漏洞赏金计划吸引了更多道德黑客，但有 2/3 是为了好玩

漏洞赏金计划的目标是为道德黑客提供一种手段，在网络犯罪分子利用这些漏洞之前发现并披露这些漏洞。漏洞赏金平台 HackerOne 的《2021 年黑客报告》显示，发现安全漏洞并提交给漏洞赏金项目的道德黑客数量在去年增加了近三分之二。仅在去年，道德黑客就通过向 HackerOne 漏洞赏金计划披露漏洞获得了 4000 万美元的收入，而 2019 年则为 1900 万美元。

虽然发现漏洞在道德黑客行为中起到的经济激励作用：76% 接受调查的人表示他们是为了赚钱，但 85% 参与漏洞赏金计划的人表示他们是为了学习，而三分之二的人是为了好玩。

Linux 基金会推出 sigstore 软件真实性验证服务

这项服务使得软件开发者能够轻松地对各种软件工件进行签名，比如发行文件、容器镜像以及二进制文件。通过将签名材料存储在防篡改的公共日志中，Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。

此前很少有开源项目使用加密签名手段，主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。通常他们将公钥存储在易受黑客攻击的网站上，甚至放置在公共 git 存储库的 README 文件中。但随着 sigstore 公共服务的推出，我们可以使用临时密钥和信任根来规避上述问题（后者源于开放且可审核的公共透明日志）。

公钥是需要公开的，但是确保公开的公钥是可信的才是安全和信任的基石，这项服务可以有效而便捷地为开源软件分发提供安全保障。

世界上最强大的超算“富岳”即将全面投入运行

经过 7 年研制，世界上最快的超级计算机“富岳”在日本正式建成，现在已经可以供研究人员开始使用。其交付工作已于 2020 年 5 月完成，其后一直在对其进行试用。目前，该计算机已全面开放共享使用，日本信息科学与技术研究机构已选定 74 个研究项目，将于下月起实施。

“富岳”已经连续两届蝉联 Top500 榜首，其性能为 442 petaflops，遥遥领先于竞争对手，是榜单上第二名 IBM 的 Summit 的 3 倍，后者的性能为 148.8 petaflops。

超算竞赛极大的推高了计算力对世界的影响，在重要领域极有价值。不过，更重要的是，研发出来的超算能有合适的应用发挥其能力。

哈勃空间望远镜软件出错，进入安全模式

NASA 称，“哈勃太空望远镜因机载软件错误进入安全模式。所有的科学系统看起来都是正常的，哈勃是安全稳定的。”希望能从地面解决软件故障，从而让哈勃望远镜能够在太空正常运行。哈勃已经远远超出了它的计划寿命，其原本设定寿命为 15 年，现在已经运行 30 多年了。

这么远的设备出了问题，真有点鞭长莫及，不知道“重启试试”能不能解决问题？：D

Wave 更名为 MIPS，彻底投奔 RISC-V

2018 年，Wave Computing 收购了 MIPS Technologies，宣布将在 2019 年第一季度发布 core R6 时开源。2019 年初它发起了 MIPS Open Initiative 倡议，但在 2019 年 11 月它终止了这一倡议。2020 年 4 月，Wave 申请破产保护。

2021 年 3 月，Wave 更名为 MIPS，宣布将放弃开发 MIPS 架构，加入 RISC-V 基金会。RISC-V 和 MIPS 都是基于精简指令集（RISC）原则，但今天的 MIPS 公司只是挂了一个名字。

RISC 架构大行其道，这应该不仅仅是 RISC 架构的优势，更多是开源开放的力量。

AMD 考虑推出专用型加密货币挖矿 GPU

今年 2 月，英伟达宣布了专为加密货币挖矿任务而设计的 CMP GPU 。与传统主打显示输出的 GPU 相比，其特点是没有预留任何图形接口。而据报道，AMD 或许也将推出专为加密货币挖矿而设计的 RNDA GPU 。预计它将基于初代 RNDA 架构、拥有 40 组计算单元 / 2560 个流处理器。

看来，挖矿已经是 GPU 厂商的主题之一了，连传统 GPU 厂商都要专门生成挖矿芯片了。

因为姓“True”，而被 iCloud 拒绝访问

据国外媒体报道，当事人 Rachel True 在 Twitter 上抱怨称自己无法登录 iCloud 账号已有 6 个月。从她贴出的报错诊断信息上可以看到，上面写着“iCloud 已停止响应”，并提到用户不能将 true 值设置值为姓氏。这显然是将字符串“true”当成布尔值处理了。目前该问题尚未得到解决。

有人开玩笑道，按西方习俗，当事人嫁人后会跟夫姓，就可以解决该问题了，当然，不要嫁给姓 Null 的人 —— 因为这没准也会被视作关键词。

之前有则流传已久的故事，有人在汽车车牌处贴了一句 SQL 语句，通过摄像头的文字识别注入到交管部门的数据库中，从而进行破坏。当然，我们都知道这是一个编撰的笑话而已。但是真没想到，连苹果的 iCloud 服务也会出现这种数据库注入漏洞。

最近披露的“依赖性混淆”攻击开始大量增加

之前我们报道过，有研究人员发现利用开源生态系统的“依赖性混淆”设计缺陷，成功地入侵了包括谷歌在内的 35 家知名科技公司，获得了超过 13 万美元的漏洞报告奖励。

当时我们曾经预测，这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开。果不其然，最近 npm 和 PyPi 开源代码仓库涌入了超过五千个此类概念验证攻击包，数十家科技公司都成为了类似攻击的目标。研究人员担心，这种攻击会愈演愈烈，毕竟这种攻击的成本非常低。

我觉得这种漏洞披露得有点冒失了，毕竟这个设计缺陷应该需要各种语言本身提供一个适当的防御机制比较好。希望各个语言社区和企业们能及时关注和做临时性规避吧。

“别用！”，Linus Torvalds 对最新的 Linux 内核警告称

最近刚刚发布的 Linux 5.12-rc1 出现了严重问题，以至于 Linux Torvalds 将 v5.12-rc1 的标签改名为 v5.12-rc1-dontuse。这个多灾多难的 Linux 5.12 之前就因为北美暴风雪导致停电而推迟了合并窗口，现在，又由于其中一个会导致整个文件系统被破坏的严重错误而被 Linus 喊停。

不过，如果你不使用内存交换，或只使用交换分区，那不会影响到你，但是如果使用 Ubuntu 这样默认使用交换文件的发行版，那么这个严重错误会导致你的文件系统损坏。

一般来说，这种还散发着热乎气的候选内核，没有人会将其用于正式环境，所以，大家也不用太担心。

写字的纸条就能骗过 OpenAI 的物体识别

OpenAI 的研究人员发现了一种令人震惊的简单方法来蒙蔽他们的对象识别软件，而且只需要笔和纸就可以进行。只要在一张纸上写上 “iPod” 的字样，贴在一只苹果上，就能骗过他们最新的计算机视觉模型 CLIP，该软件会错误地将这个水果归类为音乐播放器。

研究人员认为，像这样的攻击远非单纯的学术问题，通过利用模型强大的文字阅读能力，即使是手写文字的照片也经常可以欺骗模型。OpenAI 的模型是使用文本的图片以及从互联网上搜刮的物体图像进行训练的，因此被所谓这种“排版攻击”误导也不足为奇。

这种所谓的“智能”，有时候还是很笨拙的，没有“智慧”的“智能”始终也只是算法和数据而已。

谷歌的多平台应用框架 Flutter 发布 2.0，支持 Web 应用

Flutter 允许开发者创建一个单一的代码库，可以为 Android、iOS、Windows、macOS 和 Linux、Web 和嵌入式设备生成应用，不过桌面操作系统的支持还不稳定。最重要的是，Flutter 2.0 从主要是一个移动平台，拓展到现在可以真正实现跨移动、桌面、Web 和嵌入式的可移植性。

谷歌的大量应用都依赖于 Flutter，这包括 Google One、Google Pay、Nest Hub、Google Ads、Google Shopping、Google Analytics、Cloud Search 等等。

这样一个重要的里程碑版本，值得开发者们学习了解一下。不过，新东西太多了，感觉有点学不过来了。

RHEL 自助服务的价格翻了一番，但是软件没变

2019 年红帽公司下线了其 RHEL Server 自助服务（RH0197181），而被 RHEL Server 入门级自助服务（RH00005）所取代。它们的售价都是 349 美元，但只有停售那款才允许使用最低程度的虚拟功能。现在客户发现，需要支付两倍以上的费用（每年 799 美元）才能在虚拟机中运行 RHEL。换言之，你想不要红帽的技术支持就运行虚拟机，也必须多花一倍的钱，哪怕你真的不需要那些技术支持。

在红帽公司停止其免费的 CentOS 之后，该公司已经明确表示，它对那些只付很少费用或不付费用的用户没有什么兴趣。即便是为了安抚不满的 CentOS 用户而推出的 RHEL 开发者订阅，根据使用条款，不允许用在企业生产环境。而现在，对 RHEL 商业客户也开始层层加码，我觉得，可能红帽的营收压力太大了。

密码学家发表论文宣称破解了 RSA 加密系统

近日，德国密码学家施诺尔在预印本网站上传论文称自己破解了 RSA 加密系统。此事引起密码学界和量子密码界的广泛关注。RSA 加密算法是 1977 年提出的，其名字来源于三位作者的名字字头。这一算法利用大素数分解困难的特性，如果想要破解密码，需要花费很长时间进行大量运算。当前，许多对信息安全性要求较高的领域都大量采用 RSA 非对称加密算法，可以说是如今的信息技术的基石之一。

目前该论文尚未得到学术界的同行审议，是否真正破解了 RSA 还存疑。如果确实破解了 RSA 或提出了一个可行的方向，那对现在的信息技术所构建起来的信息社会的冲击是无疑是巨大的。

去年三分之二的勒索软件活动来自“勒索软件即服务”

事实证明，勒索软件攻击仍然非常有利可图，组织最严密的团伙每个受害者都能赚取数百万美元，因此许多网络犯罪分子都想兑现这种攻击，但没有能力自己编码和分发。这就是勒索软件即服务（RaaS）的作用，这些联盟计划为低级攻击者提供了分发和管理勒索软件活动的能力，而勒索软件背后的开发者则从每个勒索受害者的解密密钥报酬中获得分成。

对勒索软件作为服务的需求如此之大，以至于 2020 年期间出现了 15 个新的勒索软件联盟计划，包括 Thanos、Avaddon、SunCrypt 等。

最重要的不是在被勒索后付出赎金，而是在一开始就切断入侵的渠道和采用必要的安全措施。

微软为 Excel 增加了新的防病毒集成，以在运行时阻止 XLM 恶意宏脚本

自上世纪 90 年代以来，宏恶意软件一直是黑客的热门选择。微软多年来一直在使用其反恶意软件扫描接口（AMSI）来剔除宏恶意软件，但其成功地剔除用 VBA 编写的宏脚本的努力最终将攻击者推向了一种名为 XLM 的旧宏语言，该语言在 1992 年随 Excel 4.0 一起出现。虽然 XLM 在 1993 年被 VBA 取代，但一些客户仍在使用 XLM，因此 Excel 仍支持它。

现在，微软正在扩大其 AMSI 与 Office 365 的集成，包括在运行时扫描 Excel 4.0 XLM 宏，使 AMSI 也可以检测 XLM 宏。

没有脚本功能的 Office 软件没有灵魂，但是脚本其实是麻烦之源。我觉得微软内置对恶意脚本的检测是非常必要的。

华为称，鸿蒙中有 Android 代码，但将不包含 Google 贡献的

华为消费者业务软件部总裁王成录今年初曾表示，鸿蒙不是 Android 或 iOS 的拷贝，面对鸿蒙 V2 中包含 Android 代码的质疑，王成录在采访中回应称，“并不是所有 Android 代码都是 Google 开发的，绝大部分代码来自开源社区。鸿蒙也会吸收社区的优秀技术和代码，用了 AOSP（Android 开源项目）的开源代码，就判断鸿蒙是 Android 换了皮，说明这类吐槽者没有太准确理解什么是开源。今年 10 月，鸿蒙第三阶段的开源代码会上线，来自 AOSP 社区的、由 Google 贡献的代码几乎没有了。”

这份采访中透露的信息量非常大。

Google 表示不再为广告而跟踪用户

Google 准备杀死跟踪用户在网上活动的 cookie，称它没有计划构建新的用户身份识别符，因为它并不需要为了广告而跟踪个别用户。

Google 称，聚合、匿名化和设备本地处理等隐私保护技术的进步提供了一条清晰的道路替代个人身份识别符，广告商不需要跟踪用户就能受益于数字广告。

说不清这到底是一种进步还是退步，总之，广告是少不了的。

美国空军要求逆向工程 B-2 隐形轰炸机的关键零件

B-2 单价高达 24 亿美元，总共只造了 20 架，相关零部件显然早就停产了。利用新的技术逆向工程制造出合适的零部件可能比重启生产更廉价。美国政府对 B-2 隐形轰炸机的关键零件负载热交换器的逆向工程发出招标，要求在交付时提供完整的技术数据。

这就像回家忘记带钥匙找开锁公司一样。