GitHub 推动用户启用双因素认证

据报道，Github 将在 2023 年底前要求用户启用双因素认证（2FA）。GitHub 说，只有 16.5% 的 GitHub 活跃用户和 6.44% 的 NPM 用户使用双因素认证。被入侵的账户不仅使与之的个人和组织面临风险，而且也让使用受影响代码的用户面临风险。今年早些时候，GitHub 要求前 100 名 NPM 软件包的维护者强制启用 2FA 验证，并计划在本月扩大到前 500 名，然后再扩大到所有依赖项超过 500 或周下载量超过 100 万的软件包的维护者。

消息来源：theverge

老王点评：确实，很多代码已经不仅仅是个人的业余爱好，而关系到很多重要的严肃应用。

英国政府为在线应用商店制定一致的业务守则

英国政府提出了一套数字市场需要遵循的安全规则，以保护英国用户的设备和数据不被泄露。拟议的指导方针将适用于任何在线应用商店，包括移动设备、游戏机、电视、语音助手和其他产品上的应用。其中包括，所有应用商店都要包括报告托管软件安全漏洞的步骤；让用户更容易了解和管理其隐私信息。

消息来源：techspot

老王点评：对应用商店的管理确实需要加强，尤其是安卓应用商店。

拜登下令推动量子技术发展

这些指令旨在确保美国及其盟友在量子计算领域保持领先于其他国家，特别是应用于密码学。根据指令创建了一个国家量子计划咨询委员会，这是对 2018 年美国颁布的《国家量子倡议法》的加强。美国国家安全局局长说，“与密码分析有关的量子计算机可能危及民用和军用通信，并破坏关键基础设施的监督和控制系统。”去年 11 月，美国制裁了 28 家参与支持中国军事量子计算应用的组织。

消息来源：theregister

老王点评：量子霸权竞赛或许是未来的胜负手。

回音

• 在讨论了数周之后，Fedora 37 确认 不会取消 对传统 BIOS 的支持。但同时批准了其它变化，如升级到 RPM 4.19，去除传统的 X.Org 驱动等。

价值 36 亿美元的被盗比特币被追回

美国司法部终于找到了在 2016 年加密货币交易所 Bitfinex 被黑期间被盗的几乎所有比特币，它们在一位音乐创作人和说唱歌手及其区块链创业公司创始人的丈夫手中。一个不确定身份的黑客将近 12 万枚比特币从交易所盗走转移到一个外部钱包，该钱包由上述夫妻控制，他们试图通过“迷宫般的加密货币交易”来 清洗被盗资金。在 2016 年这笔被盗的比特币总价值 7100 万美元。美国司法部扣押了仍在钱包中的近 95000 枚比特币，当前价值 36 亿美元。据悉，这些比特币将返还原持有者。

老王点评：就像历史上其它追回的被盗比特币一样，这相当于变相锁仓了。

默认使用双因素认证后用户信息泄漏情况减少一半

2021 年 10 月，谷歌宣布计划为目前未使用双因素认证的 1.5 亿谷歌用户默认开启，并要求 200 万 YouTube 创作者使用该服务。谷歌最近说它观察到该测试用户群中账户被泄露的情况 减少了一半。2018 年，谷歌曾透露超过 90% 的活跃 Gmail 账户没有使用双因素认证，从那时起，谷歌在一直教育用户使用双因素认证。

老王点评：双因素认证就是安全和便利的最好折中。

利用空闲的云计算来训练 AI

大规模的数据中心和云计算服务商尽管拥有大量的实例，但是也经常会有空闲的处理能力。莱斯大学的一个团队和 ThirdAI 的 研究表明，即使在网络通信不畅和低带宽互连的情况下，近 10 亿个参数的大规模网络也可以在简单的 4 到 16 个核心的 CPU 节点上进行训练，其效果与一些最好的硬件加速器相当。秘诀在于利用他们开发的算法中的哈希稀疏性，该算法被称为 D-SLIDE，是对现有 SLIDE 算法的一种改造。

老王点评：这种算法好，云服务商应该很欢迎。

回音

• 在 Meta 表示 可能撤出欧洲，德国和法国的部长表示没有 Facebook 也可以 之后，Meta 说“绝没有威胁”离开欧洲。

专家称 SaaS 可能会变成锁定服务，丧失开源的好处

MariaDB 是一个开源的数据库，而 MariaDB 公司在开源的数据库之上构建了其专有的功能和服务，如延时开源的 MaxScale。MariaDB 公司去年推出了其 DBaaS 服务 SkySQL，现在宣布其分布式 SQL 引擎 Xpand 作为 SkySQL 系统的引擎之一，然而 Xpand 是一个专有的软件和服务。

专家称，在开源数据库中使用专有附加组件的问题是，它可能会取消开源的好处。SaaS 正在演变为 “lock-in-as-a-service”。很多用户认为他们正在使用的是 MySQL，假设系统之间的可移植性。然而 MariaDB 现在已经与 MySQL 有了很大的不同。开源所带来的避免供应商锁定的好处正在被削弱。

迅速成长起来的 MariaDB 数据库，其背后的公司终究还是一个牟利的商业公司。而采用商业公司的服务时，即便它维护了一个开源产品，你得到的可能也不是开源的服务。

谷歌也要求 App 披露收集哪些数据

在苹果公司开始在 App Store 显示类似的隐私信息后的几个月，谷歌宣布从明年开始，Google Play 上的应用程序将在其列表中的一个新的安全部分显示他们收集哪些数据的细节，以及其隐私和安全做法的其他信息。与苹果一样，该政策也涵盖谷歌自己的应用和第三方开发的应用。由于谷歌本身依赖于广告收入，他们正在讨论如何限制安卓上的数据收集和跨应用程序跟踪，但不会像苹果的举措那么严格。

两个最大的应用生态纷纷加强对隐私数据的保护，以及国内也在通过某些方式加强隐私保护，可见隐私保护已经到了迫切需要采取措施的阶段了。

谷歌很快将默认为所有符合条件的用户开启双因素登录认证

谷歌在一篇博文中说，如果客户的账户“配置得当”，它将很快开始为客户默认注册双因素认证。一旦启用，用户将在智能手机上收到一个提示，以验证试图用他们的谷歌账户登录的行为是否合法。如果标准的双因素认证用起来不方便，用户还可以选择使用物理安全密钥。

不过，现在有研究表明，基于手机短信的双因素认证受到了手机号回收重新启用的影响，如果更换手机号之后，没有及时更新相应的双因素认证信息，可能会导致账户泄露。

双因素认证是一种进步，但是也不要完全依赖它，这世上不存在银弹。