HashiCorp CEO 称硅谷将不会再有开源公司

之前，我们报道过，HashiCorp 将其 Terraform 等产品从开源的 MPL 许可证改为 MariaDB 的 BSL 许可证，新的许可仅限于 “非生产使用”。尽管开源的拥护者抨击了 HashiCorp 的许可证转换，并成立了 OpenTF 基金会，但 HashiCorp CEO 戴夫·麦克简内特 Dave McJannet 却用 “太好了” 来形容其最大客户的反应，他声称很多反馈都是“我们希望你们早点这么做”。他还补充说，他们宣布之前已经与主要云计算厂商进行了讨论，“在过去的三四年里，每一个达到一定规模的厂商都得出了同样的结论。”他认为，历史上的开源基金会模式已经被打破，因为它们被传统供应商所主导。“它们是大公司保护自己不受创新影响的一种方式，”一旦某个项目流行起来，“克隆厂商就会开始抢占这些东西”。他批评了 Linux 基金会接纳 OpenTF 基金会的做法，“这对开源创新来说是个悲剧。……那样硅谷就不会再有开源公司了。”

消息来源：The Stack

老王点评：我想说，这就是得了开源的利，而砸开源的锅。一开始开源得到了社区贡献和支持，壮大后就嫌弃黄脸婆了。但是，公平的说，为什么会有大量的项目会在壮大后抛弃开源？是开源模式无法持续，还是新的形势下，开源模式也需要新的进化呢？

攻击者在 Binance 区块链上托管恶意软件

通常，被攻击者入侵的网站会向访问者分发恶意软件，而这些恶意软件在被发现后会被清除。但安全专家发现，攻击者开始通过将恶意文件托管在去中心化的、匿名的区块链上，使这些恶意软件不被安全专家或执法部门清除。攻击者在 Binance 智能链（BSC）上创建一个新的智能合约，包括一个由攻击者控制的区块链地址，以及一组定义合约功能和结构的指令。当被攻击的网站查询该合约时，它会返回一个被混淆的恶意有效载荷。由于区块链的可公开访问性和不可更改性，这些恶意代码无法被清除，攻击者从而获得一种免费的、无跟踪、稳健的方式来下载恶意有效载荷，而且不会留下痕迹。

消息来源：Krebs on Security

老王点评：我是真没想到区块链被用在这个用途上，还好 BSC 不够去中心化，尚有一定手段可以缓解，但是这反而有点让人哭笑不得。

KeePass 被攻击者用国际化域名编码钓鱼

安全公司警告，攻击者正通过谷歌广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站 ķeepass[.]info，它和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。

消息来源：Malware Bytes

老王点评：国际化域名用的很少，但带来的麻烦却很多。不过，这种钓鱼手段应该可以被浏览器很好的防御。

苹果给黑客们提供可破解的 iPhone

苹果公司最新一轮的安全研究设备（SRD）计划已经开放申请，安全研究人员有机会获得解锁设备，并在苹果公司的许可下对其进行攻击和安全功能测试。这些解锁设备是“专门为安全研究设计的 iPhone 14 Pro 硬件变体”，可以配置或禁用 iOS 安全设置，安装和启动自定义内核缓存，运行任意级别的任意代码，设置 NVRAM 变量，甚至安装和启动自定义固件，以实现 iOS 17 的新安全功能。不过这些设备只供批准的申请者使用，并且禁止带出办公场所炫耀。苹果说，自 2019 年启动该计划以来，已经发现了 130 个具有重大影响的安全关键漏洞，多个奖项的奖金达到 50 万美元。

消息来源：苹果

老王点评：这样的魔改手机谁拿到手都想炫耀一下啊。?

Windows 写字板应用谢幕

微软透露，自 1995 年以来一直随 Windows 提供的写字板“不再更新，并将在未来的 Windows 版本中删除”，但具体时间未定。微软建议使用 Word 来处理 .doc 和 .rtf 等富文本文档，使用 Windows 记事本来处理 .txt 等纯文本文档。多年来，写字板主要有两次重大更新：2001 年时在 Windows XP 中增加了打开 Word 文档的功能，2009 年时在 Windows 7 中增加了像 Word 一样的 Ribbon 用户界面。

消息来源：Thurrott

老王点评：Windows 自带应用中，除了扫雷、纸牌等几个游戏，其它的几个都比较凑合。

美国顶级域名 .US 是网络钓鱼域名最多的顶级域名

新研究显示，以美国顶级域名 .US 结尾的域名在网络钓鱼诈骗中最为常见，在 2022 年 5 月 1 日至 2023 年 4 月 30 日期间的 600 万份网络钓鱼报告中，发现了 3 万个 .US 网络钓鱼域名。有趣的是，.US 由美国政府监管，而美国政府经常是以 .US 结尾的钓鱼域名的目标。.US 域名只提供给美国公民和那些能证明他们在美国有实体存在的人。.US 域名的管理被外包给了 GoDaddy，但无论 GoDaddy 采取何种措施来管理该审查流程，都无法解决大量的钓鱼域名出现在 .US 域名中的问题。

消息来源：Krebs on Security

老王点评：我就说我怎么没见过 .US 域名的钓鱼邮件呢，原来是因为是不是美国人啊。?

回音

• 自上次 合并失败 后，Bcachefs 又经历了进一步的清理和审查。Linus Torvalds 也 亲自审查 了代码和情况。现在，Bcachefs 再次尝试 在当前的 Linux 6.6 合并窗口提交，正等待 Linus Torvalds 在本周采取行动。

Linux 内核 6.0 正式发布，但更期待 6.1

没有遇到意外，Linus Torvalds 于今天推出了 Linux 6.0 稳定版。不过，虽然是新的大版本号，但是 Linus Torvalds 一如既往地重申，“希望每个人都清楚，主要版本号的变化更多是因为我手指头已经数不过来了，而不是任何重大的根本性变化。”这个版本号的前一个版本号是 5.19，曾有提议将此版本命名为 5.20。另外，这也标志着 Linux 内核 6.1 的合并窗口开启.Linus 说，“与 6.0 不同，6.1 有许多相当核心的新东西”，比如内核对 Rust 初步支持、能够大幅提升性能的 MGLRU 等等。6.1 将于今年年底发布。

消息来源：Phoronix

老王点评：好吧，让我们继续期待 6.1。

2022 全球程序员薪资排行榜，中国倒数第九

CodeSubmit 对二十多个国家的程序员的薪酬做了调查，前三名是：美国、瑞士和以色列。其中美国平均年薪 11 万美元。中国在二十多个国家中排名倒数第九（或者说位列中游），平均年薪 23,790 美元。而倒数第一和第二是尼日利亚（7,255）和印度（7,725）。此外，按编程语言划分：Go 和 Ruby 是收入最高的语言，均为 12 万美元左右；Python、Java、JavaScript 稍少一点，11 万美元。

消息来源：CodeSubmit

老王点评：中国程序员薪酬不算高并不意外。不过印度居然倒数第二，所以，印度的 IT 行业真的发达吗？

黑客利用开源软件和虚假工作机会进行钓鱼式攻击

微软威胁情报中心称，一个钓鱼黑客组织一直在使用木马化的开源应用程序和 LinkedIn 招聘诱饵来诱骗科技行业员工。他们发现该组织自 4 月底以来使用 PuTTY、KiTTY、TightVNC 等软件安装程序进行这些攻击。这和我们之前 报道 的谷歌 Mandiant 发现的情况一样。

消息来源：ZDNet

老王点评：这种被带木马的开源软件钓鱼的员工真的合格吗？我觉得各个企业是不是模拟一下这种钓鱼测试。

在网络钓鱼攻击中，用户会收到一封带有误导性链接的邮件或信息，攻击者可以利用它来收集重要数据，比如你的银行卡密码。本文将会给出一个简短的教程，旨在介绍如何检测这种网络钓鱼的企图。

通过网络钓鱼攻击，攻击者能够获得一些重要凭证，这些凭证可以用来进入你的银行或其他金融账户。攻击者发送的 URL 看起来与我们日常使用的原始应用程序完全相同。这也是人们经常相信它，并在其中输入个人信息的原因。钓鱼网址可以打开一个网页，它看起来与你的银行的原始登录页面相似。最近，这样的网络钓鱼攻击正变得相当普遍，所以，检测钓鱼链接变得非常重要。因此，我将介绍如何在 Python 中使用机器学习来检查一个链接是误导性的还是真实的，因为它可以帮助我们看到网页代码及其输出。注意，本文将使用 Jupyter Notebook。当然，你也可以使用 Google Colab 或 Amazon Sagemaker，如果你对这些更熟悉的话。

下载数据集

第一步，我们需要用于训练数据集。你可以从下面的链接中下载数据集。

• 真实的链接：https://github.com/jishnusaurav/Phishing-attack-PCAP-analysis-using-scapy/blob/master/Phishing-Website-Detection/datasets/legitimate-urls.csv
• 钓鱼链接：https://github.com/jishnusaurav/Phishing-attack-PCAP-analysis-using-scapy/blob/master/Phishing-Website-Detection/datasets/phishing-urls.csv

训练机器进行预测

当数据集下载完成，我们需要使用以下几行代码来导入所需的库：

import pandas as pd
from sklearn.ensemble import RandomForestClassifier

如果你没有这些库，你可以使用 pip 工具来安装这些库，如下图所示：

当依赖安装完成，你就可以导入数据集，并将其转换为 pandas 数据框架，使用以下几行代码进一步处理：

legitimate_urls = pd.read_csv(“/home/jishnusaurav/jupyter/Phishing-Website-Detection/datasets/legitimate-urls.csv”)
phishing_urls = pd.read_csv(“/home/jishnusaurav/jupyter/Phishing-Website-Detection/datasets/phishing-urls.csv”)

在成功导入后，我们需要把这两个数据集合并，以便形成一个数据集。合并后的数据集的前几行如下图所示：

然后去掉那些我们不需要的列，如路径（path）、协议（protocol）等，以达到预测的目的：

urls = urls.drop(urls.columns[[0,3,5]],axis=1)

在这之后，我们需要使用以下代码将数据集分成测试和训练两部分：

data_train, data_test, labels_train, labels_test = train_test_split(urls_without_labels, labels, test_size=0.30, random_state=110)

接着，我们使用 sklearn 的随机森林分类器建立一个模型，然后使用 fit 函数来训练这个模型。

random_forest_classifier = RandomForestClassifier()
random_forest_classifier.fit(data_train,labels_train)

完成这些后，我们就可以使用 predict 函数来最终预测哪些链接是钓鱼链接。下面这行可用于预测：

prediction_label = random_forest_classifier.predict(test_data)

就是这样啦！你已经建立了一个机器学习模型，它可以预测一个链接是否是钓鱼链接。试一下吧，我相信你会满意的！

via: https://www.opensourceforu.com/2022/04/detect-a-phishing-url-using-machine-learning-in-python/

作者：Jishnu Saurav Mittapalli 选题：lkxed 译者：lkxed 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

安卓游戏将于 2022 年登陆 Windows

谷歌周四 宣布 了一个独立的 Google Play 游戏启动程序，可以让玩家在 Windows PC 上玩安卓游戏。不仅如此，它还允许玩家在一台设备上关闭游戏，并在另一台设备上接着玩。这意味着你可以在 Chromebook、Windows PC 和安卓手机之间切换，而不会丢失保存的数据。该应用程序由谷歌构建和发布，它在你的系统上本地运行游戏，而不需要云流化。目前谷歌还没有披露更多信息，但是计划在 2022 年发布。

老王点评：在 Windows 上运行安卓应用并不稀奇，不过能做到多平台切换是不错。

微软借助深度学习查找并修复错误

微软在一篇 博客 中介绍了他们新开发的 BugLabs，用于发现代码中的错误，帮助开发者更精准、高效地调试其应用程序。这个系统创建了两个生成对抗网络（GAN），其中一个旨在将小错误引入代码，另一个则旨在发现这些错误。随着深度学习训练的持续推进，AI 的能力也变得愈加完善，最终成为了我们看到的这个特别擅长识别“隐藏在真是代码中的 bug”的人工智能。它能够自动找到并修复大约 26% 的错误，且其中包括了 19 个此前未知的在真实开源的 GitHub 代码中的错误。不过，现阶段该 AI 仍存在许多误报。

老王点评：以后你的 IDE 就不仅仅是给你提示语法错误了，还可以给你提示 bug。

Edge 浏览器提供防止打错网址而被钓鱼的功能

在 Edge 的“超级安全模式”中，可以防止用户因 输入错误的网址 而进入恶意网站。通常这种域名错误会导致不能显示要访问的网站，有时候也会被 ISP 或浏览器“劫持”而导向到广告网站。恶意行为者则会预先购买这种容易打错的网站域名，并制作相似的网站以诱骗用户。目前 Edge 提供的这种功能会警告用户他们的错误，未来微软可能重定向用户自动前往正确的网站。

老王点评：其实这也是一种“劫持”，但是劫持的目的是好的。

OpenSolaris 衍生品 Illumos 放弃对 SPARC 硬件的支持

虽然 SPARC 硬件和 Solaris/OpenSolaris 曾经携手并进，但随着 SPARC 的主要开发工作基本结束，甲骨文公司在几年前就已经解雇了大部分的 SPARC 工程师，已经十年没有销售 SPARC 硬件了，一些出于收藏而销售的二手硬件也非常昂贵。

衍生自 OpenSolaris 的开源 UNIX 系统 Illumos 项目没有足够的 SPARC 硬件可以使用，他们甚至缺乏一个永久性的官方的 SPARC 构建服务器。所以，在 Illumos 中继续 SPARC 架构已经不再可行。交叉编译和通过 QEMU 仿真都考虑过了，需要大量工作，且效果并不好。

好消息是，放弃对 SPARC 的支持，只专注于 x86\_64，可以做出一些很好的改进，使他们的工具链现代化。甚至可以考虑在内核、库和命令中使用 Rust 编程语言。

对于一个没有人关心的硬件，虽然告别过去有些不舍，不过，x86 和 ARM 不香么？

去年 Namecheap 托管了 1/4 的假冒英国政府的钓鱼网站

据报告，2020 年期间，在所有已知的钓鱼网站中，Namecheap 公司窝藏了超过 1/4 的假扮成英国政府网站的钓鱼网站。Namecheap 平均花了 47 个小时来禁用政府主题的钓鱼网站，占已知该类钓鱼网站 28.8%；而去年此类骗局的第二大庇护者 GoDaddy 大约需要 37 来关闭它们，占 11.2%。但是 Namecheap 表示，在他们收到了滥用投诉中，只有 1/10 是正确的，只占其注册的域名的不到 1%。

就是因为响应速度太慢才会导致钓鱼网站猬集。

DragonFlyBSD 6.0 发布

继最近发布的 FreeBSD 13.0 和 OpenBSD 6.9 之后，DragonFlyBSD 6.0 作为这个很久以前从 FreeBSD 分叉出来的 BSD 操作系统也发布了最新版本 6.0。其中的一些亮点包括：对内核进行了优化，改进了内存分页，提升了性能；一个非 GPL 的新 EXT 2/3/4 文件系统驱动；更好的 EFI 帧缓存支持等等。详情可看变更公告。

虽然 BSD 家族没有 Linux 家族那么耀眼，但是依然是非常重要的开源操作系统。