上个月,Canonical 发布了针对 Ubuntu 18.04 LTS(Bionic Beaver)、Ubuntu 17.10(Artful Aardvark)、Ubuntu 16.04 LTS(Xenial Xerus)和 Ubuntu 14.04 LTS(Trusty Tahr)的 AMD 微代码固件更新,以解决 Spectre 漏洞问题。 然而,据报道,此次更新的处理器微码固件导致某些电脑出现启动失败的问题,Canonical 已为此问题道歉并发布补丁以修复该回退,同时敦促用户立即更新他们的电脑。 “USN-3690-1 为 AMD 处理器提供了更新的微代码以解决 CVE-2017-5715(也就是 Spectre)。不幸的是,更新导致一些系统无法启动。此更新恢复了 Ubuntu 14.04 LTS 的更新,我们为此表示致歉“,Canonical 在安全公告中表示。 目前似乎只有 Ubuntu 14.04 LTS 用户受到影响,包括一系列衍生版本如 Kubuntu、Lubuntu、Xubuntu 等。为了解决这个问题,Canonical 敦促 Ubuntu 14.04 LTS 用户将 AMD 微码固件更新为 amd64-microcode-3.20180524.1~ubuntu0.14.04.2+really20130710.1 包,该软件包现已在官方软件库中提供。更多内容,请关注本次专辑…… 早前我们报导过Hacker News 的 6 月招聘趋势,其中说到 React 再一次稳坐第一的位置,那么,求职市场呼声这么高的一项技能,如何去学习呢?放心,接下来不是放广告。GitHub 上有开发者为大家指明了道路,他开了一个 repo,详细介绍了学习 React 的路线图。 作者介绍,该项目是为了给困惑于“What should I learn next as a React developer?”的从业者一些帮助。“本路线图的目的是让你了解行情,并给了一些指示”,他说到:“你应该逐渐理解为什么一种工具比另一种更适合某些情况,并记住流行和时尚从来不是最适合编程工作的。”言下之意是不要在学习过程中被其它新鲜与炫酷的技术“带偏”。 该路线图包含 CSS/JS/HTML 基础、常规开发技巧、在官网学习 React 或完成一些课程、掌握日常工具、状态管理、类型检查、路由、API 客户端、实用程序库、测试、服务端渲染等项目,应有尽有。目前已得到两千多 Star,具体情况,请大家关注本次专辑…… Synopsys 公司近日发布了“2018 年开源代码安全和风险分析” Black Duck(黑鸭)报告,深入考察了商业软件中开源安全性,许可证合规以及代码质量风险的状况。本次报告讨论的是从 2017 年审计的超过 1,100 个商业代码库中的匿名数据所得出的结果,行业包括汽车、大数据(主要是人工智能和商业智能)、网络安全、企业软件、金融服务、医疗保健、物联网(IoT)、制造业和移动应用市场。 开源软件与定制代码相比,既不是更不安全,也不是更安全。但是,开源软件的某些特性使得流行组件中的漏洞对攻击者非常有吸引力。Black Duck(黑鸭)审计结果显示,现在,开源代码在商业应用和内部应用中无处不在,这在漏洞被披露时为攻击者提供了目标非常丰富的环境。漏洞以及对漏洞的利用通常是通过全国漏洞数据库(NVD,National Vulnerability Database)、邮件列表和项目主页等来源进行披露的。 商业软件把更新自动推送给用户,而开源软件与之不同,后者采用一种拉动支持(pull support)模式,即:用户自行负责跟踪他们所使用的开源软件的漏洞、修复和更新。开源代码可以通过多种方式进入代码库,不仅可以通过第三方供应商和外部开发团队进入,也可以通过内部开发人员进入。如果一个组织机构不了解其所使用的所有开源代码,它就不可能抵御针对这些组件中已知漏洞的常见攻击,并且它自己也会暴露在许可证合规风险之中。 2017 年,Black Duck On-Demand(黑鸭按需)审计在每个代码库中发现了 257 个开源组件。到 2018 年,每个代码库中开源组件的数量增长了约 75%。审计发现,96% 的被扫描应用中存在开源组件,这一比例与去年的报告相似。而在被扫描的应用的代码库中,开源代码的平均比例从去年的 36% 增长到 57%,这表明开源代码的使用量在持续大幅度增长,同时也表明,目前大量的应用所包含的开源代码要多于专有代码。更多内容,请关注本次专辑…… |