据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。
大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。 当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。 在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。更多内容,请关注本次专辑…… Uber 近日开源了已在内部使用多年的指标平台 —— M3 ,这是一个基于分布式时序数据库 M3DB 构建的度量平台,可每秒聚合 5 亿个指标,并且以每秒 2000 万笔的速度持续存储这些结果。
Uber 表示,为促进在全球的运营发展,他们需要能够在任何特定时间快速存储和访问后端系统上的数十亿个指标。一直到 2014 年底,Uber 的所有服务、基础设施和服务器都是将指标发送到基于 Graphite 的系统中,该系统将这些资料以 Whisper 档案格式储存到分片 Carbon 丛集。 此外,还将 Grafana 用于仪表板,Nagios 用于告警,并通过来源控制脚本发出 Graphite 阈值检查。但由于扩展 Carbon 集群需要手动重新分片的过程,并且由于缺乏副本,任何单一节点的磁盘故障都会导致其相关指标的永久性丢失。简而言之,随着公司的不断发展,这种解决方案无法再满足其需求。 在评估现有的解决方案后,Uber 没有找到能够满足其资源效率或规模目标,并能够作为自助服务平台运行的开源替代方案。因此在 2015 年,M3 诞生。起初,M3 几乎全部采用完全开源的组件来完成基本角色,像是用于聚合的 statsite ,用于时序存储具备 Date Tiered Compaction Strategy 的 Cassandra ,以及用于索引的 ElasticSearch 。基于运营负担,成本效率和不断增长的功能集考虑,M3 逐渐形成自己的组件,功能也超越原本使用的方案。 M3 目前拥有超过 66 亿条时序数据,每秒聚合5亿个指标,并在全球范围内每秒持续存储 2000 万个指标(使用 M3DB),批量写入将每个指标持久保存到不同区域的三个副本中。它还允许工程师编写度量策略,以不同的时间长度和不同粒度对资料进行保存。这使得工程师和数据科学家能以不同的留存规则,精细和智能地存储有不同保留需求的时序数据。具体情况,请大家关注本次专辑…… Epic Games 旗下的《堡垒之夜》已开启 Android 测试,但为避开 30% 的应用抽成,他们没有选择通过 Google Play 应用商店发布,而是直接在官网下载。上周五,Google 披露了 Android 版《堡垒之夜》安装器出现的一个安全漏洞,攻击者随时可替换并且进行 Man-in-The-Disk 攻击。
根据 Google 之前制定的规则,他们会先向相关开发负责人报告漏洞,待对方发布广泛可用的补丁后,或在90天后仍未解决问题时,Google 会对外公开此漏洞的详细信息。这次,在 Google 共享攻击演示视频后,Epic 迅速释出了补丁,并请求 Google 给予标准的 90 天时间,以确保用户更新。不过却被 Google 拒绝,并在补丁发布 7 天之后公开了漏洞。 为此,Epic 的 CEO Tim Sweeney 认为 Google 这么做就是为了报复,这种做法会对其 Android 用户造成不必要的风险:Epic 真诚感谢 Google 对《堡垒之夜》安全性的深度审查,并及时向我们分享了他们发现的安全威胁,让我们能够迅速地发布安全修复。然而,Google 如此迅速地公开披露这一漏洞的技术细节是不负责任的,许多安装游戏的用户仍未更新,者仍具威胁。 我们的一位安全专家曾请求 Google 推迟公开披露此漏洞细节,希望给予业界标准的90天,以让用户拥有更长的更新时间。但 Google 拒绝了。Google 对信息安全的分析值得感激,并有利于整个 Android 平台发展,但强大的 Google 应当更有原则地遵守披露时间,而不是危及我们的用户。这可能会被视为针对我们绕开 Google Play 发行游戏的公关回应。更多内容,请关注本次专辑…… |
