ElasticSearch 继续对抗亚马逊 AWS 的开源分叉

今年 1 月，ElasticSearch 改变了其许可证以对抗亚马逊 AWS，因为 AWS 将 ElasticSearch 的功能作为一项服务提供，而“没有与之合作”。AWS 随后分叉了 ElasticSearch，在原有的 Apache 2.0 许可证下发布了一个新的 OpenSearch 产品。OpenSearch 与其分叉的 Elasticsearch 7.10.2 兼容，这使得迁移到 OpenSearch 很容易。

虽然 Elastic 对此无能为力，但他们可以对一些常用的开源客户端库进行修改，拒绝连接到 OpenSearch 集群或运行 Elasticsearch 7 开源发行版的集群，只允许连接到 Elastic 的商业产品。面对这种情况，AWS 承诺提供“一套新的开源客户端，使应用程序可以很容易地连接到任何 OpenSearch 或 Elasticsearch 集群”。同时建议用户不要更新到任何 Elastic 维护的客户端的最新版本，以免他们的应用程序可能会停止运行。

一开始我是同情 Elastic 的，但是现在他们要求所有人都必须选一个立场，那这就过分了。

苹果公司即将开始扫描 iPhone 用户的设备，查找被禁止的内容

苹果发布新闻稿，证实它将扫描美国 iPhone 手机上的非法儿童照片，以引入儿童安全保护功能。苹果声称它利用的是设备上的机器学习功能去分析和做出判断，它并不能访问照片。这些功能将包含在今年晚些时候释出，安全专家对这些功能可能成为政府监视工具或被执法部门滥用表达了担忧。

虽然目前的用途是为了保护儿童，但是也为更广泛的监控开了口子。

新勒索团伙 BlackMatter 瞄准曾被勒索的大型公司

据报道，在 DarkSide 被迫解散之后，一个新的勒索团伙已经成立，该组织声称融合了 DarkSide、REvil 和 Lockbit 等著名勒索软件的功能。目前，BlackMatter 正在活跃在各大黑客论坛上，但是它并不是为了出售自己的软件，而是在搜集那些已经被其他黑客攻击的企业。目标主要是已经被黑客入侵的澳大利亚、加拿大、英国和美国的公司网络，并要求这些公司的收入至少 1 亿美元以上，拥有 500-15000 台网络主机。但其声明称，并不会针对医院、关键基础设施、国防工业和政府部门等特定行业发动攻击。

勒索行业都形成了一种新的“行规”了，只求财不要命。

微软计划为 Edge 浏览器提供“超级无敌安全模式”

这个新的“超级无敌安全模式”背后的想法是在 Edge 浏览器的 JavaScript 引擎 V8 中禁用对 JIT 的支持。JIT 的工作原理是将 JavaScript 提前编译成机器代码。如果浏览器需要再次使用这些代码，就会获得显著的速度提升。如果不需要，代码就会被丢弃。但是，JIT 相关的安全问题占 2019 年所有 V8 漏洞的 45%。此外，超过一半的“野外” Chrome 浏览器漏洞依赖于 JIT 相关的错误。而另外一方面，尽管在 2010 年代早期和中期，JIT 在加速浏览器方面发挥了举足轻重的作用，但对 Edge 的性能来说，JIT 已经不是一个关键功能。

一个看起来复杂精巧的系统在带来好处的同时，也可能是麻烦的源头。

勒索软件攻击迫使医院将救护车拒之门外

美国印第安纳州的一家拥有 315 张床位的医院，在周三凌晨开始的勒索软件攻击中陷入瘫痪。他们关闭了一些服务和业务，以试图阻止恶意软件通过其系统传播。这导致他们不得不将救护车拒之门外，并将病人转移到其他医院。截至星期四晚上，该医院的电子邮件系统和电子医疗记录仍然处于关闭状态。

从本质上上勒索软件攻击就是恶意的，并不能指望他们“盗亦有道”。

DNS 服务商被发现可以监听其他客户的动态 DNS 流量的漏洞

安全研究人员发现了一个简单的漏洞，可以拦截一部分通过亚马逊和谷歌等托管 DNS 服务商的动态 DNS 流量。他们“窃听”了包括财富 500 强公司和政府机构在内的 15000 个组织和数百万台设备的内部网络流量。在实验中，他们发现了各种敏感数据，包括计算机名称、雇员姓名、办公地点以及暴露的网络资源信息。亚马逊和谷歌已经在其各自的 DNS 服务中修复了这个问题。

国内使用这种动态 DNS 的企业并不多，而且其实这种服务更应该通过企业内服务提供。

Google 安全团队称 Linux 内核开发需要改进流程和更多人手

在 Google 安全博客上，安全工程师 Kees Cook 称，修正 bug 的稳定版内核每周包含了近百个修正，这给 Linux 供应商施加了压力，迫使他们“只选择最重要的补丁”。他说 Google 的模糊测试工具目前报告 Linux 内核有 1000 个潜在问题，一年内能修复大约 400 个，但随着新问题的发现问题的数量每年会增加 100 个。

Cook 提出了多个建议，包括放弃基于电邮的工作流，引入更多自动化测试和模糊测试，让开发流程更有效率，需要增加至少 100 名工程师。

作为最大的软件开发项目，Linux 内核的开发在繁荣之下，也存在一些隐忧，这包括先进流程的采纳和吸纳更多的新开发者。

2020 年打印用纸数量减少了 4500 亿张

因为新冠疫情打乱了世界各地的工作模式，2020 年打印用纸数量减少了 4500 亿张。2020 年的打印用纸总数为 2.8 万亿张，比 2019 年下降了 14%。激光打印用纸数量下降了 16%，但喷墨打印用纸增加了 4%，喷墨打印机在疫情之前主要是个人使用。惠普商用打印设备销售收入在 2020 财年下降了 22%，但消费者打印设备销售收入增长了 21%。

这算是疫情带来的不多的正面副作用了。

以太坊重磅伦敦硬分叉升级完成

北京时间 8 月 5 日晚 8 点 33 分，以太坊网络区块高度到达 12965000，迎来以太坊伦敦硬分叉升级。本次升级中，有 5 个社区提案（EIP）被加入到以太坊网络的代码。其中具有里程碑式意义的 EIP-1559 是关于以太坊网络交易定价机制的解决方案，它大幅改变了交易费计算方式，使以太坊区块链上的交易费用更可预测、更加便宜。在升级完成后，半天内已经燃烧销毁了 3200 ETH，将会促进 ETH 的通缩。本次升级是以太坊迭代到以太坊 2.0 之前最关键的一次升级。

这样大的升级，居然没有出现引发出硬分叉，可见社区共识相当一致。

美国国税局本财年已查获价值 12 亿美元的加密货币

美国政府会定期拍卖其扣押的比特币、以太坊、莱特币和其他加密货币。一旦案件结束，其扣押的加密货币被兑换成法定货币。美国国税局说，“在 2019 财年，我们扣押了价值约 70 万美元的加密货币。在 2020 年，它达到了 1.37 亿美元。而 2021 年到目前为止，我们已经达到了 12 亿美元。”随着网络犯罪的增加，加密货币的交易量也随之增加，美国政府的加密货币库预计将进一步膨胀。

这可真是一条“生财之路”啊，当然那些被用于非法用途的加密货币也该当此罚。

Rust 连续第六年成为 Stack Overflow 用户最喜欢的语言

根据编程问答网站 Stack Overflow 的调查，Rust 连续第六年成为其用户最喜欢的语言，其次是 Clojure、TypeScript、Elixir、Julia、Python 和 Dart。

其它调查结果显示：Redis 连续第五年成为最喜欢的数据库，AWS 是最喜欢和最常用的云计算平台，Svelte 是最喜欢的 Web 框架，Tensorflow 是最想要的库，Pytorch 是最喜欢的库，Git 是绝大部分程序员都使用的工具，JavaScript 是最常用的编程语言，MySQL 是最常用的数据库，React.js 是最常用的 Web 框架，Visual Studio Code 是最常用的 IDE。

Rust 离封神之路已经不远了。

美国国务院和其他三个美国机构的网络安全等级为 D 级

在美国参议院委员会周二发布的一份报告.pdf)中，八个联邦机构的网络安全状况非常糟糕，其中四个获得了 D 级，三个获得了 C 级，只有一个获得了 B 级。这八个美国政府部门是：美国社会安全局和国土安全部、美国国务院、美国交通部、美国住房和城市发展部、美国农业部、美国卫生和公共服务部以及美国教育部。在两年前，一份单独的报告发现同样这八个联邦机构在遵守联邦网络安全标准方面存在系统性失误。检查发现了许多同样的问题，这些问题已经困扰了联邦机构十多年了。

我们也要引以为戒啊。

X.org “大眼睛” 11 年来发布第一个小版本

X.Org/X11 发布了几个组件的新版本，其中，XEyes 在 11 年后首次出现了非修订版本。这个有趣的 XEyes 演示程序长期以来一直在演示一个跟随鼠标并使用 X SHAPE 渲染的应用程序。xeyes 1.2 版本现在使用了一些发布已久的“新”特性，可以获得更流畅的体验。由于不再做大型的 X.Org 发布，这些 X.Org 组件中有许多已经多年没有新的版本了。

太怀念了，当年初次使用 Linux 的 X Window 时，一个个点开的应用里面最有趣的就是这个大眼睛。

澳大利亚法院裁决 AI 可作为专利申请的发明人

法官指出，澳大利亚法律并没有明确规定专利的申请人必须是人类，而在法官眼里就法律的意图而言 AI 系统可作为发明者。首先发明者是一个施动者名词，施动者可以是发明的人或者东西；其次许多本可以专利的发明因无法确认人类是发明者而不能获得专利；第三法律中没有任何条文能得出相反的结论。

或许，越来越充满的 AI 很快会获得比宠物更高的权利，包括财产权等等。

Linux 上的即时消息软件 Pidgin 走向末路

Pidgin 曾经是 Linux 上的最流行的即时消息软件，原名 Gaim，它能够同时连接多个聊天平台。虽然 Pidgin 软件至今仍在开发中，并且支持 Linux 和 Windows 操作系统，但其使用率已在过去 10 年里急剧下降。而现在，Xubuntu 发行版宣布放弃了 Pidgin。Xubuntu 开发团队称，“随着聊天服务逐渐转向专有和锁定的协议，Pidgin 的用户活跃度已经越来越低，最终迫使我们将之从 Xubuntu 中移除。”当然，你仍然可以手动安装它。

虽说是由于各个聊天服务逐渐封闭，但是另外一方面也是没有与时俱进，推出更好的聊天服务的原因。

Steam 调查显示其 Linux 市场份额达到 1%

最大的 PC 数字游戏平台 Steam 公布的 7 月调查显示，Steam 的 Linux 市场份额达到了 1%，比之前一个月增加了 0.14%。而 Windows 则占比 96.49%，0SX 占比 2.51%。不过，在 Steam 在 Linux 上首次亮相时，Linux 的市场份额约为 2%，然后逐渐下降，在过去三年里，基本上都在 0.8~0.9% 的水平上浮动。下降的主要原因可能是 Steam 的整体客户群现在要大得多。

现在有了 Steam Proton，据玩家测试，在 1.9 万款游戏中有超过 1.5 万款游戏能在 Linux 上正常运行。

之所以 Linux 份额不高，主要原因还是人们不习惯用 Linux 吧。

Debian 告知用户其系统在没有商业固件的情况下可能无法工作

一些老的硬件设备的固件被永久性放入到 EEPROM/Flash 中，而现代的硬件往往需要在系统引导时从宿主系统加载固件。但是这种只有二进制的文件不被视为自由软件，因此不能被放入到 Debian 的主发行版或安装程序中。而没有这些固件，就会导致硬件部分或全部不能工作。Debian 安装程序可以让用户从 U 盘等加载这些固件，它认为需要将这种情况向用户解释清楚。

坚持自由的 Debian 遇到了新的挑战。

PyPI 库中几乎有一半的软件包至少有一个安全问题

研究人员使用静态分析来发现开源软件包的安全问题，这项研究总共扫描了近 20 万个软件包，发现了超过 75 万个安全问题。约 46% 的软件包中发现了至少一个安全问题，最多的是低严重性问题，而 11% 的 PyPI 软件包有 8 万个高严重性问题。

Maven（Java）、NuGet（.NET）、RubyGems（Ruby）、CPAN（Perl）和 CRAN（R）等软件包注册中心的情况也是如此。去年 9 月，一组 IEEE 研究人员分析了 6673 个活跃使用的 Node.js 应用程序，发现大约 68% 的应用程序至少依赖于一个有漏洞的软件包。

公开软件库最被忽视或误解的之一是，它的目的是免费访问、免费提供和免费使用，因此，不会对提供的东西做任何保证。