标签 npm 下的文章

1 德国铁路公司招聘 Windows for Workgroups 3.11 管理员

该职位要求了解 Windows for Workgroups 3.11;有 MS-DOS 经验者优先。该职位将负责管理运行在 166MHz 处理器和 8MB 内存上的对铁路运营至关重要的旧系统。据称,招聘该职位的公司负责 “几乎整个德国的铁路显示板”,这些用于列车的司机室的显示系统看起来运行在旧的 MS-DOS 和 Windows 3.11 上。Windows 3.11 是微软早在 1992 年推出的,并于 2001 年底终止了对它的支持。目前该招聘启事已被删除。

(插图:DA/fd30a683-1e72-424f-b078-085ffab6d0bf)

消息来源:Tom's Hardware
老王点评:我觉得这个职位我能胜任,毕竟我是用过它们的。?

2 带弹幕的盗版《武林外传》视频被上传到 NPM

一些滥用攻击者将 NPM 当成了一个视频和电子书托管平台,他们在上面上传了电影、视频和电子书。安全研究团队在 NPM 上发现了 748 个软件包,每个大小约为 54.5 MB,内容显示它们是国内流行的 《武林外传》电视剧,而且还包括了字幕和弹幕。这些垃圾是由名叫 wlwz 的用户于去年 12 月 4 日上传,目前该账号已被删除。

(插图:DA/89ba5b56-a7c3-40b8-86b4-f5a1af257361)

消息来源:Sonatype
老王点评:简直太恶劣了。

3 由于法律原因,连 CentOS SIG 都无法为 RHEL 制作软件包

按照红帽的说法,CentOS 社区将通过特别兴趣小组(SIG)为 CentOS Stream 做出贡献而改进 RHEL。但这些 SIG 发现,由于红帽限制访问 RHEL 源代码带来的法律问题,他们无法为 RHEL 制作软件包。为 CentOS Stream 和 RHEL 维护额外内核模块的 Kmods SIG 发布的状态更新中称,“由于红帽发布 RHEL 源代码的方式发生了变化,Kmods SIG 目前由于法律原因无法为 RHEL 制作软件包。”为 Facebook、X 这个级别的大型基础设施提供增强的 Hyperscale SIG 也有类似的问题,他们的新内核现在只能基于 Fedora 发布的上游内核,而不是 CentOS/RHEL 内核树。

(插图:DA/d0b746b5-b2a9-4782-9dfa-2f7e3fce3f9b)

消息来源:Phoronix
老王点评:毕竟你都不是 RHEL 的合法用户,没有资格为 RHEL 做贡献。

1 得益于人工智能驱动的狂热,标普 500 指数创历史新高

据《华盛顿邮报》报道,周五该指数创下历史收盘新高,“反映了在经济出奇稳定的背景下,一些大型科技公司的惊人涨幅”。该指数收于 4839.81 点,超过了 2022 年 1 月创下的收盘纪录。在过去的 12 个月里,该指数上涨了 21.83%。分析人士指出,华尔街的人工智能热潮可与上世纪 90 年代末的互联网热潮相媲美。科技公司,包括一些与人工智能工作密切相关的公司,领涨标普 500 指数。苹果、微软、Alphabet、亚马逊、英伟达、特斯拉和 Meta 这七家被称为 “七巨头” 的大型科技股在 2023 年平均上涨了 75%,占 2023 年底该指数总市值的 30%。

(插图:DA/843e9030-3972-41fd-963b-b86df6138af5)

消息来源:MSN
老王点评:终究还是要看高科技啊。

2 龙架构为 Linux 6.8 提供初步 Rust 内核支持

在周五进行的 Linux 6.8 合并窗口中,龙芯提交的补丁提供了初步的 Rust 内核支持。该拉取请求已被合并到主线中。随着 Rust 编程语言开始适用于内核编程,看到更多的 Linux 内核架构支持 Rust 是个好消息。Linux 6.8 还拥有首个 Rust 编写的网络 PHY 驱动程序,以替代现有的 C 语言驱动程序。

(插图:DA/4f2de7bb-e8c2-4f71-beca-52cea4744c35)

消息来源:Phoronix
老王点评:这一次龙芯和龙架构走在了前列。

3 NPM 用户每周下载 21 亿个过时软件包

开源软件可能会因为各种原因停止接受更新,废弃、归档和 “孤儿” 的 NPM 软件包可能包含未修补和/或未报告的漏洞。根据对 NPM 注册表中下载次数最多的前五万个软件包的统计分析,估计每周下载废弃软件包达 21 亿次。这五万个软件包中,约有 4100 个(8.2%)属于 “正式” 废弃的软件包。然而,如果将 “归档” 的软件包也算作 “废弃” 的话,受影响的软件包数量增至 6400 个(12.8%)。再加上无法访问链接的软件包,数量将达到 10,600 个(21.2%)。

(插图:DA/24c7d7a7-9bec-408c-a4dd-129c465bdd0a)

消息来源:SC 杂志
老王点评:开发者/维护者有责任向用户传达这种维护状态。

Twitter 要求 GitHub 披露其源代码上传者的身份

Twitter 上周披露它的部分源代码被人在今年初上传到 GitHub,当时 Twitter 刚刚被收购并解雇了数千名员工。上周五 GitHub 在 Twitter 的要求下删除了该仓库。本周二,法庭应 Twitter 要求 GitHub 在 4 月 3 日前提供上传者所有的身份信息,包括姓名、地址、电话号码、电邮地址、社交媒体资料和 IP 地址。此外,还要求提供下载和修改该代码仓库数据的用户信息。

消息来源:Ars Technica
老王点评:这有点过分了啊。

开源聊天机器人在质量评估上能达到 ChatGPT 的九成

开源聊天机器人 Vicuna-13B 基于 Meta 的大语言模型 LLaMA,它使用了用户通过 ShareGPT 分享的 7 万对话样本进行微调。研究人员让 OpenAI 的 GPT-4 作为裁判,去对比 Vicuna-13B 以及 ChatGPT 和谷歌 Bard,结果显示它在质量评估中能达到 ChatGPT 的 92%,而 Bard 为 93%,LLaMA 为 68%。Vicuna-13B 的训练成本只花了 300 美元。研究人员还计划释出其模型权重。

消息来源:Vicuna
老王点评:这说明并一定非得用海量的参数、巨额的训练费用,也可以取得可观的 AI 效果。所以,AI 也会有类似的“摩尔定律”,会随着时间迅速降低 AI 成本和提高 AI 效果。

超过一半的新 NPM 包是 SEO 垃圾包

目前提交给 NPM 的所有新包中,有一半以上是 SEO 垃圾。这是一种空包,只有一个包含各种恶意网站链接的 README 文件。在过去一周 Sandworm 扫描的 32 万个新的 NPM 包或版本中,至少有 18 万个被标记为 SEO 垃圾。检测到的大多数垃圾包都来自一个俄语的 Telegram 频道。

消息来源:Sandworm
老王点评:为什么 NPM 没有发现并做成反应?

在 2020 年 SolarWinds 网络间谍活动之后,一系列进一步的软件供应链漏洞凸显了确保软件监管链安全的必要性。在这场间谍活动中,俄罗斯黑客渗透到一个广泛使用的 IT 管理平台,并将受污染的升级程序悄悄带入其中。由于开源项目从根本上来说是分散的,而且经常是临时的活动,因此在这种背景下,这个问题尤其紧迫。GitHub 著名的 npm 注册中心广泛使用的 JavaScript 软件包遭到一系列令人不安的黑客攻击后,该公司前不久公布了一项战略,以提供更好的开源安全保护。

代码签名平台 Sigstore 将由微软旗下的 GitHub 支持,以用于 npm 软件包。代码签名类似于数字蜡封。为了让开源维护者更加容易地确认他们编写的代码是否与全球范围内人们实际下载的软件包中最终包含的代码相同,跨行业协作促成了该工具的创建。

GitHub 并不是开源生态系统的唯一组成部分,但 Sigstore 的联合开发者、Chainguard 的首席执行官 Dan Lorenc 指出,它是社区的一个重要枢纽,因为绝大多数项目都在这里存储和共享源代码。然而,当开发人员真正想下载开源软件或工具时,他们通常会通过软件包管理进行。

通过让包管理器可以使用 Sigstore,开发人员可以在 Sigstore 工具的帮助下,在软件通过供应链时处理加密检查和要求。这增加了产品流通过程中每个阶段的透明度。Lorenc 说,许多人在得知这些完整性检查尚未实施时感到震惊,开源生态系统中相当大的一部分长期以来一直依赖于盲目的信心。拜登政府于 2021 年 5 月发布了一项行政命令,主要涉及软件供应链安全问题。

Linux 基金会、谷歌、红帽、Purdue Universit 和 Chainguard 都对 Sigstore 的开发做出了贡献。现在有了使用 Sigstore 为 Python 包发行版签名的官方软件,而且开发软件的开源环境 Kubernetes 现在也支持它。

Sigstore 依靠免费和简单易用来鼓励采用,就像主要行业推动 HTTPS 网络加密一样,这在很大程度上是由非营利组织 互联网安全研究组 Internet Security Research Group 的 Let's Encrypt 等工具实现的。据 GitHub 称,该项目会首先提出 Sigstore 将如何在 npm 中实现的建议,并在开放评论期征求社区人员对该工具的精确部署策略的意见。然而,最终的目标是让这样的代码签名能够被尽可能多的开源项目使用,从而让对供应链的攻击更加困难。

GitHub 的 Hutchings 说:“我们希望看到这样一个世界,最终所有的软件工件都被签名并链接回源代码,这就是为什么构建像 Sigstore 这样的开放技术栈是如此重要,其他打包存储库也可以采用这种技术。”


via: https://www.opensourceforu.com/2022/08/github-takes-action-to-prevent-supply-chain-attacks-on-open-source/

作者:Laveesh Kocher 选题:lkxed 译者:lzx916 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

Perl 7 依然遥遥无期

两年前,Perl 语言项目宣布了 Perl 7,与 Perl 6 的激进改变不同,Perl 7 实际上是 Perl 5.32 配上更符合现代趋势的一些默认设置。原计划在 2021 年发布 Perl 7,但显然我们还没见到,甚至没有一个明确的发布时间表。Perl 语言指导委员会还在继续引入新特性,直到某天他们觉得有了足够大的进步才会发布 Perl 7。

消息来源:perl
老王点评:Perl 当年太成功,但这个成功也成了巨大的包袱,以至于激进的 Perl 6 失败了,继承传统的 Perl 7 也迟迟难产。两年前宣布 Perl 7 的消息时,我还 很期待,但是,虽然不愿意这样说,Perl 不如就让它一直留在 Perl 5 吧,作为历史里程碑挺好。

微软将 WSL2 带入 Window Server 2022

2021 年,为了回应用户提出的将 WSL 向后移植到 Windows Server 2019 的请求,微软说 WSL “对开发来说非常棒”,“对 Windows 客户端来说非常完美”。但又警告说,“如果我们把它放在 Windows Server 中,人们会在生产场景中使用它,而它并不准备用于这种场景”。微软推荐的方式是运行完整的 Linux 虚拟机。但今年,微软的态度在改变,WSL2 发行版已经可以在 Windows Server 2004 和 20H2 版本上运行,而现在,随着最新的预览补丁,Windows Server 2022 现在也支持 WSL2 Linux 发行版了。

消息来源:theregister
老王点评:微软对 Linux 的野心一点点露了出来,先是一个号称为了开发者方便的子系统,以后就可能是一个集成了完整 Linux 功能和优点的子系统了,并且,可以用于企业生产环境。

攻击者窃取了十万 npm 用户账号登录信息

攻击者在 4 月中旬的攻击中利用 OAuth 应用令牌窃取了近十万 npm 用户账号登录信息,取得了密码哈希和电邮地址。哈希密码是用弱哈希算法,如加盐 SHA1 生成的,因此容易破解,但好在 GitHub 从 3 月 1 日起对所有账号自动启用了电邮验证,控制账号的尝试会被自动阻止。在分析和检查之后,GitHub 确信攻击者没有修改或上传新版本的 npm 软件包。GitHub 重置了所有受影响用户的密码,并向受影响组织和用户发送了通知。

消息来源:solidot
老王点评:再强的密码也拦不住平台用脆弱的方式存储。

每一次下载的 Firefox 安装包都含有唯一识别码

你每次从 Mozilla 官网下载的 Firefox 安装文件都不同,它会含有一个 唯一识别码,因而你查看其 MD5、SHA-1 等校验码会发现各个不同。Mozilla 内部将该识别码称为 dltoken,可以用二进制分析工具检查软件包找到它。该数据用于 Firefox 内部分析。所有分发通道的 Firefox 都含有该识别码。如果你不想下载带识别码的 Firefox,可以从 Mozilla 的 HTTPS 资源库(以前的 FTP 资源库)或第三方下载网站下载。虽然 Mozilla 指出,选择退出的机制是标准的遥测选择退出,但用户如何在安装 Firefox 浏览器之前选择退出?

老王点评:这就是号称保护用户隐私的 Mozilla 吗?

开源软件包 node-ipc 植入反俄代码遭到抨击

node-ipc 是一个流行的 Node.js 基础软件包,被包括 Vue.js 在内的许多大型软件和框架所依赖,其周下载量超过百万次。然而最近,该维护者发布了名为 peacenotwaroneday-test 两个模块,并作为依赖项而包含在 node-ipc 的代码中。其中包含了作者本人对俄乌战争的观点和呼吁,“作为一种非暴力的抗议形式,以反对当前俄乌冲突造成的威胁”。这些模块会在用户的电脑桌面上放置一个文件来宣传其倡议。然而,更糟糕的是,作者还发布了一个特定版本,它采用混淆代码以隐藏其真实目的,针对俄罗斯和白俄罗斯用户的 IP 而 破坏用户的文件。此事招致了开发者们大量的抨击。

老王点评:我一直没有点评俄乌战争以来开源界或更广泛的技术领域的表态,但是这件事让我感觉突破下限了。抛开这些恶意行为不说,Node.js、Python 等依赖开源公共仓库模式的语言,必须有个切实的解决方案来应对这些有意或无意的破坏了。

Mozilla 和 Open Web Docs 在 MDN 上携手合作

Mozilla 在裁员时将其著名的 MDN 团队也裁掉了,并在此基础上和谷歌、微软等公司共同建立了 Open Web Docs(OWD)。但是,前不久 Mozilla 又 推出了新版 的 MDN,并推出了收费的 MDN Plus 服务。这让人迷惑其与 OWD 关系如何。现在 Mozilla 撰文澄清 了它与 OWD 的关系:双方保持密切合作,OWD 会向 MDN 贡献内容,是其重要的贡献项目之一;但是 Mozilla 不参与 OWD 的决策,双方也不向对方提供财务支持。

老王点评:我觉得,其实背后还是 Mozilla 分割出去 MDN 之后又舍不得了。