你现在需要读的 2021 安全总结文章。

2021 年我们最常见的讨论之一是你自己数据的安全和隐私。显然，你的数据是你的，密码是安全的关键。今年的安全类的作者们提供了有用的知识和开源工具来保持你的数据和硬件安全。

以下是我对今年安全之旅选出的前五篇文章。

《6 个开源工具和初学者保护 Linux 服务器的技巧》

Sahana Sreeram 提供了从更新到恶意软件扫描的 六个基本的服务器安全小知识。这篇文章为你在家里或工作中的 Linux 服务器提供了一个起点。要特别注意密码强度部分和为你的服务器创建降低风险的密码策略要求的工具，因为这是你所使用的任何操作系统上最关键的做法。这篇文章是一篇实用指南，指导你在 Linux 服务器的日常工作中进行安全工作。正如 Sahana 所指出的，安全领域无疑正在扩大，这篇文章给了每个人着手预防的机会。

《用开源软件保护你的文件的 5 种方法》

接下来的 这篇文章 对于像我这样写了大量的文档（从文章到个人研究笔记都有）的人来说是非常有用的。作者 Ksenia Fedoruk 首先列出了保存文档的开源云存储服务。接下来，她介绍了加密的重要性以及在我们的文档中使用加密的方法。她还清楚地介绍了文件的数字签名和水印以及使用哪些开源工具。最后，文章涵盖了对我们制作和使用的文档进行密码保护的情况。结尾处的提醒遵循了今年安全领域的一个共同主题：你的数据是你的。

《4 个清除你的数据的 Linux 工具》

在 这篇文章 中，Don Watkins 涵盖了硬件的用途和维护。它以一系列擦除硬盘的工具作为引子，这样你的数据就不能被下一个使用设备的人拿走。在几个小的演练中，Don 涵盖了使用 GNU shred、ShredOS、dd 命令，以及最后的 nvme-cli。每一个都可以从你的硬件中删除所有的数据，并对你正在使用的、不再需要的硬盘进行删除。Don 的结论提供了一个温和的提醒：如果你要卖掉你的硬件，这并不意味着下一个人应该拥有你的数据。你的数据是你的。

《在 Linux 命令行上生成密码》

正如我在本期中早先时候指出的那样，密码对于今年的安全总结至关重要。在 这篇文章 中，我们的作者 Sumantro Mukherjee 首先介绍了许多网站在涉及到密码时可以有（也应该有）一个严格的规定。这篇文章循序渐进地介绍了如何使用 pwgen，首先是安装它，然后是生成密码。这是一个有用的工具，Sumantro 详细介绍了如何使用一些标志来生成符合任何网站或应用的要求和策略的密码。在这篇读物的最后，最后的总结包含了链接到一个方便的开源密码管理器列表，这个列表是我们的另一位作者 Jason Baker 在今年早些时候写的。这是一个重要的读物，可以让你为你在网站上的日常使用制定更好的密码，以防止黑客攻击或丢失你的账户中的数据。

《用这个开源软件加密你的文件》

今年的安全总结的最后，是一篇关于加密和加密文件的 文章。Seth Kenlon 介绍了一个名为 VeraCrypt 的开源跨平台加密工具。Seth 的演练深入解释了如何安装和使用 VeraCrypt，并展示了这个很酷的软件的易用性。但在此之前，他还简要介绍了 VeraCrypt 的前身 TrueCrypt 的历史，以及 VeraCrypt 是如何向后兼容以前用 TrueCrypt 的加密卷的。通过这个易于使用的开源加密软件，Seth 已经证明，你可以在本地拥有你的数据，并以你想要的方式进行加密。

荣誉提名

虽然这五篇是我今年的最爱，但这里还有两篇同样值得一读的提名文章。

• Seth Kenlon 的《了解开源安全的 Linus 法则》。
• Mike Calizo 的《如何成功执行 DevSecOps》。

每篇文章都对安全策略和采用情况进行了结构化解读。

关于安全的总结

我强烈建议在今年阅读这些文章和 其他几篇。这些将使你为 2022 年安全世界的发展做好准备。你可以成为新一年的安全冠军。

你有一些想要推荐的工具吗？请留下评论或 提出你的文章构思。

via: https://opensource.com/article/21/12/open-source-security

作者：Jessica Cherry 选题：lujun9972 译者：geekpi 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

美国一些机构在使用 AI 招聘工具来招人

去年，美国食药管理局的下属机构需要快速填补 900 多个职位空缺，因而决定采购 HireVue 平台的服务来完成此任务。HireVue 是一个在线平台，允许雇主审查异步录制的视频面试，并让应聘者玩视频游戏作为其申请过程的一部分。平台还提供了各种人工智能功能，对候选人进行自动评分。它甚至还提供过面部分析，以预测求职者是否适合一份公开工作，但是后来鉴于 AI 的面部分析存在一些偏见，因而下线了该功能。

老王点评：AI 用于招聘和人员管理肯定是趋势，但是过度滥用可能带来的问题更大。

美国白宫和软件行业讨论改善开源安全

据称，在流行的 Log4j 漏洞被披露之后，美国白宫官员正在 邀请 主要软件公司和开发商与他们合作，以提高开源软件的安全性。几十个开源软件项目已经成为全球商业的重要组成部分，并且大多由志愿者维护。美国国家安全顾问认为，开源软件加快了创新的步伐，……但它被广泛使用而且是由志愿者维护的这一事实构成了关键的国家安全问题。美国政府的高级官员说 Log4j 漏洞是她职业生涯中见过的最糟糕的漏洞。

老王点评：开源软件已经成为主流基础设施，但是其暴露出来的问题也是开源软件所赖之生存的土壤，那么，究竟如何做才能既保持开源软件的活力，又能承担世界主流的责任呢？

大公司的精英们放弃百万年薪投奔新的“一生机会”

谷歌、亚马逊、苹果和其他大型科技公司的高管和工程师们放弃数百万美元的年薪，去追逐他们认为是“一辈子就一次的机会”。他们认为，下一个大事件就是加密货币，这包括比特币等数字货币和依靠区块链的 NFT 等产品。这些科技行业的精英们认为他们看到了历史上的相似之处，即个人电脑和互联网也曾经被嘲笑，但却颠覆了现状，铸造了新一代的亿万富翁。他们认为，加密货币可以通过创造一个不受少数公司控制的、更加分散的互联网来改变世界。虽然自 2009 年比特币出现以来，这种可能性就一直存在，但像 NFT 这样的加密货币产品直到今年才突破了主流。

老王点评：究竟是一种虚妄的泡沫还是变革前夜，无需争论，时间会告诉一切。

微软 Edge 最新内置购物功能激怒用户

微软 Edge 的测试版本最近增加了一项功能，在浏览器内内置了购物功能，还允许人们分期支付网上购物的费用。这引起了浏览器的 粉丝和用户的批评，他们认为微软 Edge 已经成为一个非常好的替代品，但正在变得臃肿，充满了购物功能，而不是提供一个纯粹的浏览体验。

老王点评：当 Edge 开始成功时，谁都想从其中挣到更多的钱，结果就被搞坏了。

86% 被攻击的谷歌云实例用于挖掘加密货币

谷歌最新发布的 报告显示，这些被攻击利用的实例中，48% 的用户账户密码是薄弱或没有密码，或没有 API 认证，26% 是由于云实例中第三方软件的漏洞而发生的，只有 4% 是由于泄漏的凭证，如发布到 GitHub 的密钥。而且，在 58% 的情况下攻击是由脚本进行的，不需要人工干预，不安全的实例可以在短短 30 分钟内被扫描到成为攻击目标。

老王点评：如果你没有谨慎处置你的安全，就是为攻击者买单了。

为在 Chrome 中禁止第三方 Cookie，谷歌向监管部门妥协

谷歌去年年初宣布，未来两年内将逐步淘汰 Chrome 浏览器对第三方 Cookie 的支持，然后计划推广其“隐私沙箱”技术。但这招致了广告发布商和广告技术公司的激励反对，称谷歌的“隐私沙箱”将限制他们收集网络用户信息的能力，从而影响他们提供更具价值广告的能力，而谷歌则可以利用该优势强化其竞争地位。英国反垄断部门认为谷歌保护用户隐私的努力，不能以减少竞争为代价。谷歌近日再次向英国反垄断部门 做出承诺，以解决一些剩余的担忧，并澄清其可以使用的数据的内部限制。谷歌表示，将确保“隐私沙箱”的开发方式适用于整个生态系统。如果这些承诺被接受，也将适用于全球其他地区。

老王点评：大家都在争抢用户的隐私，然而作为隐私的主人却对此没有发言权。

Rust 语言社区内讧，审核团队集体辞职

昨天，Rust 社区“帮助维护行为准则和社区标准”的审核团队突然宣布辞职，且即刻生效。他们用拉取请求发出了 该声明，称辞职“是为了抗议核心团队不对任何人负责，除了他们自己。”据悉，这次冲突爆发的原因由来已久，有人 指责 Rust 核心团队权力过大，他们之外的人无法决定谁加入核心团队，在 Rust 社区形成了一种“寡头政治”。也有人认为与 AWS 试图 “接管” Rust 有关。但目前具体情况尚没有得到澄清。而 Rust 核心团队已经火速任命了两位新的 审核团队 成员，以取代辞职的三位前成员。

老王点评：目前发展的很好的 Rust 语言，突然以这样的形式发生内讧，令整个社区为之震动，无论如何，我觉得这对 Rust 语言的发展是不利的。

JetBrains 发起成立 PHP 基金会

为 78% 的网站提供了动力的 PHP 已经有 26 年历史 了，终于有自己的基金会了，虽然这个基金会的成立原因让我百味杂陈。据悉，这项 决定 背后的主要原因之一，是 PHP 的主要贡献者 Nikita Popov 决定离开 JetBrains，将精力从 PHP 转向 LLVM 。他在为 JetBrains 工作的近三年时间里，为 PHP 7.4/8.0/8.1 这三个大版本做出了重要贡献。该基金会 的成员除了 JetBrains 还包括 WordPress 背后的 Automattic，以及 Laravel、Zend 等公司。

老王点评：我居然忘记了 PHP 一直没有自己的基金会。虽然这次是由于主要贡献者离开而成立，但是希望可以带来更好的发展。

因微软赏金太少，安全研究人员曝光 Windows 提权零日漏洞

有安全研究人员在推特上说：由于微软调整了漏洞赏金计划，其原本想提交的一个影响所有受支持 Windows 操作系统版本的提权漏洞的“认定价值”，从 10000 美元瞬间跌到了 1000 美元。他称，大家对微软的新漏洞赏金政策感到十分沮丧，因而将其发现的漏洞 公之于众。有安全研究人员认为他披露的漏洞，很容易让普通用户提权获得 SYSTEM 系统权限。

老王点评：虽然说微软这样的做法有些不厚道，但是一怒曝光也欠考虑。如果不满意微软的赏金，你可以不挖啊，这样直接曝光和利用漏洞做黑产有什么区别？

成功利用内核漏洞以实现提权的安全研究人员将获得 31,337 美元至 50,337 美元的奖金。

谷歌的平台大量使用了 Linux，尤其是在安卓及其庞大的服务器方面。多年来，谷歌一直青睐开源项目和计划。

最近，这家科技巨头赞助了 100 万美元，用于资助 Linux 基金会开展的一个以安全为重点的开源项目，更多细节参见我们 原来的报道。

而现在，谷歌将在未来三个月内将赏金奖励增加两倍，以奖励那些致力于寻找有助于实现提权（即，当攻击者利用一个错误/缺陷获得管理员权限）的内核漏洞的安全研究人员。

毫无疑问，总会有某种形式的错误和缺陷困扰着内核的安全和开发。幸运的是，来自各个组织和个人的数百名安全研究人员致力于改善其安全状态，这就是为什么这些漏洞不一定会在野外被利用。

谷歌在奖励安全研究人员方面有着良好的记录，但它在接下来的三个月里加大了力度，宣布了 **31,377 美元的基本奖励，最高可达 50,377 美元。

计划细节和奖励

这些漏洞利用可以针对目前已修补的漏洞和未修补的新漏洞，以及采用新的技术。

31,337 美元 的基本奖励用于利用已公开了补丁的漏洞进行提权的技术。如果发现未修补的漏洞或新的利用技术，奖励可高达 50,337 美元。

此外，该计划还可以与 Android VRP 和“补丁奖励”计划一起使用。这意味着，如果该漏洞在安卓系统上发挥作用，除了这个计划之外，你还可以获得高达 25 万美元的奖励。

如果你希望了解更多关于安卓系统的信息，你可以在他们的 官方门户网站 上了解。

增加的奖励将在未来三个月内开放，也就是说，直到 2022 年 1 月 31 日。

安全研究人员可以通过他们的 官方博文 来设置实验室环境，并在他们的 GitHub 官方网页 上阅读更多关于要求的内容。

总结

这项计划是谷歌的一项出色的举措。毫无疑问，它将吸引并惠及许多安全专家和研究人员。

不要忘记，Linux 内核的安全状况将最终受益。

via: https://news.itsfoss.com/google-linux-kernel-bounty/

作者：Rishabh Moharir 选题：lujun9972 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

二十年后，ATI Radeon R300 的 Linux 驱动仍有零星改进

ATI R300 图形处理器推出于 2002 年.虽然 AMD 的开源 Linux 开发者在很长一段时间内不再关注这个 R300g 驱动，但由于开源的性质，社区能够对这个传统的硬件支持进行偶尔的改进。仅今年就已经提交了 14 个补丁。当然，大多数与这个近 20 年历史的 GPU 驱动有关的提交都是围绕着错别字和普通修复。顺便说一句，R300g 并不是 ATI/AMD 官方的硬件 Linux 驱动，但正是通过这种逆向工程和业余工作，导致这些开源开发者中的几个人陆续加入了 AMD，并受雇于该公司为其开发更多现代驱动。

老王点评：这就是开源的好处，各种意义上的。

谷歌赞助 Linux 基金会的安全开源计划 100 万美元

安全开源（SOS）试点计划会奖励广泛的改进措施，主动加强关键开源项目和支持基础设施，以应对针对应用程序和供应链的攻击。为了补充现有的奖励漏洞管理的计划，还会直接支持项目开发者。奖励范围从 10000 美元以上的复杂、高影响和持久的改进，几乎可以肯定地防止受影响的代码或支持的基础设施中的重大漏洞，到 500 美元的小改进，但至少从安全的角度来看需要有好处。谷歌初期向该计划投资 100 万美元，并计划根据社区反馈扩大该计划的范围。

老王点评：主动去加强开源软件的安全，我觉得谷歌这钱花的值。

Telegram 机器人正试图窃取你的一次性密码

虽然双因素认证（2FA）这样的一次性密码可以改进单独使用密码的安全性，但威胁者很快就开发出拦截这些 2FA 的方法，如通过恶意软件或社会工程。根据英特尔 471 团队的消息，自 6 月以来，一些用于规避 2FA 的服务正在滥用 Telegram 的消息服务。由 Telegram 驱动的机器人正被用来窃取 2FA 安全中所要求的一次性密码。

老王点评：虽然 2FA 是一个好的安全实践，但是安全最薄弱的环节往往是人。