2022 年 6 月 16 日，微软更新了其应用商店的策略。其中一项禁止了发布者对开源或免费的软件收取费用，另一项则针对的是商店使用的不合理高价。如果你在过去几年中访问过微软应用商店，你可能已经注意到，它正在成为越来越多的开源和免费产品的所在地。如果原始开发者将应用程序和游戏上传到商店，这将是有益的，但情况并非如此，因为它们是由第三方上传的。

更糟糕的是，其中许多程序仅作为付费应用提供，而不是免费下载。换句话说，微软的客户必须付费才能购买应用商店的版本，而它们在其他地方是免费的！在应用商店中，免费版和付费版有时并存。为免费应用付费已经够糟糕的了，但这并不是用户在购买时可能遇到的唯一问题。更新也可能是一个问题，因为山寨应用可能不会像源头应用程序那样频繁或快速地更新。

在更新的微软商店政策中，微软在 10.8.7 节下指出：

在您决定产品或应用内购买的定价时，您的数字产品或服务的所有定价（包括销售或折扣）必须：

遵守所有适用的法律、法规和监管要求，包括联邦贸易委员会的《反欺骗性定价指南》。您不得试图从开源软件或其他可免费获得的软件中获利，您的产品也不应提供一个（与它提供的特性和功能相比）过高的不合理定价。

这个新策略在更新部分中得到了确认。如果开源和免费产品普遍免费提供，则它们不得在微软应用商店上出售，发布者也不得对其产品收取不合理的高价。开源和免费应用的开发者可以在微软应用商店上为其产品收费。例如，Paint.net 的开发者就是这样做的。如果微软强制执行这些策略，许多应用将从应用商店中删除。以前，开发者可以向微软报告应用程序，但在新策略下，微软可以直接控制应用的列出和提交。

via: https://www.opensourceforu.com/2022/06/microsoft-to-charge-for-available-open-source-software-in-microsoft-store/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

Manjaro Linux 21.3.0 发行包包含一些最新和最强大的更新，包括改进的安装程序。

Manjaro Linux 是一个滚动发布的发行版。因此，从技术上讲，如果你定期更新系统的话，你一直都会使用最新版本。

升级到 Manjaro 21.3.0 应该没什么大不了的，考虑到我已经在正式发布前几天就已经在稳定运行它了，毫无问题。

另外，你可能想阅读一下我 从 Ubuntu 切换到 Manjaro 的初步体验（如果你对于升级仍然犹豫不决的话）。

那么，Manjaro 21.3.0 带来了什么更新呢？

Manjaro 21.3.0 更新内容

桌面环境升级到了最新的稳定版本，而内核版本仍然是 Linux 内核 5.15 LTS。

此外，这个版本还包括最终的 Clamares v3.2 版本。让我们来看看它有哪些变化吧。

Calamares v3.2.59

Calamares v3.2.59 安装程序是 3.2 系列的最终版本，它有许多有意义的改进。这次，分区模块包含了对 LUKS 分区的支持和更多改进，以避免那些可能会弄乱 Manjaro 安装的设置。

Calamares 3.2 的所有未来版本都将仅是错误修复。

GNOME 42 + Libadwaita

最初的版本包含了 GNOME 42，而最新的版本包含了 GNOME 42.2（附带最新的更新）。

总体而言，你将获得 GNOME 42 引入的所有优点，包括系统范围的深色模式、基于 GTK 4 的 GNOME 应用的现代用户界面、升级的应用程序以及其他一些重大变化。

KDE Plasma 5.24

不幸的是，考虑到它差不多是在同一周发布的，因此该版本无法包含 KDE Plasma 5.25。

KDE Plasma 5.24 是一个不错的升级，具有更新的主题和概览效果。

XFCE 4.16

在 Xfce 4.16 中，窗口管理器得到了许多更新和改进，以支持小数倍数的缩放和更多功能。

下载 Manjaro 21.3.0

到目前为止，我在 Manjaro 21.3.0 GNOME 版本中没有遇到任何问题。一切看起来都不错，升级也很顺利。

但是，如果你不想重新安装或丢失重要文件，则应始终进行备份。

你可以从 Manjaro 的下载页面 下载最新版本。你也应该可以通过 pamac 包管理器获得更新。

无论哪种情况，你都可以在终端中输入以下命令进行升级：

sudo pacmane -Syu

via: https://news.itsfoss.com/manjaro-21-3-0-release/

作者：Ankush Das 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

WSL2 可以运行在 Windows Server 2022 上了

微软已经正式宣布，WSL 2 发行版现在支持 Windows Server 2022 了。这对有特殊用例的开发者来说确实是好事，因为他们需要在 Windows Server 2022 上启动 Linux 时，不再需要全功能的 Hyper-V 会话。WSL2 更加轻量级。之前微软的人曾说，虽然这项技术对桌面用户来说很方便，但把它放在服务器上可能意味着，它被用来做一些它不打算做的事情。另外，微软没有将 WSL2 移植回 Windows Server 2019 的计划。

消息来源：The Register

老王点评：微软又张开了吞下 Linux 的大口，不但是“面向开发者”，这回是面向运维人员了吧。

美参议员将加密货币监管法案草案发布到 GitHub 上

本周三，美国参议员 Cynthia Lummis 对即将到来的加密货币监管法案采取了令人惊讶的新措施：将其托管在 GitHub 上，请大家对起草的法案框架贡献评论。GitHub 用户们已经对法案提出了几十个评论和拉取请求，其中一些提出了对法案有意义的补充。比如“通过对采矿征税来增加工作量证明加密货币的价值”。另一个评论提出了对稳定币算法支持的担忧。

消息来源：GitHub

老王点评：这才像是征求意见，以“开源”的方式，透明的推动进步。

首个全链路国产操作系统 OpenCloudOS 发布

据其官方公众号消息，OpenCloudOS 正式发布了“首个源社区（L1）项目及首个全量软件包（L3）版本”，并披露了技术研发路线图。OpenCloudOS 是去年 12 月由腾讯牵头成立的开源操作系统社区，其成员包括北京红旗、飞腾、浪潮、龙芯中科、兆芯等几十家操作系统生态厂商及用户。OpenCloudOS 在宣传中说它是“我国首个具备全链路国产化能力的服务器操作系统”，并提出了 L1 源社区、L2 商业版、L3 社区稳定版和 L4 衍生发行版的层级划分。OpenCloudOS 称其“社区及衍生版已经装机逾千万”。

消息来源：OpenCloudOS

老王点评：一坛老酒，个个新瓶。趁着东风起，各家你方唱吧我登场，谁能笑到最后，还需要时间来证明。

外媒报道中国芯片行业高速发展

数据显示，过去四个季度全世界增长速度最快的 20 家芯片行业公司有 19 家在中国。据中国半导体行业协会的数据，2021 年中国芯片制造商和设计公司的总销售额增长 18%，达到创纪录的逾 1 万亿元人民币。中芯国际和华虹半导体是中国最大的合同芯片制造商，中芯国际最近报告其季度销售额增长 67%，超过 GlobalFoundries 和台积电。视频芯片设计公司上海富瀚微电子的收入平均增长 37%，它计划进入电动汽车和人工智能领域。集成电路软件工具开发商上海概伦电子过去四个季度平均销售额增长了一倍，它声称其软件可用于制造 3 纳米芯片。

消息来源：彭博社

老王点评：美国的封锁一时打压了中国企业的增长，但也促进了中国芯片产业的发展。

Rust 有可能在 Linux 5.20 中合并

在 Linux 基金会近日举行的开源峰会上，Linus Torvalds 谈到了 Rust 在 Linux 内核中的可能性，并表示它可能很快就会登陆，甚至可能是在下一个内核周期。目前还没有任何 Rust for Linux 的拉取请求被发送和合并，但很多初始的 Rust 启用代码已经就绪。上个月发布了最新的 Rust for Linux 内核补丁，使更多的功能得以形成，并完成了更多审查。

消息来源：Phoronix

老王点评：说实话，Rust 支持是最值得期待的特性之一了，但是距离 Rust 在内核中普遍使用，可能还有很远。

内核开发者仍然在实验 -O3 级优化

Linux 内核的编译采用 -O2 级的优化，虽然采用更高级别 -O3 编译会得到更高性能的内核，但由于内核的复杂性和非常大的代码库，它很可能在低级别的内核代码中出现错误或不正确的行为。因此采用 -O3 编译的内核并没有得到广泛认可。甚至一些内核开发者不希望看到它成为 Kconfig 选项。但是有一些爱好者对 -O3 优化内核以获得更高的性能感兴趣，或者试图发现 Linux 内核代码和编译器本身的优化出错的错误。最近有开发者发出一组补丁，使之可以在所有架构上使用该优化级别。

消息来源：Phoronix

老王点评：一般来说，上游的 Linux 内核开发者对新的的编译器功能是相当保守的，只是为了提高性能，而这可能意味着微妙的错误/难以检测的问题。但是我觉得作为实验性的功能值得探索。

一名安全专家成功地在谷歌 Nest Hub（第 2 代）上运行了 Ubuntu，嗯，然后呢？

我刚刚看到了一个关于在谷歌 Nest Hub（第 2 代）上运行的 Ubuntu 的消息。

嗯，这实在是让人兴奋！

所以，让我在这里分享更多关于它的信息吧。

破解谷歌 Nest Hub 以安装 Ubuntu

是的，破解使得这成为可能。

网络安全专家 Frédéric Basse 破解了谷歌 Nest Hub（第 2 代）的安全启动，并成功运行 Ubuntu。

当然，谷歌 Nest Hub 并没有正式支持启动一个自定义操作系统。但是，Fred 使用了一个安全漏洞，从而成功运行了 Ubuntu。

虽然这很有趣，但对于始终在线的谷歌智能家居显示器来说，这也是一个严重的安全问题。

正如这位安全专家在 博客文章 中所解释的，他使用了树莓派 Pico 微控制器，利用引导加载程序中的 USB 漏洞，从而破坏了安全启动链。

这位安全专家得出结论：

因此，攻击者可以通过插入恶意 USB 设备并按下两个按钮，从而在早期启动阶段（内核执行之前）执行任意代码。

如果你想进行实验（适合安全研究人员），他还在 GitHub 上提供了相关代码（关于如何利用这个引导加载程序漏洞）。

让 Ubuntu 在 Google Nest 上运行

该漏洞允许攻击者启动未签名的操作系统。但是，在那之前，攻击者必须对为树莓派（64 位 ARM 版）量身定制的预装 Ubuntu 镜像进行一些修改。

这位安全专家还提到了以下内容：

我们构建了一个自定义 U-Boot 引导加载程序，禁用了安全引导，并更改了引导流程以从 USB 闪存驱动器加载环境。我们还为 elaine 构建了一个自定义 Linux 内核，其中包括包括了一些 额外驱动，例如 USB 鼠标 。重新打包了来自 Ubuntu 的初始 ramdisk（initrd），以集成触摸屏所需的固件二进制文件。引导镜像是基于自定义 Linux 内核和修改的 initrd 创建的。

因此，很明显，你不会获得完整的 Ubuntu 体验，但由于该漏洞，我们现在知道，如果你愿意破解 谷歌 Nest 进行测试的话（真心不建议！），Ubuntu 是可以在谷歌 Nest 上作运行的。

智能家居安全担忧 + Linux

网络安全专家指出，该漏洞已在上游（两次）修复。

但是，研究人员也指出，缺乏分配的 CVE 编号可能会导致修复程序无法向下游传播。

毫无疑问，看到有人在不受支持的设备上运行 Linux 真是太棒了。这让我思考，我们是否应该也制造一些 由 Linux 驱动的商业智能家居设备？

或者说，已经有类似的东西了吗？

然而，智能家居设备容易受到简单攻击，也同样令人担忧。

你怎么看？在下面的评论中分享你的想法吧。

本文最初发布于 Liliputing

via: https://news.itsfoss.com/ubuntu-google-nest/

作者：Ankush Das 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

懒人程序员们可以付费使用 AI 代写“作业”了

GitHub 宣布它的 AI 编程助手 Copilot 将开放付费使用，开发者可支付月费 10 美元或年费 100 美元。核实过的学生和流行开源项目的维护者可免费使用。Copilot 使用公开的代码库进行训练，在开发者写代码时根据函数名等上下文自动补完后续代码。很多时候 Copilot 补充的是公开代码库中代码片段的拷贝，在设置中提供了一个选项可以关闭来自公开代码库的代码补充建议。

消息来源：GitHub

老王点评：作为一个有 20 多年编程经验的人，我觉得这对编程人员来说可能并非好事。虽然它可能帮你更快、更轻松地编程，但是也可能导致你的编程基础技能进一步被削弱。最终，Copilot 的进一步强大和程序员越来越弱的编程能力，导致最终失业的是那些依赖 Copilot 的程序员们。

开源代码项目平均有 49 个漏洞

在最新《开源安全状态》报告中发现，一个开源的项目平均有 49 个漏洞和 80 个直接依赖项。修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年，修复安全漏洞平均需要 49 天，而 2021 年则需要 110 天。该报告称，只有 49% 的组织制定了开源软件开发或使用的安全策略，对于大中型公司来说仅为 27%，甚至大约 30% 的组织中没有人直接负责和解决开源安全问题。

消息来源：SNYK

老王点评：开源软件从非主流变成主流，其原本的一些小问题也逐渐形成了大问题。在所有人都开始拥抱开源的时候，反而要审慎地应用开源，要对进入严肃应用场合的开源软件进行管理，使之可以避免一些固有的缺陷和风险。

研究发现区块链的中心化风险

近日，美国国防高级研究计划局（DARPA）发布了一份名为《区块链真的是去中心化吗？》的报告，发现区块链的关键漏洞有可能危及其所谓“去中心化”理念。根据该报告，至少在过去五年中，60% 的比特币流量仅通过三个互联网服务供应商，而 55% 的比特币流量是通过 Tor 进行的。这意味着这些供应商有可能拥有“改写历史”的能力，限制某些交易。此外，大约 21% 的比特币节点正在运行一个容易受到攻击的旧版本的比特币核心客户端。

消息来源：SecurityBoulevard

老王点评：毕竟区块链也是运行在网络上的，算法上的安全并不能解决基础设施不安全的问题。值此区块链暴跌的时机，这一报告又将雪上加霜。

回音

• Cloudflare 解释 说 20 日的 事故 是网络配置错误导致的。Cloudflare 称它修改网络配置本意是增加弹性，结果却导致其 4% 的网络受到影响，进而影响到它处理的大约 50% 的 HTTP 请求。