大新闻！老式 iPad 可能很快就能运行 Linux

爱好者们成功地在一台旧的 iPad Air 2 上启动了 Linux 内核 5.18，这对一台设计上从未运行过苹果以外的任何操作系统的设备来说，是一个重大的壮举。目前，开发者们只在一些使用 A7 和 A8 芯片的旧版 iPad 硬件上运行了 Linux，这包括 iPad Air、iPad Air 2 和几代 iPad mini。但随后他们暗示，将有可能让 Linux 在任何装有 A7 或 A8 的设备上运行，也就是说还包括 iPhone 5S 和最初的 HomePod 等设备。不过，目前开发工作仍处于早期阶段，只能进行基本的启动，连文件系统都不能挂载。

消息来源：Arstechnica

老王点评：这真是一个突破，可以让那些老旧得无法升级、没有支持的 iPad、iPhone 变成有趣的设备。

Firefox 推出一个本地运行的机器翻译插件

这个“Firefox 翻译”插件是一个能在本地运行的机器翻译工具，即翻译引擎、语言模型和页面内翻译算法都完全在用户计算机内运行，没有任何数据会发送到云端，因此完全保密。第一次翻译一种语言时，它需要下载一些支持性资源，以及改进的语言模型，但实际的翻译工作是在用户自己的电脑上执行基于机器学习的过程。

消息来源：Mozilla

老王点评：这个插件目前支持的语言并不多，由于是欧盟资助的项目，目前还不支持中文的翻译，也没看到支持中文的计划。

谷歌为开源项目推出新的芯片设计网站

谷歌一直在帮助小型开源项目进行芯片制造，谷歌承担费用，并与 SkyWater 合作，使用其开源的工艺设计套件来设计。谷歌今天宣布了一个新的芯片设计门户网站，其 MPW 穿梭计划允许任何人提交开源集成电路设计，并在利用这个开源的工艺设计套件和其他开源 EDA 工具的同时，免费制造这些芯片。而所采用的 130 纳米的芯片技术也被证明对类似物联网的硬件原型设计仍然有用。

消息来源：phoronix

老王点评：这才真是真正支持开源硬件，不知道国内什么时候能有这样的支持。

回音

• NTFS3 驱动在贡献到上游后又失去维护引来社区关注后，其维护者又重返社区提交了一批贡献。

5 月 17 日，谷歌推出了一项新计划，该计划向谷歌云用户策划并提供经过安全审查的开源包选项，以保护开源软件供应链。该公司在一篇 博文 中宣布了这项名为 “ 安心开源软件 Assured Open Source Software ” 的新服务。在博文中，谷歌云安全和隐私部门产品经理 Andy Chang 强调了保障开源软件的一些问题，并强调了谷歌对开源的承诺。

“开发者社区、企业及政府对软件供应链风险的意识越来越强，”Chang 写道，并以去年的 log4j 重大漏洞为例。“谷歌仍是开源代码最大的维护者、贡献者和使用者之一，并深入参与了帮助开源软件生态系统更加安全的工作。”

据谷歌称，“安心开源软件”服务将让云客户能够访问谷歌的大量软件审计知识。另据其称，所有通过该服务提供的开源软件包也在公司内部使用，该公司会定期检查和分析其漏洞。

谷歌目前正在审核的 550 个重要开源库的清单可以在 GitHub 上找到。虽然这些库都可以独立于谷歌下载，但该计划将呈现通过谷歌云提供的审核版本，防止开发者破坏广泛使用的开放源码库。这项服务现在处于预先体验阶段，将在 2022 年第三季度准备好进行更广泛的消费者测试。

谷歌的声明只是广大行业努力加强开源软件供应链的安全的一部分，这份努力得到了拜登政府的支持。今年 1 月，美国国土安全部和美国网络安全与基础设施安全局的代表与美国一些主要 IT 公司的高管会面，研究 log4j 漏洞之后的开源软件安全问题。此后，有关公司在最近的一次峰会上承诺提供超过 3000 万美元的资金，以改善开源软件的安全问题。

除了现金，谷歌还在投入工程时间来确保供应链的安全。该公司已宣布发展一个“ 开源维护小组 Open Source Maintenance Crew ”，该团队将与库维护人员合作以提高安全性。

via: https://www.opensourceforu.com/2022/05/google-to-start-distributing-a-collection-of-open-source-software-libraries/

作者：Laveesh Kocher 选题：lkxed 译者：beamrolling 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

美国司法部修订反黑客法律，将不对白帽黑客追究责任

美国司法部周四修订了其反黑客法律《计算机欺诈和滥用法》（CFAA）。该部指示检察官不要用 CFAA 来起诉网络安全研究人员，即所谓的“白帽黑客”、“道德黑客”。CFAA 是美国于 1986 年颁布的一项美国联邦法规，其禁止未经授权或超出授权的情况下访问计算机。此举意义重大，因为 CFAA 经常对安全研究人员构成威胁，他们可能会探测或入侵系统，以确定漏洞，从而修复这些漏洞。政策的修订意味着这种研究不应面临指控。

消息来源：techcrunch

老王点评：保护这些白帽子才能保护网络安全。不过想想某个被封的某云和被起诉的白帽子，也就是想想罢了，还是自己保护自己吧。

2 个严重程度为 9.8 级的漏洞正在被利用！

之前我们 报道 过 F5 的 BIG-IP 防火墙有一个评分为 9.8（满分为 10）的漏洞正在被利用，F5 已经提供了相关补丁。而更早一些时候，VMware 多个产品系列的未修补版本也被发现存在 9.8 级的安全漏洞。这两个漏洞使攻击者有能力远程执行恶意代码或命令，并以不受约束的 root 系统权限运行。而根据披露的补丁，攻击者可以很快就开发出相关的攻击代码，并将其积极投入利用。

消息来源：arstechnica

老王点评：随着世界局势不稳定，这种恶性漏洞也会越来越多的被发现。再结合上一条，你品一下。

谷歌宣布开源卸载友好协议 PSP

谷歌早在十多年前就对数据中心之间的流量进行加密，但加密和解密的处理需要大约 0.7% 的处理能力，以及相应的内存占用。这促使谷歌研发了 PSP 协议，将加密处理卸载到网卡上，也就是将本来由操作系统进行的一些数据包处理（如 TCP 分段、IP 分片、重组、校验、TCP 协议处理等）放到网卡硬件中去做，降低系统 CPU 消耗的同时提高处理的性能。PSP 加密卸载可节省约 0.5% 的谷歌整体处理能力。

消息来源：谷歌

老王点评：虽然谷歌总是被批评，但是平心而论，无论是科研水平，还是开放程度，都不是一般的科技公司能比拟的。

软件自由保护协会为开源权利赢得了重大进展

软件自由保护协会（SFC）是一个促进开源软件和捍卫自由软件通用公共许可证（GPL）的非营利组织。SFC 最近以消费者身份起诉美国主要电视厂商 Vizio 滥用了 GPL，因为其基于 Linux 开发了 SmartCast 操作系统，而没有遵守 GPL 许可证公开源代码。Vizio 认为 SFC 无权要求提供源代码。然而，5 月 13 日，SFC 在美国联邦法院成功地提出了动议，要求将其对 Vizio 的诉讼发回加利福尼亚州奥兰治县高级法院。根据法院的裁决，SFC 解释说：“这项裁决是版权许可许可历史上的一个分水岭。这一裁决表明，GPL 协议既作为版权许可，又作为合同协议发挥作用。”此外，这一裁决使其成为第一个以个人消费者作为 GPL 的第三方受益人对源代码拥有权利的案例。

消息来源：ZDNet

老王点评：虽然这一诉讼还未完结，但是这一动议裁决，作为判例，可能影响非常深远。以后那些基于 Linux 开发的软硬件，都面临在 GPL 大刀之下不得不交出源代码的境地。我指的不是“谁”，而是在座的“各位”。

Arm 开源项目从 GitHub 迁移到 GitLab

GitLab 官方博客阐述了 Arm 选择 GitLab 作为自托管平台的优点：最大化选择和成本效益，最小化供应商锁定。Arm 软件社区高级主管说，“GitHub 是一个黑盒子，所以我们必须与他们合作，或者让他们来做这些工作，而且不一定正确。然后我们就必须做审查。我们不一定能做补丁审查，因为这都是私有和专有代码……这是我们选择 GitLab 的一个重要因素”。

消息来源：GitLab

老王点评：虽然搭建自己的 Git 基础设施感觉离开了 GitHub 上的海量用户，但是那些不关心你的项目的海量用户其实和你没有什么关系。建立自己的 GitLab 实例是个不错的选择，至少对我们来说，访问速度快，能自己把握控制权。

谷歌引入“有保证的开源软件”服务

在最近发表的一篇博文中，谷歌推出了名为“有保证的开源软件”服务。谷歌称，将把谷歌自己广泛的软件审计经验的好处扩展到其云客户。该公司表示，所有通过该服务提供的开源软件包也是谷歌内部使用的，并定期扫描和分析漏洞。

消息来源：谷歌

老王点评：这对谷歌云及其客户来说都是一件好事，不过我更乐于见到谷歌将其做成一种公共服务，而不仅仅是面对其商业客户的商业服务。

苹果宣布停用 macOS Server

早期的 macOS Server 是一套独立的操作系统，但从 Lion 版本起，它就只作为一个工具包存在，该应用用于管理和部署服务器，包括了用于服务器的额外功能、应用和系统管理工具。此前 macOS Server 售价 499 美元，但该应用只售价 50 美元。现有的客户可以继续下载和使用 macOS Server。苹果称 macOS Server 最受欢迎的功能如缓存服务器、文件共享服务器和时间机器服务器都已经捆绑在 macOS High Sierra 及之后的版本中，客户可免费使用。

消息来源

老王点评：从某种意义上，可以看作苹果放弃了服务器市场。

台积电最早于 2025 年开始生产 2 纳米芯片

台积电将在今年晚些时候开始大规模生产 3 纳米芯片，2 纳米芯片将在 2025 年跟进，苹果和英特尔将成为首批使用该技术的公司。台积电表示，3 纳米工艺技术使性能提高了 15%，同时对电池的消耗至少降低 25%。当下苹果公司的所有最新芯片都采用了 5 纳米工艺，包括 iPhone 13 系列中的 A15 Bionic 和整个 M1 芯片系列。

消息来源

老王点评：芯片技术进展还是出乎意料的快，不知道什么时候到达极限。

欧盟新内容规则下科技公司面临上百亿欧元罚款

科技公司们可能因未能打击其平台上的非法内容而违反欧盟的新法规，面临上百亿美元的罚款。具有里程碑意义的《数字服务法》（DSA）最早于 2024 年生效，不遵守该法规的公司可能会损失高达其全球年销售额的 6%。以亚马逊为例，根据其 2021 年的年销售额报告，如果未来不遵守 DSA，可能面临高达 260 亿欧元的理论罚款，而谷歌可能面临 140 亿欧元的罚款。

消息来源

老王点评：欧盟对网络内容的监管越来越严格，并且是以明确的法律尺度来约束的。

谷歌批评微软，称其技术将客户置于不安全境地

谷歌发布了一个委托调查的结果，调查人群包括 338 名为政府工作的人。据该结果，大多数受访者称，政府对微软技术的依赖使其更容易受到黑客等网络安全事件的攻击。大约一半的受访者还声称，有其他产品可以让他们更好地完成工作。谷歌说，企业需要重新思考他们的软件采购策略，并推荐了自家的服务，说 70% 的人在工作之外使用 Gmail，政府工作人员有权从他们在个人生活中使用的同样灵活、安全的办公室工具中受益。微软对谷歌这个营销策略 表示失望。

老王点评：大哥就别笑二哥了。

GitLab 修复了一个硬编码密码漏洞

据报道，GitLab 周四发布了一个安全更新，解决了一个关键的硬编码密码漏洞。GitLab 为使用 OmniAuth（如 OAuth、LDAP、SAML）注册的账户一个假的强密码，将 “123qweQWE!@#” 与若干个 “0” 连接起来，任何人可以通过该密码访问 OmniAuth 创建的账户。该漏洞的 CVSS 评分为 9.1 分，由 GitLab 内部发现，修复措施已经应用于该公司的托管服务。GitLab 表示调查没有迹象表明用户或账户被入侵。

老王点评：居然还设置了硬编码的密码，这也太低级了。

微软 Edge 现在是第二大最受欢迎的桌面浏览器

根据 Statcounter 数据，2022 年 3 月，在桌面平台上，Edge 成功超越了苹果的 Safari，以 9.65% 的市场份额冲进第二位。Safari 以 9.56% 排名第三，而 Chrome 仍以 67.29% 排名第一。但在包括移动平台在内的所有平台上，Safari 就回到了第二的位置，占 18.84%，远远将微软 Edge 4.05% 的份额拉开。至于 Firefox，分别在桌面和所有平台占比 7.57% 和 3.4%，都位居第四。

老王点评：不能不说微软将 Edge 换到 Chrome 上是个神奇的决策。