，该望远镜终于计划从法属圭亚那的一个欧洲发射场升空，前往距离月球另一侧 100 万英里的地方。但即使阿丽亚娜 5 号火箭将其送入轨道，在接下来的一个月里，它将得执行一系列有 344 个“单点故障”的操作，以展开镜面和防护膜。一旦出了问题，没有任何人类或机器人可以干预和救援。如果一切顺利，将使人类可以看到宇宙刚刚诞生一亿年时的光景。韦伯太空望远镜将是哈勃太空望远镜的继承者。目前计划在 12 月 24 日发射。

老王点评：这样看起来，太空工程的可靠性远远不高啊。