因北美暴风雪，Linus Torvalds 遭遇六天断电后发布了内核“冰封废土”

上个月中旬，因为罕见的严寒天气和暴风雪，美国得州和俄勒冈州波特兰遭遇了持续多天的停电。Linux 创始人 Linus Torvalds 就生活在波特兰，多年来他一直在家中远程工作，并负责新内核的最终发布。之前我们报道过，内核社区发现“内核合并窗口意外‘冻住’了”。最近，Linus 在邮件列表中承认是由于停电导致了新的 Linux 内核的发布延误，在 5.12 合并窗口开启两周之后才发布了 5.12-rc1。为了纪念这一事件，Linus 将 5.12 版本命名为：Frozen Wasteland（冰封废土）。

这个事情反映了两个问题：一个是 Linus Torvalds 的单点故障；另一个是网络和电力等基础设施对 Linux 出乎意料的影响。

Coinbase 称中本聪现身或出售其持有比特币会导致市场不稳定

数字货币交易平台 Coinbase 上周递交了 IPO 申请，准备以直接上市的方式在纳斯达克公开上市。在申请文件中，Coinbase 列出的风险因素包括了比特币的神秘创始人中本聪。

中本聪在 2008 年发表了比特币论文，2011 年之后就不再露面。他在此期间挖掘了大约 110 万枚比特币，总价值超 300 亿美元。Coinbase 称如果中本聪的身份曝光，或转移其持有的比特币，都可能导致数字货币市场的不稳定，从而影响到 Coinbase。

为了向这位比特币创造者致敬，Coinbase 将中本聪列为其公开文件的接收人之一。

有人评价说，教众对教主的拥护都是口头的，但实际上并不欢迎教主回来。:smile:

被劫持的 Perl.com 问题解决

1 月 27 日，Perl 语言的官网之一 Perl.com 域名遭到劫持；直到 2 月 5 日问题才完全解决。Perl.com 域名是在 1990 年代初注册的，Tom Christiansen 被列为注册人，但是没有启用近年来引入的域名安全功能，如双因子认证。攻击者可能是首先通过社会工程入侵了域名服务商 Network Solutions，然后更新了域名的信息，并通过几次转移域名注册商来逃避追回。在转移到 Key Systems 之后攻击者尝试以 19 万美元拍卖 Perl.com 域名，但在媒体报道之后很快被终止。现在，Perl.com 域名已经回到了 Tom Christiansen 手中，他们加入了安全功能防止同样的事再次发生。

还好解决了，但是之所以出现这样的问题，我觉得主要还是 Perl 社区“太旧”了。

谷歌利用 AI 优化 AI 芯片架构的设计

据报道，本月谷歌发表的一篇论文披露了被称为“第一个可转移的架构探索基础设施” Apollo，这是第一个在不同芯片上工作得越多，就越能更好地探索可能的芯片架构的程序，从而将所学到的知识转移到每个新的任务中。

团队正在开发的芯片本身就是用于人工智能的芯片，因此，这是用 AI 来设计运行 AI 的芯片。在 Apollo 中，将为神经网络和生物合成设计的方法汇集在一起，设计出可能反过来用于神经网络和生物合成设计的电路。

我觉得这就非常神奇，但是我也觉得有点可怕了。

Linux Mint 开发者称可能像 Windows 一样对用户操作系统进行强制更新

之前我们报道过，大约只有 30% 的 Linux Mint 用户在一周内应用了更新。而现在，Linux Mint 开发者似乎正在借鉴微软的做法，计划强制用户进行一些更新。Linux Mint 称，“我们开始对更新管理器进行改进……在某些情况下，更新管理器将能够提醒用户应该进行应用更新。在少数情况下，它甚至可能会显得‘固执己见’”，当然，这种强制性是可配置的，毕竟这是用户的电脑。当然，如何执行还在讨论当中。

所以，微软强制更新 Windows 的策略是对的吗？

谷歌发布了一个 Windows 10 远程代码执行漏洞的概念证明代码

只要访问一个网页就可以利用这个漏洞。这个问题是 Windows 字体渲染器中的一个漏洞。该渲染器也是所有浏览器都会使用的，它容易被特制的 TrueType 字体破坏，从而导致其内存损坏和崩溃，然后可以用来运行内核权限的代码。不过该漏洞已经在 Windows 10 的 2 月累积更新中得到了修复。

远程漏洞是最严重的，尤其这还是一个基于网页就可以进行的攻击。结合上一条，有时候有些补丁真是得强制？

弱密码 “solarwinds123” 可能是导致 SolarWinds 事件的攻击入口

SolarWinds 的一名实习生曾经使用密码 “solarwinds123”，并将其发布到 GitHub 上。2019 年时安全研究人员在互联网上发现了这个密码，并警告该公司它暴露了 SolarWinds 的文件服务器。而该公司 CEO 最近在听证会上承认，该密码在 2017 年就在内部使用了。听证会上，有众议员强烈批评了该公司，“我有一个比 ‘solarwinds123’ 更强的密码，以阻止我的孩子在 iPad 上看太多 YouTube! ”

虽然不确定是不是因为这个或其它的弱密码而导致的入侵，但是很有可能就是因为内部管理缺位导致的渗透。

大家来说说，你们内部系统的密码是不是弱密码？

用 Go 语言编写的恶意软件近年来呈爆发式增长

根据网络安全公司 Intezer 本周发布的一份报告，自 2017 年以来使用 Go 编程语言编写的恶意软件数量呈现爆发式增长，增幅超过 2000%。首个基于 Go 语言开发的恶意软件在 2012 才被检测到，但在 2019 年，它变成了一种常见现象。

Go 语言之所以会出现这种突然暴涨的现象，主要有三个原因：Go 支持跨平台编译的简易流程；基于 Go 的安装文件难以被分析和逆向工程；Go 对网络数据包和请求工作的支持很好。

一个技术好用不好用，可从在地下黑产中的流行程度看出来。

比尔•盖茨更喜欢用安卓手机，可能是因为预装软件

微软已经没有自己的移动平台了，因为 Windows 10 Mobile 已经死了。所以，现在微软公司的高管和员工自然可以随心所欲地在安卓和 iPhone 之间选择了。

而对于微软创始人比尔•盖茨而言，安卓系统是更好的选择。盖茨说，“其实我用的是安卓手机。因为我想接触各种事物，我会经常玩玩 iPhone，但我随身携带的是安卓手机。”而使用安卓的原因可能是，“一些安卓厂商预装微软软件的方式让我觉得很方便。他们对于软件与操作系统的连接方式更加灵活。”

封闭的如 iPhone，开放的如安卓，都取得了空前成功，但是后来效仿者却无法复制成功。所以，这里的原因和封闭或开放可能没有必然关系。

微软开源抓出 SolarWinds 黑客的工具代码

微软利用 GitHub 的 CodeQL 发现其源代码是否在 SolarWinds 供应链攻击中被修改。为了调查 SolarWinds Orion 软件更新中植入的恶意软件，微软开源了其使用的 CodeQL 查询。微软使用 CodeQL 查询分析其源代码，确认其源代码中没有与 SolarWinds 事件相关的泄密指标和编码模式。

CodeQL 是一个语义代码分析引擎，它可以扫描发现代码库中的漏洞。使用 CodeQL，可以像对待数据一样查询代码。

这是一个有用的工具，更好是，微软开源了其抓捕黑客代码的知识，这种积极主动开源的心态值得点赞。果然是开源大厂。

Google 承认 Kubernetes 容器技术太复杂

Google 的 GKE 产品负责人说，尽管有过去六年的进步，Kubernetes 仍然难以置信的复杂，过去一年他们看到很多企业用户拥抱 Kubernetes，但随后就陷入了困境。

Google 推出了新的 Autopilo 服务尝试简化配置和管理，可以通过预配置选项在减少灵活性的同时增加方便性。

相对来说，AWS 等厂商的 Kubernetes 发行版在易用性方面就比原版的强出不少。

LastPass 安卓应用中有 7 个嵌入式追踪器

一份关于著名的密码管理器 LastPass 的报告显示，它的 Android 应用中有 7 个追踪器，其中包括来自谷歌的 4 个追踪器，目的是进行分析和崩溃报告。这些追踪器收集到的信息包括正在使用的设备、移动运营商、账户类型、谷歌广告 ID 等。LastPass 表示这些数据用于帮助改进和优化产品，并且用户可以设置关闭。

而对于其它的密码管理器，1Password 和 KeePass 中没有追踪器。开源的 Bitwarden 有两个，用于谷歌的 Firebase 分析和微软 Visual Studio 崩溃报告。

我觉得，对于密码管理器这样的安全敏感应用，还是要谨慎点好。

红帽向开源社区和机构免费提供 RHEL

在红帽宣布要结束对 CentOS 项目的支持之后，招致了很大的反对意见和应对措施，也有很多企业趁机觊觎由此产生的市场空缺。因此，红帽做了一些补救工作，试图挽救社区的信任和潜在市场。

上个月，红帽宣布向小型生产环境提供免费的红帽企业版（RHEL）。而现在，红帽进一步宣布对开源社区、项目、基金会和其他组织提供稳定的基础，以创建和托管创新的开源软件。红帽称，“我们经常向这些团体提供免费使用 RHEL 的服务，但这个过程并不像我们希望的那样正规、一致、方便或透明。……我们希望确保那些从事开源的组织在构建和测试未来的开源软件时能够访问 RHEL。”

这个计划只提供给开源项目和其他支持生产开源软件的组织。一般来说，所有在 Fedora 认可的许可证下发布的软件都被视为本计划的开源软件。由营利性公司赞助的项目也可以得到支持，但仅用于独立的项目基础架构。

我觉得红帽不如踏踏实实认错，比这样一点点释放免费名额更好。

Canonical 将对维护版本更新启用更严苛的质量管控机制

从今年夏季即将推出的 Ubuntu 20.04.3 LTS 更新开始，Canonical 将会启用更严苛的限制，通过更优秀的质量管控机制来减少性能回归，并发布更优秀的版本。这就意味着每个修复都必须要遵循统一的验证、回归分析和老化过程等。Canonical 表示，“推迟维护版本更新是不幸的，但总比降低我们的质量标准要好。”

确实，如果 LTS 版本在更新过程中不能保证稳定可靠，那就失去了 LTS 的意义了。只不过我以为原本就应该是这样的。

英国谍报机构加大使用人工智能

英国最高情报和安全机构 GCHQ 认为，该组织所处理的大量数据，让安全机构和执法机构承受着巨大的压力；AI 可以减轻这种负担，不仅可以提高专家的决策速度，还可以提高决策质量。

情报机构对使用人工智能有着浓厚的兴趣并不是什么新闻；但 GCHQ 新发表的论文表明，GCHQ 准备在未来几年进一步加强其算法武器库。

人工智能是一种技术，但是用在什么地方才是正确的，这还有争议。我觉得，用在猴脸识别上就挺好。

国产 GPU 能否用于比特币挖矿？目前不能

现在 AMD、NVIDIA 等 GPU 公司靠着挖矿市场大赚特赚，那国内的 GPU 公司有没有可能分一杯羹？日前已经有人在互动平台上向长沙景嘉微公司询问，他们的 GPU 芯片能不能用于比特币挖矿。该公司表示，公司目前产品不能应用于比特币矿机。未来公司产品是否应用于比特币矿机需视产品研发后的性能与需求而定。

景嘉微目前有 JM5、JM7 两个系列，其中 JM5400 系列已经在国产军用飞机上应用。下一代 GPU 是 JM9 系列，可达到 2017 年底的高端显卡的水平。

我觉得之所以不适合挖矿，可能是在效能方面不够好，但是能支持部分重要领域的应用就很好了。

GNOME 40 Beta 发布：Shell 和 Mutter 迎来重大改进

如果一切正常，稳定版将会在 1 个月后和大家见面。这个版本号从 3.38 一下突破到 40.0 ，带来了很多变化：

• GNOME Shell 启用重新设计的概览区域，默认禁用已经过时的扩展程序
• Mutter 迎来重大改进，包括按需启动 XWayland，默认为水平工作区布局
• GTK 4.1 提供了各种修复和改进。

让我们期待一个月后稳定版发布！

谷歌基于它的需要加大了对开源的赞助

由于担心 Linux 和开源代码的安全问题，“我们发现错误的速度比修复错误的速度快得多”，谷歌正在赞助两位全职开发人员来研究内核的安全问题。而在这之前，这两人已经在 Linux 基金会工作好几年了。谷歌的资助符合该公司的利益，但也让其他 Linux 用户受益。当然，除了 Linux 之外，正如我们之前报道的，谷歌也为 Python 赞助了一名全职的核心开发者，提供了 35 万美元的支持。

但是谷歌只是 Linux 基金会每年 10 万美元的黄金会员，而华为、微软、英特尔、Facebook 和红帽在内的公司是白金会员，每年贡献 50 万美元。当然，谷歌指出，AWS 才是每年 2 万美元的白银会员。