了解区块链如何成为去中心化的开源补贴模型。

《 大教堂与集市 The Cathedral and The Bazaar 》是 20 年前由 埃里克·史蒂文·雷蒙德 Eric Steven Raymond （ESR）撰写的经典开源故事。在这个故事中，ESR 描述了一种新的革命性的软件开发模型，其中复杂的软件项目是在没有（或者很少的）集中管理的情况下构建的。这个新模型就是 开源 open source 。

ESR 的故事比较了两种模式：

• 经典模型（由“大教堂”所代表），其中软件由一小群人在封闭和受控的环境中通过缓慢而稳定的发布制作而成。
• 以及新模式（由“集市”所代表），其中软件是在开放的环境中制作的，个人可以自由参与，但仍然可以产生一个稳定和连贯的系统。 开源如此成功的一些原因可以追溯到 ESR 所描述的创始原则。尽早发布、经常发布，并接受许多头脑必然比一个更好的事实，让开源项目进入全世界的人才库（很少有公司能够使用闭源模式与之匹敌）。

在 ESR 对黑客社区的反思分析 20 年后，我们看到开源成为占据主导地位的的模式。它不再仅仅是为了满足开发人员的个人喜好，而是创新发生的地方。甚至是全球最大软件公司也正在转向这种模式，以便继续占据主导地位。

易货系统

如果我们仔细研究开源模型在实践中的运作方式，我们就会意识到它是一个封闭系统，只对开源开发者和技术人员开放。影响项目方向的唯一方法是加入开源社区，了解成文和不成文的规则，学习如何贡献、编码标准等，并自己亲力完成。

这就是集市的运作方式，也是这个易货系统类比的来源。易货系统是一种交换服务和货物以换取其他服务和货物的方法。在市场中（即软件的构建地）这意味着为了获取某些东西，你必须自己也是一个生产者并回馈一些东西——那就是通过交换你的时间和知识来完成任务。集市是开源开发者与其他开源开发者交互并以开源方式生成开源软件的地方。

易货系统向前迈出了一大步，从自给自足的状态演变而来，而在自给自足的状态下，每个人都必须成为所有行业的杰出人选。使用易货系统的集市（开源模式）允许具有共同兴趣和不同技能的人们收集、协作和创造个人无法自行创造的东西。易货系统简单，没有现代货币系统那么复杂，但也有一些局限性，例如：

• 缺乏可分性：在没有共同的交换媒介的情况下，不能将较大的不可分割的商品/价值兑换成较小的商品/价值。例如，如果你想在开源项目中进行一些哪怕是小的更改，有时你可能仍需要经历一个高进入门槛。
• 存储价值：如果一个项目对贵公司很重要，你可能需要投入大量投资/承诺。但由于它是开源开发者之间的易货系统，因此拥有强大发言权的唯一方法是雇佣许多开源贡献者，但这并非总是可行的。
• 转移价值：如果你投资了一个项目（受过培训的员工、雇用开源开发者）并希望将重点转移到另一个项目，却不可能快速转移（你在上一个项目中拥有的）专业知识、声誉和影响力。
• 时间脱钩：易货系统没有为延期或提前承诺提供良好的机制。在开源世界中，这意味着用户无法提前或在未来期间以可衡量的方式表达对项目的承诺或兴趣。 下面，我们将探讨如何使用集市的后门解决这些限制。

货币系统

人们因为不同的原因勾连于集市上：有些人在那里学习，有些是出于满足开发者个人的喜好，有些人为大型软件工厂工作。因为在集市中拥有发言权的唯一方法是成为开源社区的一份子并加入这个易货系统，为了在开源世界获得信誉，许多大型软件公司雇用这些开发者并以货币方式支付薪酬。这代表可以使用货币系统来影响集市，开源不再只是为了满足开发者个人的喜好，它也占据全球整体软件生产的重要部分，并且有许多人想要施加影响。

开源设定了开发人员交互的指导原则，并以分布式方式构建一致的系统。它决定了项目的治理方式、软件的构建方式以及其成果如何分发给用户。它是分散的实体共同构建高质量软件的开放共识模型。但是开源模型并没有包括如何补贴开源的部分，无论是直接还是间接地，通过内在或外在动机的赞助，都与集市无关。

目前，没有相当于以补贴为目的的去中心化式开源开发模型。大多数开源补贴都是集中式的，通常一家公司通过雇用该项目的主要开源开发者来主导该项目。说实话，这是目前最好的状况，因为它保证了开发人员将长期获得报酬，项目也将继续蓬勃发展。

项目垄断情景也有例外情况：例如，一些云原生计算基金会（CNCF）项目是由大量的竞争公司开发的。此外，Apache 软件基金会（ASF）旨在通过鼓励不同的贡献者来使他们管理的项目不被单一供应商所主导，但实际上大多数受欢迎的项目仍然是单一供应商项目。

我们缺少的是一个开放的、去中心化的模式，就像一个没有集中协调和所有权的集市一样，消费者（开源用户）和生产者（开源开发者）在市场力量和开源价值的驱动下相互作用。为了补充开源，这样的模型也必须是开放和去中心化的，这就是为什么我认为区块链技术最适合的原因。

旨在补贴开源开发的大多数现有区块链（和非区块链）平台主要针对的是漏洞赏金、小型和零碎的任务。少数人还专注于资助新的开源项目。但并没有多少平台旨在提供维持开源项目持续开发的机制 —— 基本上，这个系统可以模仿开源服务提供商公司或开放核心、基于开源的 SaaS 产品公司的行为：确保开发人员可以获得持续和可预测的激励，并根据激励者（即用户）的优先事项指导项目开发。这种模型将解决上面列出的易货系统的局限性：

• 允许可分性：如果你想要一些小的修复，你可以支付少量费用，而不是成为项目的开源开发者的全部费用。
• 存储价值：你可以在项目中投入大量资金，并确保其持续发展和你的发言权。
• 转移价值：在任何时候，你都可以停止投资项目并将资金转移到其他项目中。
• 时间脱钩：允许定期定期付款和订阅。

还有其他好处，纯粹是因为这种基于区块链的系统是透明和去中心化的：根据用户的承诺、开放的路线图承诺、去中心化决策等来量化项目的价值/实用性。

总结

一方面，我们看到大公司雇用开源开发者并收购开源初创公司甚至基础平台（例如微软收购 GitHub）。许多（甚至大多数）能够长期成功运行的开源项目都集中在单个供应商周围。开源的重要性及其集中化是一个事实。

另一方面，维持开源软件的挑战正变得越来越明显，许多人正在更深入地研究这个领域及其基本问题。有一些项目具有很高的知名度和大量的贡献者，但还有许多其他也重要的项目缺乏足够的贡献者和维护者。

有许多努力试图通过区块链来解决开源的挑战。这些项目应提高透明度、去中心化和补贴，并在开源用户和开发人员之间建立直接联系。这个领域还很年轻，但是进展很快，随着时间的推移，集市将会有一个加密货币系统。

如果有足够的时间和足够的技术，去中心化就会发生在很多层面：

• 互联网是一种去中心化的媒介，它释放了全球分享和获取知识的潜力。
• 开源是一种去中心化的协作模式，它释放了全球的创新潜力。
• 同样，区块链可以补充开源，成为去中心化的开源补贴模式。

请在推特上关注我在这个领域的其他帖子。

via: https://opensource.com/article/18/9/barter-currency-system

作者：Bilgin lbryam 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

根据你的工作需要，可能有比 Java 更好的语言，但是我还没有看到任何能把我拉走的语言。

我记得我是从 1997 年开始使用 Java 的，就在 Java 1.1 刚刚发布不久之后。从那时起，总的来说，我非常喜欢用 Java 编程；虽然我得承认，这些日子我经常像在 Java 中编写“严肃的代码”一样编写 Groovy 脚本。

来自 FORTRAN、PL/1、Pascal) 以及最后的 C 语言) 背景，我发现了许多让我喜欢 Java 的东西。Java 是我面向对象编程的第一次重要实践经验。到那时，我已经编程了大约 20 年，而且可以说我对什么重要、什么不重要有了一些看法。

调试是一个关键的语言特性

我真的很讨厌浪费时间追踪由我的代码不小心迭代到数组末尾而导致的模糊错误，特别是在 IBM 大型机上的 FORTRAN 编程时代。另一个不时出现的隐晦问题是调用一个子程序时，该子程序带有一个四字节整数参数，而预期有两个字节；在小端架构上，这通常是一个良性的错误，但在大端机器上，前两个字节的值通常并不总是为零。

在那种批处理环境中进行调试也非常不便，通过核心转储或插入打印语句进行调试，这些语句本身会移动错误的位置甚至使它们消失。

所以我使用 Pascal 的早期体验，先是在 MTS 上，然后是在 IBM OS/VS1 上使用相同的 MTS 编译器，让我的生活变得更加轻松。Pascal 的强类型和静态类型是取得这种胜利的重要组成部分，我使用的每个 Pascal 编译器都会在数组的边界和范围上插入运行时检查，因此错误可以在发生时检测到。当我们在 20 世纪 80 年代早期将大部分工作转移到 Unix 系统时，移植 Pascal 代码是一项简单的任务。

适量的语法

但是对于我所喜欢的 Pascal 来说，我的代码很冗长，而且语法似乎要比代码还要多；例如，使用：

if ... then begin ... end else ... end

而不是 C 或类似语言中的：

if (...) { ... } else { ... }

另外，有些事情在 Pascal 中很难完成，在 C 中更容易。但是，当我开始越来越多地使用 C 时，我发现自己遇到了我曾经在 FORTRAN 中遇到的同样类型的错误，例如，超出数组边界。在原始的错误点未检测到数组结束，而仅在程序执行后期才会检测到它们的不利影响。幸运的是，我不再生活在那种批处理环境中，并且手头有很好的调试工具。不过，C 对于我来说有点太灵活了。

当我遇到 awk 时，我发现它与 C 相比又是另外一种样子。那时，我的很多工作都涉及转换字段数据并创建报告。我发现用 awk 加上其他 Unix 命令行工具，如 sort、sed、cut、join、paste、comm 等等，可以做到事情令人吃惊。从本质上讲，这些工具给了我一个像是基于文本文件的关系数据库管理器，这种文本文件具有列式结构，是我们很多字段数据的保存方式。或者，即便不是这种格式，大部分时候也可以从关系数据库或某种二进制格式导出到列式结构中。

awk 支持的字符串处理、正则表达式和关联数组，以及 awk 的基本特性（它实际上是一个数据转换管道），非常符合我的需求。当面对二进制数据文件、复杂的数据结构和关键性能需求时，我仍然会转回到 C；但随着我越来越多地使用 awk，我发现 C 的非常基础的字符串支持越来越令人沮丧。随着时间的推移，更多的时候我只会在必须时才使用 C，并且在其余的时候里大量使用 awk。

Java 的抽象层级合适

然后是 Java。它看起来相当不错 —— 相对简洁的语法，让人联想到 C，或者这种相似性至少要比 Pascal 或其他任何早期的语言更为明显。它是强类型的，因此很多编程错误会在编译时被捕获。它似乎并不需要过多的面向对象的知识就能起步，这是一件好事，因为我当时对 OOP 设计模式毫不熟悉。但即使在刚刚开始，我也喜欢它的简化继承模型背后的思想。（Java 允许使用提供的接口进行单继承，以在某种程度上丰富范例。）

它似乎带有丰富的功能库（即“自备电池”的概念），在适当的水平上直接满足了我的需求。最后，我发现自己很快就会想到将数据和行为在对象中组合在一起的想法。这似乎是明确控制数据之间交互的好方法 —— 比大量的参数列表或对全局变量的不受控制的访问要好得多。

从那以后，Java 在我的编程工具箱中成为了 Helvetic 军刀。我仍然偶尔会在 awk 中编写程序，或者使用 Linux 命令行实用程序（如 cut、sort 或 sed），因为它们显然是解决手头问题的直接方法。我怀疑过去 20 年我可能没写过 50 行的 C 语言代码；Java 完全满足了我的需求。

此外，Java 一直在不断改进。首先，它变得更加高效。并且它添加了一些非常有用的功能，例如可以用 try 来测试资源，它可以很好地清理在文件 I/O 期间冗长而有点混乱的错误处理代码；或 lambda，它提供了声明函数并将其作为参数传递的能力，而旧方法需要创建类或接口来“托管”这些函数；或流，它在函数中封装了迭代行为，可以创建以链式函数调用形式实现的高效数据转换管道。

Java 越来越好

许多语言设计者研究了从根本上改善 Java 体验的方法。对我来说，其中大部分没有引起我的太多兴趣；再次，这更多地反映了我的典型工作流程，并且（更多地）减少了这些语言带来的功能。但其中一个演化步骤已经成为我的编程工具中不可或缺的一部分：Groovy。当我遇到一个小问题，需要一个简单的解决方案时，Groovy 已经成为了我的首选。而且，它与 Java 高度兼容。对我来说，Groovy 填补了 Python 为许多其他人所提供的相同用处 —— 它紧凑、DRY（不要重复自己）和具有表达性（列表和词典有完整的语言支持）。我还使用了 Grails，它使用 Groovy 为非常高性能和有用的 Java Web 应用程序提供简化的 Web 框架。

Java 仍然开源吗？

最近，对 OpenJDK 越来越多的支持进一步提高了我对 Java 的舒适度。许多公司以各种方式支持 OpenJDK，包括 AdoptOpenJDK、Amazon 和 Red Hat。在我的一个更大、更长期的项目中，我们使用 AdoptOpenJDK 来在几个桌面平台上生成自定义的运行时环境。

有没有比 Java 更好的语言？我确信有，这取决于你的工作需要。但我一直对 Java 非常满意，我还没有遇到任何可能会让我失望的东西。

via: https://opensource.com/article/19/9/why-i-use-java

作者：Chris Hermansen 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

外加一些提高浏览器效率的技巧。

这里有一个别有用心的问题：你通常一次打开多少个浏览器标签页？你是否有多个窗口，每个窗口都有多个标签页？或者你是一个极简主义者，一次只打开两个标签页。另一种选择是将一个 20 个标签页的浏览器窗口移动到另一个屏幕上去，这样在处理特定任务时它就不会碍事了。你的处理方法在工作、个人和移动浏览器之间有什么不同吗？你的浏览器策略是否与你的工作习惯有关？

4 个提高浏览器效率的技巧

1. 了解浏览器快捷键以节省单击。无论你使用 Firefox 还是 Chrome，都有很多快捷键可以让你方便地执行包括切换标签页在内的某些功能。例如，Chrome 可以很方便地打开一个空白的谷歌文档。使用快捷键 Ctrl + t 打开一个新标签页，然后键入 doc.new 即可。电子表格、幻灯片和表单也可以这样做。
2. 用书签文件夹组织最频繁的任务。当开始一项特定的任务时，只需打开文件夹中的所有书签 (Ctrl + 点击)，就可以快速地从列表中勾选它。
3. 使用正确的浏览器扩展。成千上万的浏览器扩展都声称可以提高工作效率。在安装之前，确定你不是仅仅在屏幕上添加更多的干扰而已。
4. 使用计时器减少看屏幕的时间。无论你使用的是老式的 egg 定时器还是花哨的浏览器扩展，都没有关系。为了防止眼睛疲劳，执行 20/20/20 规则。每隔 20 分钟，离开屏幕 20 秒，看看 20 英尺以外的东西。

参加我们的投票来分享你一次打开多少个浏览器标签。请务必在评论中告诉我们你最喜欢的浏览器技巧。

生产力有两个组成部分——做正确的事情和高效地做那些事情……

via: https://opensource.com/article/19/6/how-many-browser-tabs

作者：Lauren Pritchett 选题：lujun9972 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

本周的《代码英雄》播客深入研究了最广泛使用的、已经成为事实标准的脚本语言，它来自于自由软件基金会及其作者的早期灵感。

对于任何从事于系统管理员方面的人来说，Shell 脚本编程是一门必不可少的技能，而如今人们编写脚本的主要 shell 是 Bash。Bash 是几乎所有的 Linux 发行版和现代 MacOS 版本的默认配置，也很快就会成为 Windows 终端的原生部分。你可以说 Bash 无处不在。

那么它是如何做到这一点的呢？本周的《代码英雄》播客将通过询问编写那些代码的人来深入研究这个问题。

肇始于 Unix

像所有编程方面的东西一样，我们必须追溯到 Unix。shell 的简短历史是这样的：1971 年，Ken Thompson 发布了第一个 Unix shell：Thompson shell。但是，脚本用户所能做的存在严重限制，这意味着严重制约了自动化以及整个 IT 运营领域。

这个奇妙的研究概述了早期尝试脚本的挑战：

类似于它在 Multics 中的前身，这个 shell（/bin/sh）是一个在内核外执行的独立用户程序。诸如通配（参数扩展的模式匹配，例如 *.txt）之类的概念是在一个名为 glob 的单独的实用程序中实现的，就像用于计算条件表达式的 if 命令一样。这种分离使 shell 变得更小，才不到 900 行的 C 源代码。

shell 引入了紧凑的重定向（<、> 和 >>）和管道（| 或 ^）语法，它们已经存在于现代 shell 中。你还可以找到对调用顺序命令（;）和异步命令（＆）的支持。

Thompson shell 缺少的是编写脚本的能力。它的唯一目的是作为一个交互式 shell（命令解释器）来调用命令和查看结果。

随着对终端使用的增长，对自动化的兴趣随之增长。

Bourne shell 前进一步

在 Thompson 发布 shell 六年后，1977 年，Stephen Bourne 发布了 Bourne shell，旨在解决Thompson shell 中的脚本限制。（Chet Ramey 是自 1990 年以来 Bash 语言的主要维护者，在这一集的《代码英雄》中讨论了它）。作为 Unix 系统的一部分，这是这个来自贝尔实验室的技术的自然演变。

Bourne 打算做什么不同的事情？研究员 M. Jones 很好地概述了它：

Bourne shell 有两个主要目标：作为命令解释器以交互方式执行操作系统的命令，和用于脚本编程（编写可通过 shell 调用的可重用脚本）。除了替换 Thompson shell，Bourne shell 还提供了几个优于其前辈的优势。Bourne 将控制流、循环和变量引入脚本，提供了更具功能性的语言来（以交互式和非交互式）与操作系统交互。该 shell 还允许你使用 shell 脚本作为过滤器，为处理信号提供集成支持，但它缺乏定义函数的能力。最后，它结合了我们今天使用的许多功能，包括命令替换（使用后引号）和 HERE 文档（以在脚本中嵌入保留的字符串文字）。

Bourne 在之前的一篇采访中这样描述它：

最初的 shell （编程语言）不是一种真正的语言；它是一种记录 —— 一种从文件中线性执行命令序列的方法，唯一的控制流的原语是 GOTO 到一个标签。Ken Thompson 所编写的这个最初的 shell 的这些限制非常重要。例如，你无法简单地将命令脚本用作过滤器，因为命令文件本身是标准输入。而在过滤器中，标准输入是你从父进程继承的，不是命令文件。

最初的 shell 很简单，但随着人们开始使用 Unix 进行应用程序开发和脚本编写，它就太有限了。它没有变量、它没有控制流，而且它的引用能力非常不足。

对于脚本编写者来说，这个新 shell 是一个巨大的进步，但前提是你可以使用它。

以自由软件来重新构思 Bourne Shell

在此之前，这个占主导地位的 shell 是由贝尔实验室拥有和管理的专有软件。幸运的话，你的大学可能有权访问 Unix shell。但这种限制性访问远非自由软件基金会（FSF）想要实现的世界。

Richard Stallman 和一群志同道合的开发人员那时正在编写所有的 Unix 功能，其带有可以在 GNU 许可证下免费获得的许可。其中一个开发人员的任务是制作一个 shell，那位开发人员是 Brian Fox。他对他的任务的讲述十分吸引我。正如他在播客上所说：

它之所以如此具有挑战性，是因为我们必须忠实地模仿 Bourne shell 的所有行为，同时允许扩展它以使其成为一个供人们使用的更好工具。

而那时也恰逢人们在讨论 shell 标准是什么的时候。在这一历史背景和将来的竞争前景下，流行的 Bourne shell 被重新构想，并再次重生。

重新打造 Bourne Shell

自由软件的使命和竞争这两个催化剂使重制的 Bourne shell（Bash）具有了生命。和之前不同的是，Fox 并没有把 shell 放到自己的名字之后命名，他专注于从 Unix 到自由软件的演变。（虽然 Fox Shell 这个名字看起来要比 Fish shell 更适合作为 fsh 命令 #missedopportunity）。这个命名选择似乎符合他的个性。正如 Fox 在剧集中所说，他甚至对个人的荣耀也不感兴趣；他只是试图帮助编程文化发展。然而，他并不是一个优秀的双关语。

而 Bourne 也并没有因为他命名 shell 的文字游戏而感到被轻视。Bourne 讲述了一个故事，有人走到他面前，并在会议上给了他一件 Bash T 恤，而那个人是 Brian Fox。

随着时间的推移，Bash 逐渐成长。其他工程师开始使用它并对其设计进行改进。事实上，多年后，Fox 坚定地认为学会放弃控制 Bash 是他一生中最重要的事情之一。随着 Unix 让位于 Linux 和开源软件运动，Bash 成为开源世界的至关重要的脚本语言。这个伟大的项目似乎超出了单一一个人的愿景范围。

我们能从 shell 中学到什么？

shell 是一项技术，它是笔记本电脑日常使用中的一个组成部分，你很容易忘记它也需要发明出来。从 Thompson 到 Bourne 再到 Bash，shell 的故事为我们描绘了一些熟悉的结论：

• 有动力的人可以在正确的使命中取得重大进展。
• 我们今天所依赖的大部分内容都建立在我们行业中仍然活着的那些传奇人物打下的基础之上。
• 能够生存下来的软件超越了其原始创作者的愿景。 代码英雄在全部的第三季中讲述了编程语言，并且正在接近它的尾声。请务必订阅，来了解你想知道的有关编程语言起源的各种内容，我很乐意在下面的评论中听到你的 shell 故事。

via: https://opensource.com/19/9/command-line-heroes-bash

作者：Matthew Broberg 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

ExtraHop 发现一些企业安全和分析软件正在“私下回拨”，悄悄地将信息上传到客户网络外的服务器上。

当这个博客专注于微软的一切事情时，我常常抱怨、反对 Windows 10 的间谍活动方面。嗯，显然，这些跟企业安全、分析和硬件管理工具所做的相比，都不算什么。

一家叫做 ExtraHop 的分析公司检查了其客户的网络，并发现客户的安全和分析软件悄悄地将信息上传到客户网络外的服务器上。这家公司上周发布了一份报告来进行警示。

ExtraHop 特意选择不对这四个例子中的企业安全工具进行点名，这些工具在没有警告用户或使用者的情况发送了数据。这家公司的一位发言人通过电子邮件告诉我，“ExtraHop 希望关注报告的这个趋势，我们已经多次观察到了这种令人担心的情况。这个严重的问题需要企业的更多关注，而只是关注几个特定的软件会削弱这个严重的问题需要得到更多关注的观点。”

产品在安全提交传输方面玩忽职守，并且偷偷地传输数据到异地

ExtraHop 的报告中称发现了一系列的产品在偷偷地传输数据回自己的服务器上，包括终端安全软件、医院设备管理软件、监控摄像头、金融机构使用的安全分析软件等。报告中同样指出，这些应用涉嫌违反了欧洲的通用数据隐私法规（GDPR）。

在每个案例里，ExtraHop 都提供了这些软件传输数据到异地的证据，在其中一个案例中，一家公司注意到，大约每隔 30 分钟，一台连接了网络的设备就会发送 UDP 数据包给一个已知的恶意 IP 地址。有问题的是一台某国制造的安全摄像头，这个摄像头正在偷偷联系一个和某国有联系的已知的恶意 IP 地址。

该摄像头很可能由其办公室的一名员工出于其个人安全的用途独自设置的，这显示出影子 IT 的缺陷。

而对于医院设备的管理工具和金融公司的分析工具，这些工具违反了数据安全法，公司面临着法律风险——即使公司不知道这个事。

该医院的医疗设备管理产品应该只使用医院的 WiFi 网络，以此来确保患者的数据隐私和 HIPAA 合规。ExtraHop 注意到管理初始设备部署的工作站正在打开加密的 ssl:443 来连接到供应商自己的云存储服务器，这是一个重要的 HIPAA 违规。

ExtraHop 指出，尽管这些例子中可能没有任何恶意活动。但它仍然违反了法律规定，管理员需要密切关注他们的网络，以此来监视异常活动的流量。

“要明确的是，我们不知道供应商为什么要把数据偷偷传回自己的服务器。这些公司都是受人尊敬的安全和 IT 供应商，并且很有可能，这些数据是由他们的程序框架设计用于合法目的的，或者是错误配置的结果”，报告中说。

如何减轻数据外传的安全风险

为了解决这种安全方面玩忽职守的问题，ExtraHop 建议公司做下面这五件事：

• 监视供应商的活动：在你的网络上密切注意供应商的非正常活动，无论他们是活跃供应商、以前的供应商，还是评估后的供应商。
• 监控出口流量：了解出口流量，尤其是来自域控制器等敏感资产的出口流量。当检测到出口流量时，始终将其与核准的应用程序和服务进行匹配。
• 跟踪部署：在评估过程中，跟踪软件代理的部署。
• 理解监管方面的考量因素：了解数据跨越政治、地理边界的监管和合规考量因素。
• 理解合同协议：跟踪数据的使用是否符合供应商合同上的协议。

via: https://www.networkworld.com/article/3429559/is-your-enterprise-software-committing-security-malpractice.html

作者：Andy Patrizio 选题：lujun9972 译者：hopefully2333 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

IT 供应商兄弟国际公司分享了五种最常见的物联网安全错误，这是从它们的打印机和多功能设备买家中看到的。

尽管兄弟国际公司是许多 IT 产品的供应商，从机床到头戴式显示器再到工业缝纫机，但它最知名的产品是打印机。在当今世界，这些打印机不再是独立的设备，而是物联网的组成部分。

这也是我为什么对罗伯特•伯内特提供的这份列表感兴趣的原因。伯内特是兄弟公司的总监，负责 B2B 产品和提供解决方案。基本上是该公司负责大客户实施的关键人物。所以他对打印机相关的物联网安全错误非常关注，并且分享了兄弟国际公司对于处理这五大错误的建议。

5：不控制访问和授权

伯内特说：“过去，成本控制是管理谁可以使用机器、何时结束工作背后的推动力。”当然，这在今天也仍然很重要，但他指出安全性正迅速成为管理控制打印和扫描设备的关键因素。这不仅适用于大型企业，也适用于各种规模的企业。

4：无法定期更新固件

让我们来面对这一现实，大多数 IT 专业人员都忙于保持服务器和其他网络基础设施设备的更新，确保其基础设施尽可能的安全高效。“在这日常的流程中，像打印机这样的设备经常被忽视。”但过时的固件可能会使基础设施面临新的威胁。

3：设备意识不足

伯内特说：“正确理解谁在使用什么设备，以及整套设备中所有连接设备的功能是什么，这是至关重要的。使用端口扫描技术、协议分析和其他检测技术检查这些设备应作为你的网络基础设施整体安全审查中的一部分。 他常常提醒人们说：“处理打印设备的方法是：如果没有损坏，就不要修理！”但即使是可靠运行多年的设备也应该成为安全审查的一部分。这是因为旧设备可能无法提供更强大的安全设置，或者可能需要更新其配置才能满足当今更高的安全要求，这其中包括设备的监控/报告功能。

2：用户培训不足

“应该把培训团队在工作过程中管理文档的最佳实践作为强有力的安全计划中的一部分。”伯内特说道，“然而，事实却是，无论你如何努力地去保护物联网设备，人为因素通常是一家企业在保护重要和敏感信息方面最薄弱的环节。像这些简单的事情，如无意中将重要文件留在打印机上供任何人查看，或者将文件扫描到错误的目的地，不仅会给企业带来经济损失和巨大的负面影响，还会影响企业的知识产权、声誉，引起合规性/监管问题。”

1：使用默认密码

“只是因为它很方便并不意味着它不重要！”伯内特说，“保护打印机和多功能设备免受未经授权的管理员访问不仅有助于保护敏感的机器配置设置和报告信息，还可以防止访问个人信息，例如，像可能用于网络钓鱼攻击的用户名。”

via: https://www.networkworld.com/article/3433476/top-5-iot-networking-security-mistakes.html

作者：Fredric Paul 选题：lujun9972 译者：Morisun029 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出