分类 硬核观察 下的文章

GitHub 将关闭趋势页面,中文项目再不能霸榜

GitHub 宣布将于 9 月 30 日关闭其趋势(Trending)页面,原因这个针对存储库和开发者做出排名榜单的功能使用率较低。这一决定引来了大量反对意见,很多人表示,自己访问 GitHub 的首页就是趋势页面,也有人表示自己收藏的一半以上的仓库来自于趋势页面。

消息来源:GitHub
老王点评:这个功能的成本并不高,按说没有必要关闭。有人猜测是由于之前中文项目充斥榜单,引来了非中文用户的抗议,作为余波导致 GitHub 关闭此功能。但我不这样认为,之前确实有过中文项目比较多的情况,但是随着国内用户使用 GitHub 越来越困难,中文项目随之减少。所以这个事情应该是 GitHub 有别的考虑。

AI 生成的艺术作品在美术比赛中获得第一名

周一,在美国科罗拉多州博览会的美术比赛中,一名男子使用 AI 生成的艺术作品获得了第一名。它描绘了一个奇怪的场景,看起来像是出自一部太空歌剧,而且看起来像是一幅大师级的画作。但这幅艺术作品是用 AI 生成的,它使用了他给出的提示。有艺术家和爱好者指责他加速了创意工作的死亡,“如果创造性的工作在机器面前都不安全,那么即使是高技能的工作也有被淘汰的危险。那时我们将拥有什么?”

消息来源:VICE
老王点评:真不要怀疑 AI 不能做什么,只是早晚而已。

多达 140 万安装量的 Chrome 扩展会注入推广代码

有五个提供包括群发 Netflix 视频、屏幕截图等各种服务的 Chrome 扩展程序,被发现在偷偷跟踪用户的浏览历史,并在用户访问的特定电子商务网站中插入跟踪代码。该代码修改了网站的 cookie,这样扩展程序的作者就能收到购买物品的推广付款。谷歌已经移除了这些扩展程序,但已经安装了这些扩展程序的 140 万用户并不会自动卸载这些扩展,并将依然受到影响。

消息来源:ARS Technica
老王点评:其实安装浏览器扩展也需要小心,这些扩展的行为往往并没有得到检查。

Apache OpenOffice 下载量超过 3.33 亿次,主要是 Windows 用户

虽然 Apache OpenOffice 开源办公套件的发展几乎停滞不前,而 LibreOffice 一直在提供更现代的特性和功能,有趣的是,人们仍然在继续下载和使用 OpenOffice。Apache 软件基金会在周二宣布,自从他们在 2011 年接管这个开源办公套件以来,现在已经有超过 3.33 亿次下载。有些讽刺的是,根据公开的数字显示,Windows 用户的下载量为 2.97 亿,macOS 用户的下载量为 3100 万,而 Linux 用户的下载量仅为 470 万。另外,在 2020 年他们庆祝下载了 3 亿次。也就是说前 10 年平均每年有 3000 万次,而最近两年平均 1600 万次。

消息来源:Phoronix
老王点评:Linux 用户数很少的一个原因是,几乎所有桌面 Linux 都预装的是 LibreOffice 而不是 OpenOfficce。这算不算唯一的 Windows 用户远超 Linux 用户的大型开源软件?另外,作为一个参考,2018 年,LibreOffice 说他们有 2 亿活跃用户,下载量理论上更多。

QEMU 7.1 发布,支持 LoongArch 64 位架构

QEMU 7.1 在开源 Linux 虚拟化堆栈中发挥着重要作用。在最新的版本中,提供了对 LoongArch 64 位架构的初步支持,目标是为了匹配 Loongson 3A5000 SoC 和 Loongson 7A1000 主机桥。此版本还增加了对 RISC-V 1.12 特权规格的支持。支持 Linux 上的 QEMU 的零拷贝发送,以减少虚拟机迁移时对源主机的 CPU 占用。

消息来源:Phoronix
老王点评:QEMU 对龙芯的支持意义重大,虽然我对龙芯对 RISC-V 的批评不以为然,但是看到龙芯的发展还是应该点个赞。

恶意应用伪装成谷歌翻译桌面应用来挖矿

尽管谷歌翻译从未推出过桌面版,但是用户搜索就可能会在结果页面看到一些免费软件网站提供下载。IT 安全组织 CPR 发布了一份报告,称其发现了隐藏在看起来合法的应用程序背后的加密挖掘恶意软件活动。这些欺诈程序包括桌面版的谷歌翻译、Yandex 翻译、微软翻译、YouTube Music 等等。

消息来源:Checkpoint
老王点评:虽然我们肯定不会从第三方下载来源不明的这种所谓官方应用,但是真有大量用户去下载。

Canonical 将 Linux 游戏组件 Snap 化

Canonical 的工程师正在开发 GameMode Snap。GameMode 是 Feral 的守护程序,能够在游戏启动时自动将 CPU 频率调节器设置为性能模式,并在退出游戏后将其恢复到先前的默认值。GameMode 已经支持在 Flatpak 容器化环境中运行,而现在他们正在将其过渡到 Snap。GameMode 作为一个 Debian 软件包在 Ubuntu 上已经有一段时间了,甚至是默认安装的。

消息来源:Phoronix
老王点评:Canonical 正在孜孜不倦的将各种重要应用切换到 Snap,但是感觉 Snap 一直没有得到人们的喜爱。尤其是中国没有 Snap 商店的镜像,使用起来更是难受。

谷歌悬赏开源供应链安全漏洞

谷歌推出了一项新的漏洞奖励计划,向发现其开源软件或其软件所基于的构建模块中的安全漏洞的研究人员支付报酬。它将为 Angular、GoLang 和 Fuchsia 等项目中的漏洞或这些项目代码库中包含的第三方依赖的漏洞的信息支付最高超过三万美元的奖金。

消息来源:The Verge
老王点评:虽然对谷歌来说,自己的软件安全很重要,但是来自开源供应链上的风险可能会导致意料之外的更大风险。

亚马逊和谷歌指责微软云计算的垄断行为

亚马逊和谷歌发表声明,指责微软作出的最新软件业务调整将阻碍客户转移到云计算竞争平台,影响市场公平竞争。周一,微软宣布了一系列包括软件授权政策在内的调整,新政策将会在 10 月 1 日开始生效,微软声称,新政策将有利于云计算市场的玩家更好的竞争。然而,微软宣布的软件授权政策调整中,排除了亚马逊、谷歌、阿里巴巴和微软自己的云服务。

消息来源:路透社
老王点评:说实话没太看明白,微软这不是连自家的云也限制了嘛。另外,现在的公有云挣扎在锁定和避免锁定之间,公有云理应是不锁定的,但是大的云服务商总想能锁定一些比较好。

Debian 修改了 Chromium 的默认搜索引擎

虽然 Firefox 仍然是 Debian 的默认浏览器,但很多 Linux 用户都会安装 Chrome 浏览器的开源上游 Chromium 浏览器。早些时候,在 Debian 中提供的 Chromium 使用谷歌作为默认搜索引擎。最近,Debian 发布公告称,“由于隐私原因,将默认搜索引擎改为 DuckDuckGo”。这个决定并不是匆忙做出的,因为这个提议是在两年前提出的,只是近日才得以通过。

消息来源:It's foss
老王点评:看来开源爱好者们越来越厌弃谷歌了。

法国用 AI 发现未申报的私人游泳池,开出千万欧元账单

因为建造游泳池能提高房价,意味着更高的财产税,根据法国法律,业主需要申报其建造的游泳池。2020 年法国有逾 320 万个私人游泳池,新冠疫情期间愈来愈多的人在家办公,游泳池的安装量也进一步激增。法国税务部门使用由谷歌等公司开发的 AI 软件,可以在航拍图像上识别游泳池,并与土地登记数据库进行交叉检查。结果发现了超过 2 万个未申报的私人游泳池,这些业主将收到总额约为 1000 万欧元的账单。

消息来源:BBC
老王点评:这就是 AI 的生财之道,早晚有一天,AI 会把人拿捏的死死的。

Web3 DNS 供应商可能失去其域名

ENS 是一种运行在以太坊上的域名服务,用于在 Web3 中便捷地访问各种地址。但是如果想在互联网上访问它,通常需要一种特别的 DNS 服务商,其中 eth.link 是使用最多的一个。但是,该域名的所有者因故入狱,因此这个域名没有办法续费,面临过期。eth.link 于 7 月 26 日到期,并将于 9 月 5 日被域名注册商收回,届时它将可能被抢注并用于恶意用途。在试图由其他人替代续费,而被域名注册商拒绝之后,ENS DAO 已经建议用户使用另外一个 eth.limo 域名作为替代。

消息来源:Coindesk
老王点评:这就很不 Web3,一个常用的服务依赖于某个具体的人。事实上,现在以“去中心化”为目标的的 Web3 的基础设施,几乎都是由中心化的人或组织控制的。

微软发行的“最重”的软件重逾 18 公斤

在互联网并不发达的时候,软件的分发主要依赖于软盘或者 CD,并且其中会附有详细的纸质文档,这些文档可以达到数千页,因此导致软件非常重。据微软披露,它至今发行的最大软件是 1992 年发行的 Microsoft C/C++ 编译器及 Windows SDK,重逾 18 公斤,该软件放在一个长度超过 60 厘米的盒子里。

消息来源:PCMag
老王点评:这软件果然“重量级”。不过现在的软件都没有了介质,你是否“拥有”一个软件有时候并不确定,比如说云软件、订阅软件。还真是怀念当年计算机爱好者们背着几盒软盘彼此交流的时候。

谷歌开源识别各种加密产品漏洞的 Paranoid

Paranoid 项目可以检测任意加密产品,甚至包括那些源代码没有公开的系统生成的加密产品。它支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品,可以识别由编程错误或使用弱专有随机数生成器引起的问题。谷歌使用 Paranoid 从证书透明度项目中检查了超过 70 亿个证书的加密产品,并发现了数千个受到严重和高严重性 RSA 公钥漏洞影响的项目。

消息来源:谷歌
老王点评:这让我想起来前两天现代汽车中使用硬编码的示例密钥进行加密的事情,要是经过了 Paranoid 的检查,想必不会出现这种低级错误了吧。

Ubuntu 22.10 禁用 GNOME 43 中的设备安全提示功能

GNOME 43 中提供了一个“设备安全”提示功能,可以对是否启用了安全启动、TPM 等设备安全功能给出警告。正在开发中的 Ubuntu 22.10 会采用 GNOME 43,但开发者表示将先禁用这个“设备安全”提示功能。这是因为要获得最高的安全级别 3 需要英特尔 BootGuard、TPM 重建、IOMMU 保护、启动前 DMA 保护、英特尔 CET、暂停到闲置、加密内存等功能,而 Ubuntu 22.10 目前只能达到安全级别 1。甚至如果用户试图调整系统达到更高的安全性,也可能会破坏系统。因此,Ubuntu 可能会在以后才支持该功能。

消息来源:Phoronix
老王点评:虽然说过于理想化的安全设置可能不切实际,但是这些安全功能可以在现代的 Windows 上正常运行,而在 Ubuntu 上却无法很好的工作。这说明,虽然我们觉得 Windows 安全性不好,但是很可能实际上并非如此 —— 只是用的人多罢了。

Debian 考虑改变其处理非自由固件的方式

Debian 目前在其系统上默认不加载非自由固件,“即使这意味着,没有这些二进制组件就没有硬件支持/加速能力。不加载非自由固件也可能意味着错过安全更新或解决可用性问题。”现在,Debian 社区正在讨论关于未来如何处理非自由固件的不同做法,包括默认提供并启用非自由固件,取代现有镜像或增加新的带非自由固件的镜像等等。

消息来源:Phoronix
老王点评:终于,连对“自由”非常固执的 Debian 也只能向现实“低头”了。

数万个 WordPress 网站使用了恶意插件

研究人员在 24931 个 WordPress 网站上发现了 47337 个恶意插件,每一个被攻击的网站都有两个或更多被感染的插件。而且,这些插件中有 94% 仍在积极地感染新的网站。研究还发现,这些恶意插件要么是在公开市场上出售的,要么是从盗版网站上传播的,通过利用漏洞注入网站,或者在大多数情况下,在插件被添加到网站后被感染。恶意软件会攻击网站上的其他插件来传播感染,他们的数据集中有超过 4 万个插件被证明是在部署后感染的。

消息来源:Gatech
老王点评:通过插件的互相传染,所以,不要轻易下载任何不可靠的插件,尤其是盗版的。

GIMP 2.99.12 发布:“迈向 GIMP 3.0 的巨大里程碑”

GIMP 2.99.12 今天发布,它自我描述为“迈向 GIMP 3.0 的一个巨大里程碑。许多缺失的部分正在整合,尽管它仍然是一项正在进行的工作。”

消息来源:Phoronix
老王点评:为什么专门提到这条,是因为前两天 RHEL 10 计划放弃对 GTK2 的支持,我们提到,等待了很久的 GIMP 3.0 依旧是基于 GTK2 的。