标签 安全 下的文章

谷歌的秘密项目教 AI 编写和修改代码

这个名为 Pitchfork 的秘密项目现已转到谷歌实验室,旨在 “教代码自己编写代码和重写”。Pitchfork 能够通过机器学习技术训练 AI 编写代码、修复 Bug,以及更新代码。其最初目标是构建一款工具,可以将谷歌的 Python 编程语言代码库更新到较新的版本。但随着时间的推移,该项目的目标转向了一个通用系统:可以减少人类开发者编写和更新代码的需要,同时又能保持代码质量。

消息来源:Business Insider
老王点评:我觉得早晚有一天,绝大部分编程工作都变成了计算机自己进行的了。

谷歌安全团队称谷歌等安卓手机厂商迟迟没有修补漏洞

谷歌的 Project Zero 团队说,他们在 6、7 月间发现了 5 个新问题,并告知了 ARM 公司。ARM 在 7、8 月间发布了修复程序。然而,在三个月后,包括三星、小米、Oppo 和谷歌在内的智能手机制造商还没有部署补丁来修复这些漏洞。这些漏洞可以使恶意黑客绕过安卓系统的权限模型,获得对系统的完全访问权。

消息来源:Engadget
老王点评:安全问题的解决链路,光是上游着急也不行。

GitHub 正在测试在 Markdown 中嵌入 JavaScript

GitHub 正在内测在其仓库内的 Markdown 文件内嵌入 JavaScript 代码,这被称之为 “GitHub Blocks”。Markdown 通常用来做代码仓库的说明和文档。通过嵌入 JavaScript,调用 GitHub 提供的 RESTful API,可以使 Markdown 文件变成动态的。它的用例包括渲染字体和颜色,在格式化的表格中显示 JSON 数据,显示仓库分析,如贡献者、问题统计、提交和拉动请求,显示图表,以及动态演示应用功能。

消息来源:DevClass
老王点评:这样就把 Markdown 变成富文本的,动态的了,是不是和 Markdown 本身的初衷背道而驰了?

英伟达采用形式验证来验证软件安全性

英伟达软件安全副总裁说,“面向测试的软件验证对安全来说根本不起作用,你可以对提供给用户的功能的质量有一个衡量标准,但对于安全问题,就没有什么作用,……很难知道你是否已经完成了。”幸运的是,有可能用数学方法证明你的代码的行为与它的规范精确一致。这个过程被称为“形式验证”。英伟达采用软件形式验证行业解决方案 SPARK 来证明软件的安全性。在几年前进行过概念验证后,现在许多英伟达产品在使用 SPARK 组件发布。

消息来源:AdaCore
老王点评:形式验证是个好方法,但是不是那么容易掌握和推行。

JavaScript、Java、Python、Kotlin 和 Rust 开发者增长惊人

根据 SlashData 去年夏天从 163 个国家的 26000 多名开发者调查统计而成的第 23 期《开发者国家报告》,JavaScript 仍然是最大的编程语言社区,全球估计有 1960 万开发者每天都在使用 JavaScript;在过去的两年里,Java 社区的规模已经从 830 万增加到 1650 万,而同期开发者只增加了 50%;Python 在过去两年中增加了约 800 万新的开发人员;Kotlin 和 Rust 社区的规模在过去两年里都翻了一番。

消息来源:ZDNet
老王点评:开发人员越来越倾向于使用主流开发工具,所以流行的越发流行,但是这样就会扼杀一些创新。

密码学家建议考虑非晶格的后量子密码算法

目前许多密码学系统的安全性是基于大数的因数分解的,但因数分解的一个怪癖使其容易受到量子计算机的攻击。因此人们对上世纪 90 年代提出的“晶格密码学”寄予厚望,美国 NIST 选择的四个后量子密码学标准有三个采用晶格密码学。RSA 算法名称中的 S,Adi Shamir 对此表示担忧,“从某种意义上说,我们是把所有鸡蛋放在同一个篮子里”。今年夏天早些时候,一个有前途的后量子密码学方案不是用量子计算机,而是用一台普通的笔记本电脑破解的。

消息来源:Slashdot
老王点评:确实如此,只有一种抗量子的密码理论,很难说会不会被发现潜在的弱点。

开源代码可能是当今大多数公司最可行的选择,但它也伴随着自己的问题。

许多人支持使用 开源软件 open source software (OSS)。毕竟,我们为什么要不断地尝试构建代码来解决别人已经解决过的问题?为什么不分享信息并逐步和迭代地增强当前的开源解决方案呢?这些 平等主义价值观 egalitarian values ,可能是整个文明的根本,更不用说软件了,但还是包含了几千年来一直存在的冲突。

开源软件安全的问题在于,尽管任何人都可以查看源代码,但这并不意味着他们会这么做。有一些广泛使用的开源项目仅由数量有限的工程师维护。这些工程师无法完全自愿地提供时间和精力,因为他们也需要支付他们的账单。

即使对于更复杂的开源项目,这也是一个问题。举个例子,Linux 内核项目由 3000 多万行代码组成,包含数百个需要解决的缺陷,并有近 2000 名活跃的开发者。每个活跃的开发者都写了超过 15000 行的代码。

根据 Linux 基金会最近的一项研究,一个应用程序平均有 5.1 个重大漏洞仍未解决,41% 的企业对其开源软件的安全性缺乏信心。而更糟糕的是,只有 49% 的企业拥有开源安全策略。

即使开源软件有安全漏洞,这也不能保证它能被修复。调查显示,目前修复一个漏洞平均需要 97.8 天,使使用该软件的企业在几个月内容易受到攻击。这就是开源软件安全有时被忽视的地方:就像好人可以寻找代码中的错误和漏洞来修复它们一样,坏人也可以寻找同样的漏洞来利用它们。

仅仅依靠志愿者社区来发现漏洞、报告漏洞和修复漏洞是一个漫长的过程。在你继续受益于开源的广泛优势的同时,花钱请人检查你的开源解决方案的安全性可以帮助弥补这个问题。

由于必须部署开源软件的更新和补丁以保证系统的安全,这一要求会带来独特的困难。如果你的解决方案依赖于某个软件版本,更新你的关键任务软件可能会导致功能损失和/或计划外的停机。当情况对业务至关重要时,聘请专家来回传补丁并维护一个时间更长的版本可能比让大型社区愿意去做更加优雅。

开源社区经常使用的一句话是:“这是开源的,去改变它吧!”它强调了一个关键点:当别人在项目中投入时间、精力或金钱的时候,期望白白得到良好的安全水平是不合理的,也是不可持续的。

要么按原定计划为开源做出贡献,改进代码并为他人发布,要么聘请专业人士管理开源代码并在必要时进行调试,这些都是选择。然而,这个行业无法承担完全不做贡献。


via: https://www.opensourceforu.com/2022/10/security-issues-with-open-source-in-todays-world/

作者:Laveesh Kocher 选题:lkxed 译者:KevinZonda 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

对开源仓库的攻击越来越频繁了。

根据近日的研究,由于越来越多的企业使用开源代码仓库来开发他们的软件及解决方案,网络犯罪分子正在借此获利。根据软件供应链管理服务提供商 Sonatype 最近所做的研究,在最近三年里,受感染的软件包、以及对这些软件平台的 仿冒攻击 typosquatting assaults 和类似的黑客攻击的频率大幅增加。

该企业在过去三年中发现了大约 95000 个有害软件包,以及超过 55000 个最近才使用他们的存储库防火墙公布出来的危险软件包。届时,这个数字在三年内平均增长了 700%。

该企业称,他们的存储库防火墙将通过融合行为分析和自动策略执行的方式,不断发现并阻止有害软件包及潜在的易受攻击的组件。此外,它还使用了人工智能对每个新发布的开源软件进行评估,看它是否会带来一些安全风险。而且该企业断言,由于开源代码的迅速增加,人工分析已变得几乎不可能。

然而,这与企业是否在它的最终产品中包含受感染的恶意组件无关。该公司声称,如果那些恶意组件已经被下载到他们的端点上,就已经太晚了。

“恶意网络攻击的数量、频率、严重性和复杂性还在增长。但企业不能,也不应该仅为保护自身而避免使用开源代码。” Fox 补充说:“但他们可以使用预防性的工具,例如 Sonatype 防火墙来保证开发人员的工作进度和软件供应链的安全。”


via: https://www.opensourceforu.com/2022/09/attacks-on-open-source-software-are-on-the-rise/

作者:Laveesh Kocher 选题:lkxed 译者:自由的铁矿 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

14 岁少年一小时破解澳大利亚情报机构的纪念币密码

澳大利亚信号局(ASD)为庆祝成立 75 周年,周四发布了仅有 5 万枚的纪念币,这个纪念币上有四层难度逐渐加大的密码信息。ASD 提供了一个表单,如果谁能破译这四层密码信息,他们很乐意为他提供一份工作。然而一位 14 岁的澳洲男孩,在短短一个多小时就成为第一个破译所有四层信息的人。不过,ASD 表示,该纪念币上还有隐藏的第五层密码信息,目前还没有人破解出来。

消息来源:ABC News
老王点评:后生可畏,亏得还悄悄隐藏了一个第五层(或许还有第六层?),ASD 才没有完全颜面扫地。

Ubuntu Unity 成为官方风味版

Canonical 在五年前就放弃了其开发的 Unity 桌面环境,转而使用 GNOME 作为默认桌面环境,并维护 KDE 等其它桌面环境作为官方风味版。2017 年 Ubuntu 17.04 的 Unity 7.5 成为最后的绝唱。不过,有喜爱 Unity 桌面的开发者维护了一个 Ubuntu Unity Remix 发行版,此前曾作为 Ubuntu 20.04 LTS 的非官方风味版而发布。并于今年发布了 Unity 7.6。该开发者本周宣布,从 Ubuntu 22.10 开始,Canonical 将正式接纳 Ubuntu Unity 并作为一种官方风味版本。

消息来源:9to5linux
老王点评:虽然开源具有开放性,即便项目原来的主人放弃,社区也有可能会接手而让项目重新复活。但是,这里面最难的不是“你可以”,而是“你做到”,这需要付出很多精力和承诺。比如国内的 CuteFish 夭折之后,虽然也有社区的一些人宣称接手,但是似乎没什么动静。

对 Linux 服务器的攻击比去年增加了 75%

趋势科技称,Linux 服务器正越来越多地受到勒索软件的攻击,在过去的一年里,由于网络犯罪分子希望将他们的攻击扩大到 Windows 操作系统之外,Linux 上检测到的勒索软件增加了 75%。LockBit 是近期最多产和最成功的勒索软件之一,现在它提供了一个基于 Linux 的变体,并已被用于在野外进行攻击。此外,基于 Linux 的加密货币挖掘恶意软件攻击也增加了 145%。

消息来源:ZDNet
老王点评:当人们认为 Linux 系统比 Windows 更安全时,安全团队可能会选择将重点放在防御 Windows 的网络犯罪上,而 Linux 往往承载着包括服务器在内的重要企业 IT 基础设施,一旦出现问题,可能造成的损失更大。

Python 依然势不可挡

根据 TIOBE 指数 8 月份榜单,Python 的“市场份额”在本月又上升了 2%,达到 15.42% 的历史最高水平。自去年 10 月 Python 首次夺得该指数第一的位置以来,已经过去了 10 个月,成为除 Java 和 C 之外唯一保持能第一位置的语言。现在很难找到一个 Python 没有被广泛使用的编程领域。唯一的例外是嵌入式系统,因为 Python 是动态类型的,速度太慢。8 月榜单的前三名是:Python(15.42%)、C(14.59%)、Java(12.40%)。

消息来源:TIOBE
老王点评:现在不知道多少人开始考虑学习 Python 了?

针对星链终端的攻击已经开始了

自 2018 年以来,星链已经发射了 3000 多颗小卫星进入轨道,还有数千颗卫星计划发射。安全研究人员创建了一个可以连接到星链终端天线上的定制黑客工具,使用的是现成的零件,成本约为 25 美元。它能够暂时短路系统,以帮助绕过星链的安全保护措施,进入星链系统中先前被锁定的部分。虽然星链已经发布了一个更新,以增加攻击的难度,但除非该公司创建一个新版本的主芯片,否则根本问题无法修复。安全研究人员说,所有现有的用户终端都很脆弱。

消息来源:Wired
老王点评:最难办的就是这种需要硬件上解决的问题。

微软在 2021 年度的漏洞赏金支付上超过了谷歌

从 2021 年 7 月 1 日开始,到 2022 年 6 月 30 日,微软为 335 名研究人员颁发了 1370 万美元的奖励。而谷歌在 2021 年“破纪录”地奖励了 870 万美元。微软今年做了一些改变,为其 Office 365 产品线中出现的高影响漏洞多支付了高达 26,000 美元,其他奖项则增加了 30%。而 另外一方面,谷歌在 Linux 安全方面投入了更多的资金,毕竟现在谷歌几乎所有产品都是基于 Linux 的。

消息来源:The Register
老王点评:从某种意义上看,这是否可以代表 Linux 总体的安全状态要比 Windows 好?