懒人程序员们可以付费使用 AI 代写“作业”了

GitHub 宣布它的 AI 编程助手 Copilot 将开放付费使用，开发者可支付月费 10 美元或年费 100 美元。核实过的学生和流行开源项目的维护者可免费使用。Copilot 使用公开的代码库进行训练，在开发者写代码时根据函数名等上下文自动补完后续代码。很多时候 Copilot 补充的是公开代码库中代码片段的拷贝，在设置中提供了一个选项可以关闭来自公开代码库的代码补充建议。

消息来源：GitHub

老王点评：作为一个有 20 多年编程经验的人，我觉得这对编程人员来说可能并非好事。虽然它可能帮你更快、更轻松地编程，但是也可能导致你的编程基础技能进一步被削弱。最终，Copilot 的进一步强大和程序员越来越弱的编程能力，导致最终失业的是那些依赖 Copilot 的程序员们。

开源代码项目平均有 49 个漏洞

在最新《开源安全状态》报告中发现，一个开源的项目平均有 49 个漏洞和 80 个直接依赖项。修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年，修复安全漏洞平均需要 49 天，而 2021 年则需要 110 天。该报告称，只有 49% 的组织制定了开源软件开发或使用的安全策略，对于大中型公司来说仅为 27%，甚至大约 30% 的组织中没有人直接负责和解决开源安全问题。

消息来源：SNYK

老王点评：开源软件从非主流变成主流，其原本的一些小问题也逐渐形成了大问题。在所有人都开始拥抱开源的时候，反而要审慎地应用开源，要对进入严肃应用场合的开源软件进行管理，使之可以避免一些固有的缺陷和风险。

研究发现区块链的中心化风险

近日，美国国防高级研究计划局（DARPA）发布了一份名为《区块链真的是去中心化吗？》的报告，发现区块链的关键漏洞有可能危及其所谓“去中心化”理念。根据该报告，至少在过去五年中，60% 的比特币流量仅通过三个互联网服务供应商，而 55% 的比特币流量是通过 Tor 进行的。这意味着这些供应商有可能拥有“改写历史”的能力，限制某些交易。此外，大约 21% 的比特币节点正在运行一个容易受到攻击的旧版本的比特币核心客户端。

消息来源：SecurityBoulevard

老王点评：毕竟区块链也是运行在网络上的，算法上的安全并不能解决基础设施不安全的问题。值此区块链暴跌的时机，这一报告又将雪上加霜。

回音

• Cloudflare 解释 说 20 日的 事故 是网络配置错误导致的。Cloudflare 称它修改网络配置本意是增加弹性，结果却导致其 4% 的网络受到影响，进而影响到它处理的大约 50% 的 HTTP 请求。

微软警示一个针对 Linux 设备的“隐形 DDoS 恶意软件”

微软发现一个名为 XorDdos 的 Linux 木马的活动大幅增加。这是一个结合了拒绝服务功能和基于 XOR 通信加密的木马，它是 2021 年最活跃的基于 Linux 的恶意软件家族之一。它会对 Linux 服务器进行自动密码猜测攻击，以找到 SSH 服务器上使用的管理密码。微软怀疑其被用作后续恶意活动的一个载体。

消息来源：ZDNet

老王点评：木马不稀奇，稀奇的是微软开始为 Linux 的安全而担忧——但其实这也很正常，Azure 上有很多 Linux 服务器。

美国政府首次对用加密货币躲避制裁提出刑事指控

上周，美国司法部批准了对一名美国人的刑事指控，“指控他向美国政府全面制裁的几个国家之一的虚拟货币交易所转账了价值超过 1000 万美元的比特币。”虽然一些法律专家认为，比特币、以太坊或 USDT 等虚拟货币不受美国制裁法的约束，因为它们是在传统金融体系之外创造和流动的。该案是美国第一个在制裁案件中仅针对使用加密货币的刑事起诉。这表明，在许多方面，加密货币不是逃避制裁或洗钱的好工具。顺便说一句，今天的比特币披萨节。

消息来源：MSN

老王点评：加密货币并不是法外之地，另一方面，加密货币的事实可追踪性也使得其并不适合违法行为。

Rust 供应链攻击感染云 CI 管道

Rust 安全响应工作组发布了一份公告，宣布发现了一个托管在 Rust 依赖性社区仓库的恶意库。它会感染 GitLab 的持续集成（CI）管道，成为后续供应链攻击的助推器。它用错误的名字冒充知名的 rust_decimal 包，里面充斥着攻击者劫持受感染主机的各种功能，被一个热心的观察者发现并汇报给官方。

消息来源：sentinelone

老王点评：软件供应链攻击被人们称之为“炸鱼”，可以一次性感染整个用户群。这种放大式的攻击，一旦得手，影响非常严重。我觉得软件包社区应该建立更好的监控和发现机制，而不是依赖某个人的偶尔发现。

保护开源软件需要多少钱？OpenSSF 称 1.5 亿美元

在华盛顿特区刚刚举行的第二届开源软件安全峰会上，OpenSSF 宣布了一项雄心勃勃、多管齐下的计划，有 10 个关键目标，以更好地保护整个开源软件生态系统。OpenSSF 估计，其计划在两年内将需要约 1.5 亿美元的资金，目前成员已经认捐了 3000 万美元。

消息来源：venturebeat

老王点评：确实，开源软件有一些历史问题需要专门投入人力和资金解决夯实一下。真要是花了这么多钱能解决大部分主要问题，也是好的。

DeepMind 的最新人工智能可以执行 600 多项任务

DeepMind 本周发布了一个名为 Gato 的“通用”人工智能系统，一个可以被教导执行许多不同类型任务的系统。研究人员训练 Gato 完成了 604 项任务，包括给图像加标题，进行对话，用真正的机器人手臂堆积积木，以及玩雅达利游戏等等。Gato 不一定总是能很好地完成这些任务，DeepMind 称，Gato 在一半以上的时间里表现得比专家好。Gato 的参数比 GPT-3 的 1700 亿个参数要小几个数量级，只有 12 亿个。

消息来源：techcrunch

老王点评：虽然距离通用人工智能还有一定距离，在理解和学习人类所能完成的任何任务的能力方面还远远不够，但是也是很可喜的进步了。

谷歌发布 Flutter 3

谷歌在几年前创建了 Flutter，目的是做一个跨平台的软件框架。Flutter 可以为安卓、iOS 构建应用程序，而且都来自同一个共享的代码库。Flutter 在今年 2 月份为 Windows 平台提供了稳定支持，但 macOS 和 Linux 仍然只处于测试阶段。在今年的谷歌 I/O 大会上宣布的 Flutter 3，对 macOS 和 Linux 的应用构建也提供了稳定支持。对 Linux 的支持是与 Canonical 合作提供的，Canonical 已经用 Flutter 开发了一些关键应用，包括软件安装和固件更新。

消息来源：xda

老王点评：正如谷歌注意到的，跨平台不仅仅是生成各个平台的二进制，更重要的是，要符合各个平台的体验。

简介

正如我们 最近解释的，WebAssembly 是一种用于以任何语言编写的二进制格式的软件，旨在最终无需更改就能在任意平台运行。WebAssembly 的第一个应用是在 Web 浏览器中，以使网站更快、更具交互性。WebAssembly 有计划推向 Web 之外，从各种服务器到物联网（IoT），其创造了很多机会，但也存在很多安全问题。这篇文章是对这些问题和 WebAssembly 安全模型的一篇介绍性概述。

WebAssembly 跟 JavaScript 很像

在 Web 浏览器内部，WebAssembly 模块由执行 JavaScript 代码的同一 虚拟机 VM 管理。因此，WebAssembly 和 JavaScript 一样，造成的危害也是相同的，只是效率更高，更不易被察觉。由于 JavaScript 是纯文本，运行前需要浏览器编译，而 WebAssembly 是一种可立即运行的二进制格式，运行速度更快，也更难被扫描出（即使使用杀毒软件）其中的恶意指令。

WebAssembly 的这种 “代码混淆” 效果已经被用来弹出不请自来的广告，或打开假的 “技术支持” 窗口，要求提供敏感数据。另一个把戏则是自动将浏览器重定向到包含真正危险的恶意软件的 “落地” 页。

最后，就像 JavaScript 一样，WebAssembly 可能被用来 “窃取” 处理能力而不是数据。2019 年，对 150 个不同的 WASM 模块的分析 发现，其中约 32% 被用于加密货币挖掘。

WebAssembly 沙盒和接口

WebAssembly 代码在一个由虚拟机（而不是操作系统）管理的 沙盒 中封闭运行。这使它无法看到主机，也无法直接与主机交互。对系统资源（文件、硬件或互联网连接）的访问只能通过该虚拟机提供的 WebAssembly 系统接口 WebAssembly System Interface （WASI） 进行。

WASI 不同于大多数其他应用程序编程接口（API），它具有独特的安全特性，真正推动了 WASM 在传统服务器和 边缘 Edge 计算场景中的采用，这将是下一篇文章的主题。在这里，可以说，当从 Web 迁移到其他环境时，它的安全影响会有很大的不同。现代 Web 浏览器是极其复杂的软件，但它是建立在数十年的经验和数十亿人的日常测试之上的。与浏览器相比，服务器或物联网（IoT）设备几乎是未知领域。这些平台的虚拟机将需要扩展 WASI，因此，肯定会带来新的安全挑战。

WebAssembly 中的内存和代码管理

与普通的编译程序相比，WebAssembly 应用程序对内存的访问非常受限，对它们自己也是如此。WebAssembly 代码不能直接访问尚未调用的函数或变量，不能跳转到任意地址，也不能将内存中的数据作为字节码指令执行。

在浏览器内部，WASM 模块只能获得一个连续字节的全局数组（ 线性内存 linear memory ）进行操作。WebAssembly 可以直接读写该区域中的任意位置，或者请求增加其大小，但仅此而已。这个 线性内存 linear memory 也与包含其实际代码、执行堆栈、当然还有运行 WebAssembly 的虚拟机的区域分离。对于浏览器来说，所有这些数据结构都是普通的 JavaScript 对象，使用标准过程与所有其他对象隔离。

结果还好，但不完美

所有这些限制使得 WebAssembly 模块很难做出不当行为，但也并非不可能。

沙盒化的内存使 WebAssembly 几乎不可能接触到 外部 的东西，也使操作系统更难防止 内部 发生不好的事情。传统的内存监测机制，比如 堆栈金丝雀 Stack Canaries 能注意到是否有代码试图扰乱它不应该接触的对象，但在这里没用。

事实上，WebAssembly 只能访问自己的 线性内存 linear memory ，但可以直接访问，这也可能为攻击者的行为 提供便利。有了这些约束和对模块源代码的访问，就更容易猜测覆盖哪些内存位置可能造成最大的破坏。破坏局部变量似乎也是 可能的，因为它们停留在 线性内存 linear memory 中的无监督堆栈中。

2020 年的一篇关于 WebAssembly 的二进制安全性 的论文指出，WebAssembly 代码仍然可以在设定的常量内存中覆盖字符串文字。同一篇论文描述了在三个不同的平台（浏览器、Node.JS 上的服务端应用程序，和独立 WebAssembly 虚拟机的应用程序）上，WebAssembly 可能比编译为原生二进制文件时更不安全的其他方式。建议进一步阅读此主题。

通常，认为 WebAssembly 只能破坏其自身沙盒中的内容的想法可能会产生误导。WebAssembly 模块为调用它们的 JavaScript 代码做繁重的工作，每次都会交换变量。如果模块在这些变量中的任意一处写入不安全的调用 WebAssembly 的 JavaScript 代码，就 会 导致崩溃或数据泄露。

未来的方向

WebAssembly 的两个新出现的特性：并发 和内部垃圾收集，肯定会影响其安全性（如何影响以及影响多少，现在下结论还为时过早）。

并发允许多个 WebAssembly 模块在同一个虚拟机中并行。目前，只有通过 JavaScript web workers 才能实现这一点，但更好的机制正在开发中。安全方面，他们可能会带来 以前不需要的大量的代码，也就是更多出错的方法。

为了提高性能和安全性，我们需要一个 本地的垃圾收集器，但最重要的是，要在经过良好测试的浏览器的 Java 虚拟机之外使用 WebAssembly，因为这些虚拟机无论如何都会在自己内部收集所有的垃圾。当然，甚至这个新代码也可能成为漏洞和攻击的另一个入口。

往好处想，使 WebAssembly 比现在更安全的通用策略也是存在的。再次引用 这篇文章，这些策略包括：编译器改进、栈/堆和常量数据的 分离 的线性存储机制，以及避免使用 不安全的语言（如 C）编译 WebAssembly 模块代码。

本文 WebAssembly 安全的现在和未来 首次发表在 Linux 基金会 - 培训。

via: https://www.linux.com/news/webassembly-security-now-and-in-the-future/

作者：Dan Brown 选题：lujun9972 译者：hanszhao80 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

前美国国家安全局计算机专家妄称华为使 Linux 不可信

一位前美国国家安全局（NSA）计算机专家 Dave Aitel 在一场在线会议辩论中说，“内核的最大贡献者是中国的电信厂商华为技术公司，该公司已被美国起诉”，并问道，“如果这么多（内核）补丁来自这样的公司，人们怎么能放心？”另一方面却又称赞了谷歌的 ChromeOS，并建议使用 Chromebook 而不是 Windows 机器。他呼吁进行漏洞管理，主张政府是处理这一问题的最佳实体。并为“补丁无用”论做辩论，称“修补漏洞相当于安全行业的思想和祈祷。……安全厂商和大的技术公司提出的补救措施这些年来一直在哄骗人们进入一种虚假的安全感。……如果网络上有易受攻击的设备，那么它们应该被移除，用其他设备代替，而不是不断打补丁……”

消息来源：itwire

老王点评：如此“砖家”，果然不愧是臭名昭著的 NSA 出来的。

安卓市场份额五年减少 8%

根据 StockApps.com 的数据显示，虽然安卓仍然是移动市场最流行的操作系统，但过去五年它的市场份额减少了近 8%。2018 年 7 月安卓市场份额为 77.32%，2022 年 1 月减少到 69.74%，下降 7.58%。相比之下，苹果 iOS 同期的份额从 19.4% 提高到 25.49% 增加 6% 的份额。剩余 1.58% 由其它操作系统获得。

消息来源：stockapps

老王点评：即便走下坡路，但是安卓仍然占有 70% 的市场。

继萨尔瓦多后，中非宣布采用比特币为法定货币

据报道，中非成为非洲第一个采用比特币作为支付货币的国家。数字经济、邮政服务和电信部长及财政和预算部长发起并提交了该法律草案，由国民大会一致通过。该法案既建立了加密货币监管的法律框架，又将比特币作为中非共和国的一种官方货币。

消息来源：Forbes Monaco

老王点评：虽然都是一些经济上面临很大问题的国家试图以比特币挽救其经济，但是也未必就不是一条路。

树莓派不考虑采用 RISC-V 核心

树莓派上市于 2012 年 2 月 29 日，已经上市十年了，到目前为止已经生产了大约 4600 万台树莓派。树莓派的负责人在 接受采访时表示，RISC-V 并不在计划之内，甚至下一代树莓派也不会考虑。即便他也承认 RISC-V 核心和树莓派 4 的 ARM 核心一样好，但在 2030 年之前，RISC-V 树莓派的可能性或许只有 10%。

老王点评：树莓派在硬件上从来不是自由的，虽然用的是 Linux 操作系统。

Linux 基金会发布“第二次普查”报告

Linux 基金会与合作方联合进行了自由开源软件库的“ 第二次普查 Census II ”。这是 2015 年进行的“第一次普查”的后继报告，“第一次普查”目的是确定 Debian Linux 中对内核的运行和安全最关键的软件包。“第二次普查”是为了更全面了解自由开源软件采用情况。该报告汇总了来自数千家公司生产应用中使用的 50 多万个自由开源软件库的数据。调查的重要发现之一是，许多最广泛使用的自由开源软件是由少数几个贡献者开发的。

老王点评：也就是说现在的自由开源软件生态的基础还是很不稳定。

超过一半的安全漏洞已经存在五年以上了

安全研究人员的 分析表明，企业网络中存在的 61% 的安全漏洞是 2016 年甚至更早的，尽管补丁已经出现了至少五年。甚至一些继续被利用来入侵网络的漏洞已经超过十年了。困扰企业的最常见的未修补漏洞之一是 CVE-2017-11882，这是微软 Office（包括 Office 365）中的一个老的内存损坏问题，该问题在 2017 年被发现并修补，但自 2000 年以来一直存在。它是 Windows 上最活跃的漏洞之一，而该漏洞几乎不需要用户的交互，这为钓鱼活动创造了条件。

老王点评：相比互联网，企业网络的安全其实很脆弱。

回音

• 之前我们 报道 过，勒索团伙要求在本周五之前，英伟达“开源”其所有显卡驱动，否则将公开更多技术资料。而现在最后期限已经过了，吃瓜群众们还在等黑客兑现威胁，或英伟达“开源”驱动程序，但目前双方都没有动静。不过勒索团伙用偷来的英伟达证书 签署了两个恶意软件。