美国军方摸底开源代码的可信度

开源代码几乎在地球上的每一台计算机上运行，当今世界重度依赖于 Linux 内核。这也意味着任何人都能够参与到代码的编写、阅读和使用过程中，这点让美国军方内部的网络安全专家感到十分担心。“关键的开源软件以我们仍然几乎不了解的方式，暴露于恶意的操纵之下。”美国国防部高级研究计划局（DARPA）设立了一个计划长达 18 个月、耗资数百万美元的 SocialCyber 项目。最终目标是检测并抵御任何恶意活动、提交有缺陷的代码、介入干预、阻止开发，甚至接管整个开源项目。为此研究人员将使用情绪分析等工具，来分析开源社区内的社交互动 —— 比如 Linux 内核邮件列表。这将有助于确定谁在积极参与建设，同时谁又在消极怠工或悄悄搞破坏。

消息来源：Tech Review

老王点评：开源软件已经庞大到不能不依赖，而又非常警惕的规模了。

IE 团队收到来自 Mozilla 的谢幕祝贺蛋糕

微软的 IE 浏览器已于 6 月正式退役，这对科技行业的几乎所有人来说都是一个快乐的时刻。按照互相送蛋糕的悠久传统，Mozilla 的 Firefox 团队给微软 IE 团队送了最后一个蛋糕，以庆祝历史悠久的 IE 浏览器的落幕。蛋糕上面有一个巨大的 IE 标志。蛋糕上写着：“you were the ie6ing on the cake”。浏览器开发团队互相赠送蛋糕是一个可以追溯到十多年前的传统。微软在 2006 年Firefox 2.0 发布时给 Firefox 团队送了一个蛋糕，并在后来大多数的 Firefox 主要版本发布时都延续了这一传统。尽管随着浏览器发布周期的加快，这些蛋糕最终变成了杯子蛋糕。在 2012 年 IE 10 到来之后，Mozilla 向微软送了一个蛋糕，然后谷歌的 Chrome 团队也开始加入向对手送蛋糕的行列。

消息来源：Howtogeek

老王点评：还好，这次的蛋糕比较大，够团队分着吃了。

谷歌应用商店将由开发者来编写应用的权限描述

谷歌正在关闭独立的“应用权限”部分，新的数据安全部分显示了开发者提供的隐私注意事项清单，比如一个应用程序收集哪些数据，这些数据是如何存储的，以及这些数据与谁共享。开发者可以解释如何以及为什么要收集每一点数据。旧的应用程序权限列表可以保证是真实的，因为它是由谷歌通过扫描应用程序自动建立的。而数据安全系统则是在荣誉系统上运行的。谷歌称，“谷歌应用商店审查所有政策要求的应用；但是，我们不能代表开发者对他们如何处理用户数据做出判断。……当谷歌意识到你的应用行为与你的声明之间存在差异时，我们可能会采取适当的行动，包括执法行动。”

消息来源：ARS Technica

老王点评：话虽如此，我还是觉得应该保留独立的“应用权限”部分。

看来微软拿了一手好牌，在 Linux 和开源方面取得行业成功。

出于某种原因，微软在开源和 Linux 方面总是受到关注。

而且，当我们谈论 Linux 开发者时，它也会成为焦点……为什么会这样？

微软似乎正在为一系列的项目招聘大量 Linux 开发人员。而且，一个知名人物也加入了这个名单。

据 Phoronix 报道，systemd 和 PulseAudio 的创建者 Lennart Poettering，现在已在微软工作，继续专注于 systemd 的开发。

或许你不知道，Lennart 曾在红帽工作，领导 PulseAudio 项目和其他一些事情。

除了 Lennart 之外，Python 之父 Guido Van Rossum 等一些关键的开发人员之前就加入了微软。

（LCTT 译注：据 Phoronix 总结，还有更多的开源开发者加入了（或加入过）微软，这包括：GNOME 创建者 Miguel de Icaza 曾在 2016 年微软收购 Xamarin 时受雇，到今年早些时候离开；Nat Friedman 作为 Xamarin 的成员在微软收购后加入，后担任微软旗下的 GitHub 的 CEO；Gentoo Linux 创始人 Daniel Robbins 之前受雇于微软；Steve French 作为 Linux CIFS/SMB2/SMB3 的维护者和 Samba 团队的成员为微软工作；以及大量的上游 Linux 开发者，如 Matteo Croce、Matthew Wilcox、Tyler Hicks、Shyam Prasad N、Michael Kelley、Christian Brauner 等等也曾被微软雇佣。）

微软在为最佳状态做准备

毫不奇怪，微软希望提高其对基于开源的项目的关注，并尽可能有效地利用 Linux 为其业务服务。

Azure 平台对开源的利用最多，而且，不要忘了 Windows Subsystem for Linux（WSL）。

因此，微软一直在招聘 Linux 开发人员。如果你想试试，你会在 微软职业 栏目中找到很多与 Linux 有关的职位。

虽然这对微软的产品线来说是一件大事，但它一般不会影响到 Linux 桌面用户。事实上，我认为，Linux 开发者得到的资源越多，由于他们工作角色转换，他们可以帮助 Linux 生态系统更好地增强其愿景。

当然，让所有关键的 Linux 开发者都在微软拥有的项目上工作并不是一件喜闻乐见的事情，但是，事实就是如此。

微软正在做正确的事情

这不仅仅是经济上的回报，Linux 开发者加入微软团队的趋势意味着他们在开源和 Linux 上的一些努力是成功的。

只要微软努力改善 Linux 生态系统，我认为我们就没有什么可担心的。

我不想被提醒“ 拥抱、扩展和熄灭 Embrace, extend, and extinguish ”（3E）。毕竟，这对所有公司来说都是生意。当涉及到赚钱的决定时，没有人应该被认为是英雄。

因此，我们只能希望微软在不久的将来为 Linux 开发者和用户准备好一些好东西。

你对此有何看法？在下面的评论区分享你的想法。

via: https://news.itsfoss.com/systemd-creator-microsoft/

作者：Ankush Das 选题：lkxed 译者：wxy 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

懒人程序员们可以付费使用 AI 代写“作业”了

GitHub 宣布它的 AI 编程助手 Copilot 将开放付费使用，开发者可支付月费 10 美元或年费 100 美元。核实过的学生和流行开源项目的维护者可免费使用。Copilot 使用公开的代码库进行训练，在开发者写代码时根据函数名等上下文自动补完后续代码。很多时候 Copilot 补充的是公开代码库中代码片段的拷贝，在设置中提供了一个选项可以关闭来自公开代码库的代码补充建议。

消息来源：GitHub

老王点评：作为一个有 20 多年编程经验的人，我觉得这对编程人员来说可能并非好事。虽然它可能帮你更快、更轻松地编程，但是也可能导致你的编程基础技能进一步被削弱。最终，Copilot 的进一步强大和程序员越来越弱的编程能力，导致最终失业的是那些依赖 Copilot 的程序员们。

开源代码项目平均有 49 个漏洞

在最新《开源安全状态》报告中发现，一个开源的项目平均有 49 个漏洞和 80 个直接依赖项。修复开源项目漏洞所需的时间也在稳步增加。早在 2018 年，修复安全漏洞平均需要 49 天，而 2021 年则需要 110 天。该报告称，只有 49% 的组织制定了开源软件开发或使用的安全策略，对于大中型公司来说仅为 27%，甚至大约 30% 的组织中没有人直接负责和解决开源安全问题。

消息来源：SNYK

老王点评：开源软件从非主流变成主流，其原本的一些小问题也逐渐形成了大问题。在所有人都开始拥抱开源的时候，反而要审慎地应用开源，要对进入严肃应用场合的开源软件进行管理，使之可以避免一些固有的缺陷和风险。

研究发现区块链的中心化风险

近日，美国国防高级研究计划局（DARPA）发布了一份名为《区块链真的是去中心化吗？》的报告，发现区块链的关键漏洞有可能危及其所谓“去中心化”理念。根据该报告，至少在过去五年中，60% 的比特币流量仅通过三个互联网服务供应商，而 55% 的比特币流量是通过 Tor 进行的。这意味着这些供应商有可能拥有“改写历史”的能力，限制某些交易。此外，大约 21% 的比特币节点正在运行一个容易受到攻击的旧版本的比特币核心客户端。

消息来源：SecurityBoulevard

老王点评：毕竟区块链也是运行在网络上的，算法上的安全并不能解决基础设施不安全的问题。值此区块链暴跌的时机，这一报告又将雪上加霜。

回音

• Cloudflare 解释 说 20 日的 事故 是网络配置错误导致的。Cloudflare 称它修改网络配置本意是增加弹性，结果却导致其 4% 的网络受到影响，进而影响到它处理的大约 50% 的 HTTP 请求。

由 HongBo Fang 博士领导的研究团队发现，推特是一种吸引更多人关注和贡献 GitHub 开源项目的有效方式。Fang 博士在国际软件工程会议上发表了这项名为“‘这真是太棒了！’估计推文对开源项目受欢迎程度和新贡献者的影响”的研究，并获得了杰出论文奖。这项研究显示，发送和一个项目有关的推文，导致了该项目受欢迎程度增加了 7%（在 GitHub 上至少增加了一个星标），贡献者数量增加了 2%。一个项目收到的推文越多，它收到的星标和贡献者就越多。

Fang 说：“我们已经意识到社交媒体在开源社区中变得越来越重要，吸引关注和新的贡献者将带来更高质量和更好的软件。”

大多数开源软件都是由志愿者创建和维护的。参与项目的人越多，结果就越好。开发者和其他人使用该软件、报告问题并努力解决这些问题。然而，不受欢迎的项目有可能得不到应有的关注。这些劳动力（几乎都是志愿者），维护了数百万人每天依赖的软件。例如，几乎每个 HTTPS 网站都使用开源的 OpenSSL 保护其内容。Heartbleed 是 OpenSSL 中发现的一个安全漏洞，在 2014 年被发现后，企业花费了数百万美元来修复它。另一个开源软件 cURL 允许连接的设备相互发送数据，并安装在大约 10 亿台设备上。开源软件之多，不胜枚举。

此次“推特对提高开源项目的受欢迎程度和吸引新贡献者的影响”的研究，其实是 “Vasilescu 数据挖掘与社会技术研究实验室”（STRUDEL）的一个更大项目的其中一部分，该研究着眼于如何建立开源社区并且其工作更具可持续性。毕竟，支撑现代技术的数字基础设施、道路和桥梁都是开源软件。如果维护不当，这些基础设施可能会崩溃。

研究人员检查了 44544 条推文，其中包含指向 2370 个开源 GitHub 存储库的链接，以证明这些推文确实吸引了新的星标和项目贡献者。在这项研究中，研究人员使用了一种科学的方法：将推特上提及的 GitHub 项目的星标和贡献者的增加，与推特上未提及的一组项目进行了比较。该研究还描述了高影响力推文的特征、可能被帖子吸引到项目的人的类型，以及这些人与通过其他方式吸引的贡献者有何不同。来自项目支持者而不是开发者的推文最能吸引注意力。请求针对特定任务或项目提供帮助的帖子会收到更高的回复率。推文往往会吸引新的贡献者，他们是 GitHub 的新手，但不是经验不足的程序员。还有，新的关注可能不会带来新的帮助。

提高项目受欢迎程度也存在其缺点，研究人员讨论后认为，它的潜在缺点之一，就是注意力和行动之间的差距。更多的关注通常会导致更多的功能请求或问题报告，但不一定有更多的开发者来解决它们。社交媒体受欢迎程度的提高，可能会导致有更多的“巨魔”或“有毒行为”出现在项目周围。

（LCTT 译注：我觉得文章中有三句话写得很好，于是把它们加粗了，和大家分享。 —— 六开箱）

via: https://www.opensourceforu.com/2022/06/according-to-studies-twitter-drives-open-source-projects-popularity/

作者：Laveesh Kocher 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

TikTok 已将美国用户数据转移到甲骨文

TikTok 表示，将 TikTok 的所有美国用户数据存储在美国的甲骨文数据服务器上。此前，TikTok 一直将其美国用户数据存储在位于弗吉尼亚州的数据中心，并在新加坡进行备份。字节跳动希望以此来解决美国海外投资委员会对数据安全的担忧。此外，TikTok 还成立了一个有数百人的美国数据安全管理团队，作为美国用户信息的看门人，并将其与字节跳动隔离开来。甚至 TikTok 正在讨论让该团队将自主运作，不受 TikTok 的控制或监督。

消息来源：路透社

老王点评：好吧，好好去毒害他们吧。

思科称不会修复终止支持的 VPN 路由器的零日漏洞

该漏洞的 CVSS 严重性评级为 9.8（满分 10.0），影响到了四款 VPN 路由器。思科表示，他们不会发布安全更新来解决该问题，因为这些设备已不再支持，建议这些“报废”的路由器升级到较新的型号。用户除了关闭广域网接口上的远程管理外，没有其他可用的缓解措施。

消息来源：Bleeping Computer

老王点评：一句报废就丢下了所有责任，这就是商业产品。

GNOME 项目得到了微软 FOSS 基金的 10000 美元资助

微软每月都会让员工提名其所依赖的第三方开源社区项目，每轮提名 5-20 个左右的开源项目，这些项目需要采用 OSI 批准的开源许可证。投票决出者便可拿到 10000 美元的奖励，通常每月拨付 1000 美元，并持续 10 个月的时间。systemd、curl、QEMU 等也得到该捐助。捐助并不附带任何条件。

消息来源：微软

老王点评：虽然对于 GNOME 这种大型项目来说聊胜于无，但是好歹是无条件赞助的。国外的很多 IT 公司都有类似项目。

回音

• 前两天 IE 落幕 时，一幅 IE 墓碑的相片风传全网。该墓碑是 真实存在 的，出自 38 岁的韩国软件工程师郑其永，该墓碑放置于韩国庆州一家由其兄弟经营的咖啡馆屋顶上。

开源朗读者 | 淮晋阳

每当人们知道我在 Linux 基金会 Linux Foundation 工作，他们总是会问我们的工作具体是做什么的。有时候，他们会一直问我是不是开发 Linux 操作系统的。我只能回答说，我们做的是开源软件，并试图在他们失去兴趣之前，在短短的 20 秒钟内介绍它对世界的影响力。如果他们的兴趣还在，想要进一步了解，我就会给他们深入分析一番：企业为何想参与到开源软件项目之中？它们为何会使用开源软件？没错，企业确实会这样做，无论它们有没有意识到这一点。此外，成千上万的企业会将企业内部代码捐给开源项目，为推动开源软件的进一步开发和优化投入大量的时间和资源。

开源软件的使用范围有多广

引用我们最近发表的一项报告《 企业开源指南 A Guide to Enterprise Open Source 》：“ 开源软件 open source software （OSS）改变了世界，是数字经济的支柱，数字世界的基石。从我们日常使用的互联网和移动应用到开拓未来的操作系统和编程语言，开源软件无不发挥着重要的作用，可谓是科技行业的命脉。在今天，开源软件驱动数字经济发展，推进科学技术取得突破，不断改善人们的生活水平。手机、汽车和飞机等设备，家庭、企业和政府等群体都在使用着开源软件。但就在 20 年前，开源软件还仅仅为少数人所知，它的使用也仅限于一小部分专门的爱好者。”

开源软件（OSS）已经改变了我们的世界，成为我们数字经济的支柱和数字世界的基础。

而它实际上：

• 在各行业的 垂类软件栈 vertical software stacks 中，开源软件的占比达到了 20% - 85%。
• 超过 90% 的网站服务器和联网设备都依靠 Linux 来运行。
• 安卓手机系统也是基于 Linux 内核。
• 用于应用程序开发的 AMP、Appium、Dojo、jQuery、Marko、Node.js 等 主流的库和工具 均属于开源项目。
• 世界上排名位列前 100 名的超级计算机都在使用 Linux。
• 大型机客户均在使用 Linux。
• 亚马逊、谷歌以及微软三大云服务供应商都在使用开源软件运行服务，并在云端托管开源解决方案。

企业为何想参与到开源软件项目之中

企业参与开源软件项目主要通过三种方式：

• 企业向开源社区捐赠自家开发的软件。
• 企业向开源软件项目提供直接的资金援助。
• 企业向开源项目分派软件开发人员以及其他员工。

人们经常会问，为什么这些企业愿意放弃自家软件的所有权？为什么它们不让员工专攻自家软件的开发呢？

从整体上来看，这一问题的答案就是，企业和组织聚集起来，合力解决共同的难题，如此一来，他们就可以各自专注于在这基础上的各类难题。这些企业明白，将资源聚集在一起，能够更好地解决基础问题。有时，这种现象被叫做“ 竞合 coopetition ”，大概的意思是企业在一些领域可能互为竞争对手，但是它们在另一些领域则会互相合作。

“竞合”现象的一些典型例子：

• 铁路公司采用统一的铁轨尺寸，统一规划建设。得益于此，火车就可以在同样铁轨上运行，铁路公司之间也可以互相交换设备。
• 在数码相机诞生之前，不同的公司在电影和摄像机行业各行创新之路，形成了各自的优势，但为了推进电影行业的发展，它们在相机链轮间距这一问题上达成了统一。
• 娱乐产业在开展竞争的同时，也一致坚持采用家用录像系统和蓝光格式。

如今，企业、组织以及个体在合力解决难题的同时，也在不断地改进自身的产品与业务。

• 来此加密 Let’s Encrypt （LCTT译注：Let’s Encrypt 官网并没有用“来此加密”这样的称呼，但是在一些场合有这样的译名。我们认为此翻译很贴切。） 是一个免费的、开放的自动化证书颁发机构，旨在通过简化安装程序，减低安装费用，快速扩大安全网络协议的应用范围。该机构为超过 2.25 亿个网站提供服务，每天平均发放证书约 150 万张。
• 好莱坞成立的 学院软件基金会 Academy Software Foundation 通过共同开发软件，推动娱乐、游戏和媒体等产业的增长，为产业发展提供开放标准，在电影行业内 创造了巨大的价值。
• 超级账本 Hyperledger 基金会管理多个企业级区块链软件项目。众所周知，这些项目 消耗的能源远比其他解决方案要少。
• LF 能源基金会 LF Energy 推动 电网朝着更加模块化、互操作和可拓展的方向发展，助力提升可再生能源的利用率。
• 无人机代码基金会 Dronecode 致力于无人机软件的开发，促进企业在无人机领域进一步开拓创新。
• 开源软件软件安全基金会 OpenSSF 聚集了顶尖的科技企业，共同强化开源软件的安全与韧性。
• Kubernetes 是 Google 捐赠给 Linux 基金会下属的云原生计算基金会（CNCF）的一个项目，是管理基于云计算软件的首选方案。

上述只是企业参与的一小部分开源软件项目，点击 此处，可以在 Linux 基金会官网浏览全部项目列表。

企业如何有效利用和参与开源软件项目？

若想要更好地利用开源项目，更有效地参与开源项目，企业可以向 Linux 基金会寻求帮助。我们最新发布的报告 《企业开源指南》 提供了企业与组织需要了解的大部分信息。这份报告凝聚了来自多家顶级企业、具有几十年丰富经验的开源领袖的知识与智慧，报告主要分为以下六个章节：

• 使用开源软件
• 准备参与开源
• 制定开源策略
• 部署基础设施
• 建立人才团队
• 应对多方挑战

此外，Linux 基金会还提供了许多开源 培训课程、全年 活动、LFX 平台，发起开源项目，协助企业与组织利用和参与开源项目，比如：

• TODO 工作组 为开源项目办公室的建立和运作提供资源，包括其自身 丰富的指导意见。
• Openchain 项目 旨在提供和维护国际开源许可标准，包括各种许可规定的相关信息。依赖于此，企业可以确保自身行为符合法律规定。
• FinOps 基金会 目前正在将自身打造为“不断发展的云财务管理和文化实践平台，通过促进工程、财务、技术以及商业团队之间在数据驱动支出决策方面的合作，确保企业能够最大化实现商业价值”。
• 软件数据包交换标准 Software Data Package Exchange （SPDX）是一个用于交流 软件物料清单 software bill of materials （SBOM）的开放标准。在该标准下，每个用户都能清楚了解整个软件包中包括哪些软件。

同样，上述这些只是 Linux 基金会所有项目中的一小部分。所有这些项目都致力于帮助企业接受和使用开源项目，引导企业为开源项目做出贡献、提供捐赠。

总而言之，目前，企业正在迅速投向开源软件项目，借此解决共同的难题，并探索进一步的创新发展，而 Linux 基金会将为它们提供帮助。

该文 《企业为何使用开源软件，又为何推动开源软件的发展》 首发于 Linux 基金会 官网。

via: https://www.linux.com/news/why-do-enterprises-use-and-contribute-to-open-source-software/

作者：Dan Whiting 选题：lkxed 译者：aREversez 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出