世界上编程方面的最大的出版商 Packt Publishing 最近对 11000 名访客进行了调查，根据调查结果，Python 和 JavaScript 是当今最流行的编程语言，而 Java 紧随其后，排名第三。

调查内容包括开发者使用的编程语言、喜欢的框架、薪酬信息等。调查显示，如果就编程人员每天都要使用的语言来看，当今前10名的编程语言排名是 Python、JavaScript、Java、PHP、HTML（虽然不算编程语言）、 C#、SQL、CSS（也不算） 、C++ 和 R。

从之前的类似调查中可以发现，所有的调查均显示 Python 和 JavaScript 得到了极大流行。

Packt Publishing 的调查发现，编程人员薪水和以上排名完全不同，诸如 bash、Perl 和 Scala 语言编程人员获得的年薪平均超过了 8 万美元，甚至 Bash 编程语言人员的薪酬达到了 10 万美元，而 PHP 和 C 语言编程人员年薪几乎没有到达 4 万美元。

而在 Web 开发人员使用的工具方面，AngularJS 取得了第一，其次是 Facebook 的 React.js 框架、Node.js、Docker、Laravel、 Bootstrap、WordPress 和 AWS。

过去几年最流行的新编程语言排行榜当中，毫无疑问 Swift 高居榜首，其次是 C#、Go、Rust 和 Elixir。

新的框架方面， Docker 也如预期的那样得到第一，Apache Spark 和 AWS 分列二、三名。

更多的调查结果，可以看看 Packt Publishing 的报告（需注册）。

今日关注

Canonical 宣布 Ubuntu 16.04 LTS （Xenial Xerus） 的第一个维护版本 16.04.1 发布，包括 Kubuntu 、Xubuntu、 Lubuntu、Mythbuntu、Ubuntu Studio、Ubuntu MATE、Ubuntu GNOME、Ubuntu Kylin 等分支也同样更新其安装镜像。如果你还在使用旧的 Ubuntu 14.04.4 等版本，你会收到一个升级提示——这是最后的安全地升级到 16.04 的机会了。

图文摘要

VirtualBox 5.1.2 发布，对 RedHat 企业版 Linux 5 提供了更好支持。

在出去玩了一周之后，Linus 正式宣布 Linux Kernel 4.7 的发布。这一版本最大的新功能是提供了对 AMD 新发布的 Radeon RX 480 GPU 的支持。

经过漫长时间的等待，Mozilla Thunderbird 45 终于登陆 Ubuntu 了，你现在可以从 Ubuntu 官方仓库中下载安装了。

Google 本周以前都是用 TypeScript 来编写其著名的 AngularJS JavaScript 框架，不过从现在开始，它创建了一个使用 Dart 语言开发的 AngularJS 分支 AngularDart，用于内部的 AdWords 等。这种分拆对于 AngularJS 和 AngularDart 来说应该都是个好消息。

两名中国的安全研究人员开发了一个新的 Web shell，并把它开源到 GitHub 上了，任何人都可以使用它，或基于它改造成自己的黑客工具。

这个 Web Shell 的名字是 “ C刀 （ Cknife ） ”——中国小刀的意思。它首次出现在 2015 年底，以 Java 开发，包括一个可以让它连接到 Java、PHP、ASP 和 ASP.NET 等服务器的服务器端组件。

两位作者是来自 MS509Team 的 Chora 和 MelodyZX，其中 MelodyZX 曾向阿里安全应急响应提交过漏洞，并应邀参加过2016 网络安全年会专题演讲。

“ 中国菜刀 （ China Copper ） ”之后的复刻版

据 Recorded Future 的调查显示，这两位作者想要创造一个“中国菜刀”的复刻版。“中国菜刀”是一个非常有效的，但是已经过时的 Web Shell，它发布于 2013 年，曾经是中国红客的首选工具。

在“C刀”和“中国菜刀”之间有一些相同的地方，比如图标和发起 HTTP 请求的行为，但是两个工具也有根本性的不同，“C刀”采用 Java 编写，而“中国菜刀”则以 C++ 编写。此外，“C刀”在 Web Shell 的客户端和被入侵的服务器之间的通讯使用 HTTP，而“中国菜刀”则使用的是 HTTPS。Recorded Future 说“C刀”的作者承诺或在未来几个月内增加 HTTPS 支持。

Recorded Future：“C刀”是 Web 服务器的远程管理木马（RAT）

目前，“C刀”允许使用者同时连接多台服务器，比如同时连接到 Web 服务器和数据库，以及运行一个远程命令行。

由于其大量的功能和甚至支持替换显示样式的漂亮界面，Recorded Future 认为它更像是一个“Web 服务器的远程管理木马（RAT）”而不是传统的 Web Shell。

尽管两位作者作为安全人员的职业很成功，但是这种开源了 Web Shell 的行为似乎跨越了白帽子和黑帽子之间的界限，相对于网络安全从业人员而言，这种工具对于网络攻击者更有用处。

提供 Maven 中央仓库托管服务的 Sonatype 公司说， Java 组件下载中，有 1/16 的下载组件中包含了已知的安全问题。

Sonatype 声称，开发者们每年要下载超过 310 亿个/次 Java 组件，每天也会新增超过 1 千个新组件以及超过 1 万个的组件新版本。

现在企业都采用托管式的中央组件仓库来存储他们的代码。这些代码中有一些来自私有项目，而更多的则来自于开源代码，在多数情况下，他们只是下载开源代码并导入到其项目中，而不做必要的安全审计。

Sonatype 发现现在企业中的百分之八、九十的代码都是由开源组件构成的，它们直接来自公开的代码导入。

由于这些安全缺陷都是公开的，而且 Sonatype 能够访问到其托管服务的服务器统计数据，相比其他人来说他们得到的数据会更多，因此他们警告开发者们要注意在他们的代码中使用不安全的或过期的组件所带来的风险。

这个警告对于公司来说更加严重，因为如果攻击者对采用有缺陷的组件创建的应用进行攻击，结果就可能导致更多的经济损失。

更老的组件的缺陷率高达三倍

在分析了来自几个不同行业的三千家机构的两万五千个以上的企业应用之后，Sonatype 发现平均每年每个企业都会下载大约五千个不同的组件。

组件越老，就越有可能包含安全缺陷。甚至更糟糕的是， 其中 97% 的下载的组件不能很方便的跟踪和审计。而如果公司仅仅是要修复两千个应用中的 10% 的安全漏洞，就大约需要 742 万美金的巨额投入。

这些问题说明企业需要对软件供应链进行管理，以避免将来出现的缺陷问题。花费在组件安全审计上的时间，将在该项目的以后出现安全漏洞后得到回报。

从这种托管的中央代码仓库中移除有缺陷的组件也应该成为这些项目背后的社区的最高优先级的工作。

软件供应链报告中包含了当今软件供应链的更多信息。

今日关注

Fedora 项目大使及打包者 Miro Hrončok 向社区发出倡议，希望社区人员能够帮助他们移植一些软件包到最新的 Python 3 上。Fedora 项目总是在支持新技术方面走在前列，在 Python 3 方面也是。有许多使用 Python 写的应用都已经支持了 Python 3，但是不幸的是，它们通常没有为 Fedora 做好打包，所以 Fedora 项目需要更多的志愿者来帮忙做一些移植和打包工作。

参与这个工作很容易，你只需要懂得一些 Python 3 语言，然后从 Fedora Python 3 移植数据库中选择你要移植的包，在 Bugzilla 上申明你要移植即可开始。具体的移植工作，你需要提交可以使软件包兼容 Python 3 的 spec 文件，创建补丁并附加到 Bugzilla bug 报告中。完成这一切之后，你的每个补丁都可以为你赢得一枚 Fedora 徽章！

加入 Python 3 移植团队

图文摘要

美军原计划将其 400 万台设备升级到 Windows 10，但是现在由于资金问题，显然没法按照原计划的升级时限进行，目前计划得到明年第二季度才能完成。

今日关注

Ubuntu 官方论坛遭遇了 SQL 注入攻击，有人声称拥有了 Ubuntu 论坛数据库的一份拷贝。值得庆幸的是，Ubuntu 采用了单点登录技术，用户的密码作为一个随机的字符串并进行了加密存储。Canonical 保证攻击者无法侵入到 Ubuntu 的代码仓库中。

图文摘要

Canonical 发布了多项安全公告，对所有支持的 Ubuntu 操作系统进行了 Linux 内核漏洞修复。攻击者可以通过对 Linux 内核包中的内存管理器发起拒绝服务攻击，从而导致系统崩溃。

基于 Slackware 14.2 的 SlackEX 发布，搭载了最新的 Linux 内核 4.6.4 和 KDE 4.14.21。

Ubuntu GNOME 16.04.1 LTS 将从默认的安装包中去掉 GNOME Maps。因为 MapQuest 访问失效导致 Maps app 不能够正常工作。