设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 开源热点 查看内容

LUPA开源周刊:倪光南谈中兴事件 Black Duck曝2018开源新秀

2018-5-6 20:34| 发布者: joejoe0332| 查看: 11180| 评论: 0|原作者: LUPA开源社区|来自: LUPA开源社区

摘要: 倪光南院士近日在微博发文公开谈中兴事件,他表示中兴事件暴露出一个问题是,不是自己的核心技术,要依靠人家;另一个很重要的风险就是网络信息安全问题。所以要及早部署,不能有侥幸心理。也是在本周,Black Duck选 ...


  黑客从 4 月 17 日之后开始,瞄准了 Oracle WebLogic 服务器的计算机。当时正值 Oracle 发布了季度重要补丁更新(CPU)的安全建议。Oracle 发布了 CVE-2018-2628 漏洞补丁,和在 WebLogic 中,Java EE 应用程序服务器的 WLS 核心组件中的漏洞的修补程序。


  此项漏洞的危险系数很高,因为它可能允许攻击者在远程 WebLogic 服务器无需进行身份验证就执行代码。这个漏洞是由绿盟科技安全小组的廖新喜和一名名为 loopx9 的独立安全研究人员发现和报告的。在 Oracle补丁发布后的第二天,Xinxi 在中国社交网络上发布了一篇博文,解释漏洞的工作原理。名为 Brianwrf 的用户在 GitHub 上创建并发布了可以利用这个缺陷的概念验证(PoC)代码。

  完全武器化的概念验证(PoC)代码发布之后,导致 7001 端口的扫描立即飙升,该端口运行着易受攻击的 WebLogic“T3” 服务。根据阿里云工程师的说法,甲骨文似乎已经篡改了 CVE-2018-2628 补丁,甚至让黑客有机会在所谓的补丁WebLogic 系统上利用这个缺陷。

  根据信息学家 Kevin Beaumont 的说法,这是因为 Oracle 没有将 WebLogic 问题定义在其核心,而是将用于开发链的命令列入黑名单。据 Beaumont 称,问题似乎源于 Oracle 工程师错过了一个或多个命令。就目前而言,Beaumont 建议公司阻止端口 7001 上的链接传入,直到 Oracle 发布另一个 - 运行良好的CVE-2018-2628 补丁。管理员应该听从 Beaumont 的建议,因为预计黑客会在 Oracle 不完整补丁的消息传播之后加大对 WebLogic 服务器的力度。更多内容,请关注本次专辑。

  今日,工信部发布关于贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》的通知,将从六方面21项举措落实IPv6行动计划。包括:1、实施LTE网络端到端IPv6改造;2、加快固定网络基础设施IPv6改造;3、推进应用基础设施IPv6改造;4、开展政府网站IPv6改造与工业互联网IPv6应用;5、强化IPv6网络安全保障;6、落实配套保障措施。


  根据《推进互联网协议第六版(IPv6)规模部署行动计划》,到2018年末国内IPv6活跃用户数要达到2亿,2020年末达到5亿,2025年末中国IPv6规模要达到世界第一。TCP/IP协议是互联网发展的基石,其中IP是网络层协议,规范互联网中分组信息的交换和选路。目前采用的IPv4协议地址长度为32位,总数约43亿个IPv4地址已分配殆尽。

  IPv6是IP地址的第六版协议,诞生于1999年,其最大的优点就是设计地址长度达128bit,可以提供2的128次方个IP地址,即使将地球上所有沙子都变成晶体管,依然会有足够的IP地址给电子设备使用。近乎无穷的IP地址让IPv6能容得下海量设备,这将与5G等技术一起,支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴业态的快速发展。

  Tobias Koppers 是一位自由软件开发者,家住德国纽伦堡。他因写出 Webpack 这个已有数百万开发者使用的开源软件而名噪一时。他目前专注于 JavaScript 和开源项目。以下是我对他个人的专访,希望对大家有所启发。


  Gregor:你好,Tobias,JavaScript 社区都在谈论 Webpack,就连谷歌也已经把它集成到了自己的 Angular CLI 项目中了。很高兴 Webpack 诞生于纽伦堡,离我的老家英戈尔施塔特(德国)不远。跟我们分享一下,你当时怎么想起来写 Webpack 的,它怎么那么快就受到了大家欢迎的?

  Tobias:你好,Gregor。实际上,谷歌也在参与 Webpack 的开发,只不过是间接参与。我在迷上 JavaScript 以前,也写过 Java 。谷歌曾经推出过一个工具,叫 GWT(Google Web Toolkit),让 Java 程序员能用 Java 编写客户端应用。GWT 其实是一个 Java 应用到 JavaScript SPA 的编译器,也使用了谷歌的一些应用。

  GWT 有一个功能我研究了很长时间,就是代码拆分(code splitting)。这个功能可以延迟加载不常用的代码。对于要保持初始加载速度的大型应用,这个功能非常重要。但我没发现 JavaScript 的开源工具(2012年)中哪个具备这个功能,于是我就想写一个这样的工具,也就是 Webpack 。

  换句话说,Webpack 诞生之初主要想解决代码拆分的问题。而在我看来,这也是 Webpack 今天这么受欢迎的原因所在。随着 Web 应用越写越大,而移动设备越来越普及(但上网环境相对不好),拆分代码的需求与日俱增。如果不拆分代码,就很难实现期望的性能。

  自从 Tim Berners-Lee 在 1990 年开发 CERN httpd 以来,作为第一个 Web 浏览器的项目,Web 服务器已经走过了很长一段路。虽天一些主要的网络服务器供应商为企业提供了闭源的 web 服务器,但许多其他企业仍保留Tim Berners-Lee 所体现的开源价值。CERN httpd 的源代码于 1993 年公布。看着目前可用于企业的最佳开源 Web 服务器。


  1. NGINX HTTP 服务器:NGINX 由俄罗斯工程师 Igor Syosev 于 2002 年开发,用于应对网站流量和宽带互联网的增长,并因此需要管理 10,000 个同时连接。他的解决方案是一个异步的事件驱动架构,以其高性能和高效率而闻名。由于它的可扩展性和处理大量用户负载所需的最少资源,而变得特别受欢迎。它也可以用作反向代理和邮件代理服务器。

  2. Apache HTTP 服务器:Apache 成立于 1995 年,并在第二年成为最常用的 HTTP 服务器,这个状况持续了将近 20 年。长期以来,Apache 这个名字被认为是“A Patchy Server”这个词的双关语,直到其中一位创作者透露,它实际上是表达了对分享它的名字的美洲印第安部落的侵略战略的尊敬。

  Apache 使用模块化体系结构来满足每个单独基础设施的不同需求。它以其可靠性,广泛的功能和支持众多服务器端编程语言而闻名。

  更多本周开源资讯,本次专辑将为您一一呈现……

倪光南:中兴事件不能存侥幸心理,要坚决发展核心技术

  倪光南院士昨日在微博发文公开谈中兴事件,他表示:“中兴事件暴露出一个问题是,你不是自己的核心技术,要依靠人家;还没暴露出的另一个很重要的风险是网络信息安全问题。所以要及早部署,头部核心技术非常重要,不能有侥幸心理。今天能过了,不能保证明天没有这个问题。网信领域还是要踏踏实实的通过自主创新来解决核心技术问题。”

Black Duck选出2018年极具影响力的开源软件新秀

  在过去的十年中,Synopsys 的 Black Duck 每年推出的一些最具创新性和影响力的开源项目。这是对这些项目的成功和势头的肯定,也是对未来前景的肯定。我们已经看到Kubernetes(2014),Docker(2013),Ansible(2012),Bootstrap(2011),NuGet(2011)和 OpenStack(2010)等逐渐成为市场上最具影响力的开源项目,预计今年的新秀也不例外。

重现AlphaGoZero风采,Facebook开源ELF OpenGo

  近日,Facebook AI Research(FAIR)在其官方博客宣布开源他们开发的曾打败专业围棋棋手的 AI 围棋机器人 ELF OpenGo,包括源代码和训练好的模型。开发团队表示,受 DeepMind 的启发,他们在今年早些时候启动了一项使用 FAIR 的可扩展、轻量级框架 ELF 进行强化学习研究的工作,希望能重现与 AlphaGoZero 最接近的结果,最终创建一个能自学围棋并达到人类职业棋手或更高水平的开源系统。

酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187 浙公网安备 33010602006705号   

返回顶部