美国最大的燃油管道运营商遭攻击之后，美国宣布进入紧急状态

燃油管道运营商 Colonial 每日输送 250 万桶燃油，占到了美国东海岸供应量的 45%。在遭遇勒索软件网络攻击后，Colonial 被迫关闭了超过 8850 公里的整个管道系统。多个消息源证实 Colonial 遭到的是 DarkSide 勒索软件的攻击，Colonial 并未透露是否已经支付赎金，而输油管线何时恢复运营也尚不可知。这是有报告的最具破坏性的勒索事件之一。受此影响，美国宣布进入国家紧急状态，将允许燃油通过公路运输。

这一惊人事故充分暴露出美国大基建体系网络安防的脆弱性，同时也是在挑衅美国白宫。就在上个月下旬，美国拜登政府才刚刚出台一项提振能源供应体系网络安全的“百日计划”。

Linux 5.10 LTS 维护期限将持续到 2026 年底

Linux 5.10 LTS 作为最新的长期支持版本在发布时只打算维护到 2022 年底，但是之前的内核如 Linux 5.4 LTS 被维护到 2024 年，甚至 Linux 4.19 LTS 和 4.14 LTS 也会进入 2024 年，这就让人觉得比较奇怪。

Linux 5.10 LTS 的生命周期很短是因为帮助测试与发布候选程序和承诺使用这个内核 LTS 系列的资源的开发者及组织的数量有限。但是现在有足够多的公司加紧帮助测试，Linux 5.10 LTS 确认可以被维护到 2026 年底。

Debian 11、安卓的下一个版本都会因此而获益。

勒索软件团伙已在暗网上泄露了 2 千多家公司的数据

现代化勒索软件行动始于 2013 年，攻击者的方式主要是对企业数据进行加密，然后要求支付赎金来获得解密。不过自 2020 年年初以来，勒索软件开始进行一种新的战术，称为双重勒索，即不但会加密企业数据来获取赎金，而且会威胁企业公开这些数据，迫使受害者支付赎金。暗网安全研究人员追踪了 34 个勒索软件团伙的数据泄露网站，发现已经有多达 2103 个组织的数据被泄露。

数据勒索行业已经成为勒索软件团伙的一个重要盈利点，受害者更担心他们的数据被泄露，而不是加密文件的丢失。

微软搁置 Windows 10X

2019 年底，微软宣布了 Windows 10X，这是一种为双屏 PC 设计的 Windows 10 变体。据消息人士，微软今年不会推出 Windows 10X，也有可能永远搁置。该公司已将资源转移到 Windows 10，为 10X 构建的技术正在迁移到 Windows 10。

大约十年来，微软一直在尝试以各种方式使 Windows 现代化。我们已经看到了 Windows RT、Windows 10S，以及现在的 Windows 10X。

现在的问题是，除了传统的 Windows 10 之外，其它的变体是否真的有未来？

更快的 Python：Pyston 开源发布 2.2

Pyston 2.2 是 Python 3.8.8 的一个实现，他们已经将该项目开源。Pyston 提供了各种优化，关键区别在于它对 JIT 和属性缓存的使用。该项目声称“针对大型现实世界的应用，如 Web 服务，无需开发工作即可提升高达 30% 的速度"。Pyston 删除了“许多 Python 支持的很少使用的调试功能”，目的是为了提高速度，减少 Python 调试给计算机带来的负担。删除这些调试功能只实现了 2% 的性能提升，但考虑到全世界有多少台计算机在运行 Python 代码，这是有意义的。

作为一个 Python 的不同实现，依旧采取了开源道路，这值得期待。

微软宣布 Rust for Windows

在 VS Code 和 Visual Studio 中，微软已经提供了对 Rust 编程语言相当良好的支持。随着 Rust for Windows v0.9 的发布，开发者现能够以一种更加习惯的方式，访问完整的 Windows API，从而轻松构建功能强大且丰富的 Windows 应用程序。

随着 Rust 开发环境和周边支持的完善，Rust 有望成为下一个流行语言。

专家称 SaaS 可能会变成锁定服务，丧失开源的好处

MariaDB 是一个开源的数据库，而 MariaDB 公司在开源的数据库之上构建了其专有的功能和服务，如延时开源的 MaxScale。MariaDB 公司去年推出了其 DBaaS 服务 SkySQL，现在宣布其分布式 SQL 引擎 Xpand 作为 SkySQL 系统的引擎之一，然而 Xpand 是一个专有的软件和服务。

专家称，在开源数据库中使用专有附加组件的问题是，它可能会取消开源的好处。SaaS 正在演变为 “lock-in-as-a-service”。很多用户认为他们正在使用的是 MySQL，假设系统之间的可移植性。然而 MariaDB 现在已经与 MySQL 有了很大的不同。开源所带来的避免供应商锁定的好处正在被削弱。

迅速成长起来的 MariaDB 数据库，其背后的公司终究还是一个牟利的商业公司。而采用商业公司的服务时，即便它维护了一个开源产品，你得到的可能也不是开源的服务。

谷歌也要求 App 披露收集哪些数据

在苹果公司开始在 App Store 显示类似的隐私信息后的几个月，谷歌宣布从明年开始，Google Play 上的应用程序将在其列表中的一个新的安全部分显示他们收集哪些数据的细节，以及其隐私和安全做法的其他信息。与苹果一样，该政策也涵盖谷歌自己的应用和第三方开发的应用。由于谷歌本身依赖于广告收入，他们正在讨论如何限制安卓上的数据收集和跨应用程序跟踪，但不会像苹果的举措那么严格。

两个最大的应用生态纷纷加强对隐私数据的保护，以及国内也在通过某些方式加强隐私保护，可见隐私保护已经到了迫切需要采取措施的阶段了。

谷歌很快将默认为所有符合条件的用户开启双因素登录认证

谷歌在一篇博文中说，如果客户的账户“配置得当”，它将很快开始为客户默认注册双因素认证。一旦启用，用户将在智能手机上收到一个提示，以验证试图用他们的谷歌账户登录的行为是否合法。如果标准的双因素认证用起来不方便，用户还可以选择使用物理安全密钥。

不过，现在有研究表明，基于手机短信的双因素认证受到了手机号回收重新启用的影响，如果更换手机号之后，没有及时更新相应的双因素认证信息，可能会导致账户泄露。

双因素认证是一种进步，但是也不要完全依赖它，这世上不存在银弹。

纳斯达克股票系统遭遇“巴菲特千年虫”

巴菲特领导的伯克希尔哈撒韦公司的股票已经达到了如此高的价格，以至于纳斯达克的电脑系统无法记录它们的价格。该交易所从周二开始暂停播报伯克希尔 A 级股的价格。纳斯达克股票系统以 32 位二进制存储股价，并使用最后四位存储小数点后的数字，因此最大可容纳的数字是 429496.7295。周二，巴菲特的公司以每股 421420 美元的价格收盘，过去两天进一步上涨，周三收盘报 432035.50 美元，周四收于 435120 美元。纳斯达克正急于在本月晚些时候完成一次升级，以解决这个问题。

近些年遭遇了太多的“千年虫”，从日期、时钟、油价，没想到股价也会溢出。

订阅制的摩托车安全气囊背心不续费就会停止工作

摩托车手的安全设备之一是安全气囊背心，如果摩托车手发生事故并从摩托车上摔下来，背心就会充气，以帮助保护他们免受撞击。

一家名为 Klim 的公司制造的 Ai-1 背心售价 400 美元，包括碰撞检测模块在内的背心，用户下载一个应用程序，选择解锁模块，背心就可以发挥作用。随后，要么再花 400 美元购买永久使用权，要么以每月 12 美元订阅。如果没有续费，背心的安全功能就会自动停用，这个时候它就像是一件普通的机车运动衫。当然，制造商表示，在背心停用之前，用户有 30天的宽限期来更新支付方式，背心也有指示器，显示它是否处于可用状态。

虽然选择订阅就要承担不付费可能带来的后果，但是在生命安全的底线之前，是不是应该更多一些仁慈？

IBM 宣布已经制造出全球首颗 2nm EUV 芯片

IBM 称该 2nm 芯片的晶体管密度为 333.33 百万颗晶体管/平方毫米，几乎是台积电 5nm 的两倍，也比外界预估台积电 3nm 工艺的 292.21 要高。换言之，IBM 这颗芯片在 150 平方毫米也就是指甲盖大小面积内，就能容纳 500 亿颗晶体管。IBM 表示，在同样的电力消耗下，其性能比当前 7nm 高出45%，或者说同样性能减少 75% 功耗。实际上，IBM 此前也是率先在 2015年造出 7nm 和在 2017 年造出 5nm 芯片的厂商。

蓝色巨人果然是巨人，能兴旺百年果然并非幸致。

全球 60% 的电子邮件服务器受到已存在了 17 年的远程漏洞影响

被互联网广泛采用的 Exim 占有近 60% 的电子邮件服务器 MTA 份额。安全公司 Qualys 发现的 21 个漏洞影响了过去 17 年来发布的所有 Exim 服务器，这些漏洞被称之为 21Nails，这其中包括 10 个远程利用漏洞。如果不打补丁，可能允许恶意行为者接管这些系统，然后拦截或篡改通过 Exim 服务器的电子邮件通信。请务必尽快升级到最新的 Exim 4.94.2。

真是陈年旧洞啊，邮件服务器管理员们赶快行动起来。

苹果正在用“独有低能”的 iOS 浏览器阻碍 Web 发展

在 iOS 上，苹果希望所有的浏览器都能运行 WebKit，甚至谷歌的 Chrome 也被迫在 iOS 设备上使用 WebKit。谷歌的工程师 Alex 在一篇博文中说：苹果的 Safari 浏览器和 WebKit 引擎“独有低能”，其重要功能的交付持续延迟，让 Web 永远无法成为其专有工具和 AppStore 的可靠替代品。假设苹果及时实现了 WebRTC 和游戏手柄 API。亚马逊 Luna、NVIDIA GeForce NOW、谷歌 Stadia 和微软 xCloud 有可能早几年就已经出现了。而且与竞争对手相比，iOS 浏览器在其他几个地方也功能不足。

显然，苹果为了它独特的利益，会阻止更多的竞争对手进入 iOS 生态。

AWS 在其 Lambda 中停止支持 Python 2.7

Python 3 在十多年前首次亮相时，与 Python 2 的代码并不兼容，这一点在当时引来很多讨论。但 Python 软件基金会已经在 2020 年 1 月 1 日取消了对 Python 2 的修复和支持。所以，AWS 取消对 Python 2 支持并不令人吃惊，它宣布 AWS Chalice 将跟随 Lambda 升级到更高版本，Chalice 是 Lambda 的一个框架。

虽然 Python 3 也这么多年了，但是过去三十来年积累下来的一些 Python 2 的项目和代码，并没有都得到帮助迁移到 Python 3。

狗狗币创造者在 2015 年卖掉了他所有的币，只相当于一辆二手本田汽车

狗狗币领涨加密货币市场，今日单价最高接近 0.7 美元，市值最高达 887 亿美元。而相比之下，本田的市值为 516 亿美元。为什么将这二者相提并论？因为狗狗币的联合创始人 Billy Markus 在采访中透露，他在 2015 年卖掉了自己持有的包括比特币、莱特币和狗狗币等全部加密货币，卖了大约 1 万美元，相当于当时一辆二手本田思域的价格（但是并没有买车）。

这个疯狂的世界，我想狗狗币的创始人除了极度后悔之外，更多的是对这个世界的不真实感吧。

运行于 Linux 上的 Edge 浏览器发布 Beta 版

基于 Chromium 的 Edge 浏览器的 Linux 版本的长期开发工作一直在进行中，微软在 Build 2019 年首次预告，并在当年晚些时候正式宣布了它。然而，直到去年 10 月，Edge Insider 计划的 Dev 通道才在 Linux 上首次亮相。六个多月后，微软今天宣布，通过 Beta 渠道向 Linux 用户开放测试版本。Linux 版 Edge 测试版与上周在 Beta 频道发布的 Edge 91 进度一致。

感觉微软推出 Linux 版比较艰难缓慢，虽然 Chromium 以及它的下游的 Linux 版本一直都在及时发布。

潜伏十余年的本地提权固件驱动漏洞影响数亿戴尔电脑

2009 年以来制造的运行 Windows 的戴尔台式机、笔记本电脑和平板电脑能被利用，可以让恶意软件和用户获得本地提权。也就是说，多达数亿的企业和用户易受这些攻击。戴尔已经发布了带补丁的驱动程序，以及关于这个问题相关的的 FAQ。该修复方案将从 5 月 10 日开始推送。

这是存在于戴尔的固件更新驱动程序中的五个安全漏洞造成的，利用它们会使系统崩溃、窃取信息、并提权以完全控制。这些漏洞滥用起来相当简单。基本上，戴尔的驱动程序接受来自机器上任何用户或程序的系统调用；没有安全检查，也没有访问控制列表来查看调用者是否有足够的授权或特权。

虽然是本地提权漏洞，但是影响面很大，企业及用户应该及时更新你收到的补丁。