安全专家告知数据被泄露后，却接到了对方的律师函

据 报道，安全专家 Rob Dyke 在 2 月底发现了一个公开的 GitHub 仓库，其中包含一个网站的源代码，以及包含用户名、散列密码、电子邮件地址和 API 密钥的数据库。然而在他 3 月 1 日书面告知数据泄露的 Apperta 基金会后却收到了律师函。

Apperta 的第一反应对他表示了感谢。然而 Dyke 告诉 Apperta，他将加密保留他发现的文件的副本三个月，然后销毁它们。Dyke 说他保留这些信息是为了防止再次需要这些信息，“以防出现我所不知道的更广泛的网络事件”。Apperta 将此解释为非法复制其数据。一周后，该公司的律师写信给他，要求他销毁文件的副本。在律师交锋几周后，Apperta 明确表示要向高等法院申请针对这位安全专家的禁令。

Dyke 最终在上法庭前删除了这些数据，并提交了证明。Apperta 表示他们没有提出诉讼，Dyke 已经承诺删除数据，但同时认为 Dyke “超越了善意研究的界限，而且他这样做是不道德的”。

此事引起了网络安全界的同情，人们为 Dyke 捐赠了 15000 英镑以解决法庭诉讼。然而，我们需要思考的是，白帽子的法律边界在哪里？什么是可以做的，什么是不可以做的？

研究人员制造出仅在显微镜下可见的无线、可注射的芯片

哥伦比亚大学研究人员报告说，他们已经建立了据说是世界上最小的单芯片系统，总体积小于 0.1 立方毫米，像一只尘螨一样小，只有在显微镜下才能看到。这是一个“芯片即系统”的新想法：一个单独的芯片就是一个完整的功能电子系统。该芯片是一个整体可植入/可注射的微粒，没有额外的封装。它是在台积电制造的，并进行了纳米级的工艺修改。该团队的目标是开发可以用于皮下注射的芯片，然后用超声波将其传回体外，提供它们在本地测量的信息。目前该芯片的功能是测量体温，但该团队正在研究的可能性还有很多。

这就是几十年前科幻小说里面的场景啊，这种芯片可以在医疗方面发挥很大的作用。

Rust 编程语言庆祝六岁生日

周六，Rust 编程语言的开发者庆祝了自 1.0 版本推出以来的六周年。作为 C 语言的替代品获得了很多关注，这要归功于默认开启的代码安全功能，它带来的是更少的可被利用的内存相关错误。这种内存安全特性让不少程序员注意到了它，由此它的采用率开始了编程语言当中不可思议的火箭式上升，Stack Overflow 甚至发现它是 2020 年调查中最受欢迎的编程语言。

目前采用 Rust 的最引人注目的项目之一是 Firefox 浏览器，到 2020 年 7 月，macOS 上的Firefox Nightly 有 12.31% 的代码是用 Rust 代码编写的。

虽然 Rust 语言学习起来有些难，但是在某些原本是 C/C++ 独占领域里，Rust 已经显示出了明显的优势。

Python 之父要在 Python 3.11 中将速度翻倍

在本周的美国 PyCon 语言峰会上，Python 之父 Guido 发布的一份文件，详细介绍了他要使 Python 成为一种更快的语言的野心，他承诺在 Python 3.11 中使其速度翻倍。

不过，Guido 也不敢保证一定能达成目标，只是乐观地感觉有希望。如果真的能实现，主要受益者将是那些运行 CPU 密集型纯 Python 代码的人。而对于已经用 C 语言编写的代码，如 NumPy 和TensorFlow，I/O 绑定的代码、多线程代码，以及算法效率低下的代码，不会有太大的好处。

我们真的需要更快的 Python 吗？需要更快处理的数据科学和人工智能项目，都依赖于 GPU，所以 CPU 上跑起来快不快真的没那么重要。

祝融号成功着陆火星

5 月 15 日，天问一号着陆巡视器成功着陆于火星乌托邦平原南部预选着陆区，我国首次火星探测任务着陆火星取得圆满成功。着陆巡视器与环绕器分离后，环绕器升轨返回停泊轨道，为着陆巡视器提供中继通信。着陆巡视器包括“祝融号”火星车及进入舱。后续，“祝融号”火星车将依次开展对着陆点全局成像、自检、驶离着陆平台并开展巡视探测。

恭喜我国航天航空事业取得新成就！上午有朋友问我，祝融号是否采用了开源技术？从目前公开的信息看，我们尚不知道“祝融号”所采用的技术是什么，是否涉及开源技术也不得而知。

美国政府发布行政命令，要求加强开源软件安全

5 月 12 日，美国拜登政府发布行政命令，以加强美联邦政府的网络防御，要求“在初步准则公布后的 90 天内……应发布指南，确定加强软件供应链安全的做法。”并特别提到开源软件，要求美国政府必须确保“在可行的范围内，确保产品任何部分所使用的开源软件的完整性和出处”。即提供一个软件材料清单，包含了用于构建软件的各种组件的细节和供应链关系。

Linux 基金会已经发起了诸多项目和基金会，着力于改善日益严重的开源软件安全问题。

Cloudflare 呼吁终结验证码

这种名为“CAPTCHAS”的验证码你肯定见过，它们要求用户识别某种图像，事实上被利用来训练某些公司的 AI。Cloudflare 估计平均需要 32 秒才能完成这种验证，它们在移动设备上效果不佳，还假定你对展示的物体有文化知识，往往需要某些认知能力。研究人员假设互联网用户平均每 10 天看到一次这种验证码，并将其乘以全球 46 亿互联网用户和 32 秒，那么人类每天总共花在这种验证上的时间就达 500 年。

Cloudflare 提出了一种“加密人格证明”的替代方案，基本上是通过硬件安全密钥或手机 NFC 来完成验证，Cloudflar 认为完成这一流程只需五秒钟，更重要的是，这一验证保护了用户的隐私，身份证明与用户设备没有唯一的联系。

CAPTCHAS 验证码实在太烦了，是该让这种给 AI 打白工的验证码消失了。但是 Cloudflare 是个更好的替代品吗？

微软将关闭其 Azure 区块链服务

微软对 Azure 区块链即服务（BaaS）的最初尝试始于 2015 年。近日，微软宣布将在 2021 年 9 月 10 日关闭其 Azure 区块链服务，而在今年的 5 月 10 日，就已经不支持新的部署或成员创建了。但是微软没有说明为什么关闭 Azure 区块链服务。

在我看来，这种所谓的“联盟链”，本身就是一种伪命题，是一种夹在分布式数据库和区块链公链之间的一种怪物。所以，其实真正能用起来联盟链的企业客户并不算多。

System76 发布了开源键盘

这款名为 “Launch Configurable Keyboard” 的键盘是 100% 开源的，不但其配置软件是开源的，其固件和硬件也是开源的。其配置软件支持 Linux、Windows 和 macOS。它配备了额外的键帽和拔键器，人们可以根据个人工作流程的偏好来调换按键。它只使用三种键帽尺寸，还具有新颖的分离式空格键，允许用户将其中一个空格键的键帽换成 Shift、退格键或功能键。这款键盘售价为 285 美元。

虽然看起来颜值不够高，不过如果你喜欢，你可以使用开源方式来自己定制一个。

IBM 教会 AI 翻译编程语言

IBM 的 CodeNet 旨在教人工智能如何翻译代码。它是一个庞大的数据集，包含大约 5 亿行代码，分布在 55 种以上的传统和活跃语言中 —— 从 COBOL、FORTRAN 到 Java、C++ 和 Python。这个数据集是由 4000 多个编码问题和 1400 多万个代码样本组成的，这些问题是从全球范围内几十年的编程挑战和竞赛中收集的。该数据集是以一种能够实现双向翻译的方式构建的，也就是说你可以在两种编程语言之间进行转换。除了翻译之外，CodeNet 还可以用于代码搜索、克隆检测等功能。另外，研究人员也可以将其用于运行回归研究，并有可能开发自动代码纠正系统。

看看，以后编程都像工业制品一样都由机器来生产了，程序员们将来就像手工业者一样，只能从事一些体现艺术或小众领域的手工制品了。

所有 Wi-Fi 设备皆存在 FragAttacks 漏洞

网络安全研究人员发表了一系列 Wi-Fi 设备安全漏洞，这些漏洞被统称为 FragAttacks。其中 3 个来自 Wi-Fi 标准中的设计缺陷，从最初的安全协定 WEP 到最新的 WPA3 规范都在影响范围中，也就是说，从 1997 年 Wi-Fi 发布起，这些设计缺陷已经成为 Wi-Fi 的一部分。值得庆幸的是，这些设计缺陷比较难以被利用。不过更严重的是，还有一些漏洞是由 Wi-Fi 产品中普遍存在的程序错误引起，其中几个漏洞可轻易地被恶意攻击者利用。经证实，绝大多数 Wi-Fi 设备都存在多个漏洞。

为了保护广大的用户，安全更新工作已经进行了 9 个月，现在才对外揭露漏洞信息，漏洞修补工作由 Wi-Fi 联盟和 ICASI 进行监督。

无线网络在方便的同时，也给开放攻击提供了更多机会，这让我想起来之前在单位楼下破解 Wi-Fi 的故事。

知名 BIOS 厂商 AMI 正在积极参与开源系统固件项目

尽管 AMI 专有的 BIOS 产品已被许多主板厂商所采用，但该公司也表示有向开源计算项目社区给予回馈的意向。AMI 正致力于 Linux 基金会的 OpenBMC、EDK II 和相关开源组件。开放计算项目正在继续引起主要行业参与者的兴趣，出于安全/审计的原因，开源固件在总体上继续受到越来越多的关注，因此工程师可以按照他们认为合适的方式管理固件。

虽然开源固件项目近些年来发展势头不错，也得到了英特尔的支持，但是看到一家以专有 BIOS 而知名的公司愿意参与到开源项目，可见开源已经是大势所趋。

阿里云正式发布它的首个 CentOS 兼容发行版 Anolis OS 8.2

在红帽宣布“停更” CentOS Linux 后，引来了技术圈的颇多争议，国内外涌现出多款 CentOS 8 的替代发行版，并已在日前陆续发布。

昨日，由阿里云支持的 Anolis OS 宣布发布首个正式发布版本。此次发布的 8.2 支持 x86\_64 和 aarch64 架构，搭载双内核 RHCK（RHEL 兼容内核）和 ANCK（OpenAnolis 云内核），其中 ANCK 是由社区 Cloud Kernel SIG 组基于上游 4.19 LTS 内核研发，增强了稳定、性能、隔离能力；对飞腾、海光、兆芯、鲲鹏芯片提供了完善支持；支持阿里的龙井云原生 Java 运行时；还提供了 CentOS 系统到 Anolis OS 的迁移工具。更多特性可见发行公告。

阿里云宣布 Anolis OS 已经有快半年了，从目前披露的正式版本特性来看，还是值得一看的。

微软要将 Linux 工具 eBPF 引入 Windows 10

eBPF 是一项重要的性能观测和调优技术，最初来自于 BSD 的一个防火墙程序 BPF，后在 Linux 系统上衍生为扩展 BPF，即 eBPF。eBPF 对于网络过滤、分析和管理非常有用，但它的工作远不止这些。eBPF 也被用于系统调用过滤和进程上下文跟踪。它已经成为编程跟踪、系统剖析以及收集和汇总低级自定义指标的一把瑞士军刀。在更高层次上，eBPF 已经成为安全程序的基础。

微软启动了一个新的开源项目，试图将 eBPF 引入到 Windows 10 和 Windows Server 2016 及以后的版本中。这个项目将现有 eBPF 工具链和 API 作为子模块，并在其间添加一层，使其可以在 Windows 之上运行。目前该项目处于非常早期的阶段，还没有公布时间表。

好吧，微软又从 Linux 宝库中挖掘到一个好东西。

微软将威胁和漏洞管理能力引入 Linux

微软正在使 IT 专业人员能够使用该公司的端点防御产品对 Linux 设备的安全进行监控。微软的威胁和漏洞管理（TVM）可用于 Windows 和 Windows 服务器，现在也在公开预览中支持 macOS 和 Linux。TVM 允许用户审查应用程序漏洞和整个 Linux 系统的潜在错误配置，并补救任何受影响的管理和非管理设备。目前，用户可以利用这一功能在 macOS 和 Linux 中发现、优先处理和补救 30 多个已知的不安全配置。今年夏天晚些时候，TVM 也将支持 Android 和 iOS。

微软的“野心”越来越大了，不过我觉得未尝不是一件好事。

OpenSolaris 衍生品 Illumos 放弃对 SPARC 硬件的支持

虽然 SPARC 硬件和 Solaris/OpenSolaris 曾经携手并进，但随着 SPARC 的主要开发工作基本结束，甲骨文公司在几年前就已经解雇了大部分的 SPARC 工程师，已经十年没有销售 SPARC 硬件了，一些出于收藏而销售的二手硬件也非常昂贵。

衍生自 OpenSolaris 的开源 UNIX 系统 Illumos 项目没有足够的 SPARC 硬件可以使用，他们甚至缺乏一个永久性的官方的 SPARC 构建服务器。所以，在 Illumos 中继续 SPARC 架构已经不再可行。交叉编译和通过 QEMU 仿真都考虑过了，需要大量工作，且效果并不好。

好消息是，放弃对 SPARC 的支持，只专注于 x86\_64，可以做出一些很好的改进，使他们的工具链现代化。甚至可以考虑在内核、库和命令中使用 Rust 编程语言。

对于一个没有人关心的硬件，虽然告别过去有些不舍，不过，x86 和 ARM 不香么？

去年 Namecheap 托管了 1/4 的假冒英国政府的钓鱼网站

据报告，2020 年期间，在所有已知的钓鱼网站中，Namecheap 公司窝藏了超过 1/4 的假扮成英国政府网站的钓鱼网站。Namecheap 平均花了 47 个小时来禁用政府主题的钓鱼网站，占已知该类钓鱼网站 28.8%；而去年此类骗局的第二大庇护者 GoDaddy 大约需要 37 来关闭它们，占 11.2%。但是 Namecheap 表示，在他们收到了滥用投诉中，只有 1/10 是正确的，只占其注册的域名的不到 1%。

就是因为响应速度太慢才会导致钓鱼网站猬集。

DragonFlyBSD 6.0 发布

继最近发布的 FreeBSD 13.0 和 OpenBSD 6.9 之后，DragonFlyBSD 6.0 作为这个很久以前从 FreeBSD 分叉出来的 BSD 操作系统也发布了最新版本 6.0。其中的一些亮点包括：对内核进行了优化，改进了内存分页，提升了性能；一个非 GPL 的新 EXT 2/3/4 文件系统驱动；更好的 EFI 帧缓存支持等等。详情可看变更公告。

虽然 BSD 家族没有 Linux 家族那么耀眼，但是依然是非常重要的开源操作系统。