设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 开源热点 查看内容

LUPA开源周刊:华为事件竟成开源新契机?

2019-6-3 13:32| 发布者: joejoe0332| 查看: 1827| 评论: 0|原作者: LUPA开源社区|来自: LUPA开源社区

摘要: 开源春天,此时不来,更待何时?  “国内行业的春天来了!”,看到国家财政部最新发布的集成电路设计和软件产业企业所得税政策,不少开发者都发出这样的感叹。公告指出,依法成立且符合条件的集成电路设计企业和软 ...


  据 Threatpost 报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口。该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。


  这个问题的具体细节尚未透露,Travis 表示已通知微软,微软有长达 90 天的时间,在漏洞披露之前修复这个问题。“记事本暴露的攻击面很少,但它仍足以让攻击者运行任意代码”,White Note 创始人 Dan Kaminsky 表示,我们不能因为记事本简单,就觉得它肯定很安全。

  与此同时,也有知情研究人员指出,黑客在记事本中打开文件之前,需要先获取目标。而除了已经弃用的 IE 11,这种情况一般不会发生。“在今天IE 发布缓解措施后,除非坐在电脑前,否则你无法在系统上启动记事本”,Kaminsky 解释。

  值得一提的是,记事本也是不少开发者常用的软件 —— 毕竟它似乎是打开未知文件最方便安全的方式。但现在看来,这种做法是否 “安全”,可能得打个问号了。

  很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。


  虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。

  美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。

  报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。

  然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。

  2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”更多内容,请关注本次专辑……

  ThoughtWorks 首席科学家 Martin Fowler 指出,软件开发项目中存在一种常见争论,即“花时间提高软件质量,还是专注于发布更有价值的功能?”他认为“提供功能的压力常常主导着讨论,导致许多开发人员抱怨他们没有时间研究架构和代码质量”。


  于是,Martin 近日在个人博客发布了一篇名为《高质量软件值得这么多成本吗?》的文章,就此展开讨论。通常,这样的反问句答案显然是否定的。不过,Martin 接下来的阐述进一步颠覆了问题本身,这个问题假定了质量和成本之间的共同权衡,可在他看来,这种权衡并不适用于软件——“高质量的软件实际上生产成本更低”。

  这种说法是否颠覆了你的认知?人们习惯于在质量和成本之间进行权衡,“一分钱一分货”不无道理。当然,Martin 承认该假设在大多数情况下是正确的,更高的质量会花费更多。但他强调这并非一个绝对规则。

  Martin 首先对“软件质量”做出了界定。有很多方面可以囊括在内:用户界面清晰吗?软件足够可靠吗?架构合理、明确吗?用户可以判断用户界面是否良好;高管可以判断软件是否使工作更高效;消费者会注意到系统缺陷,特别是当软件出故障时。但用户可能无法体会软件架构——这对开发者来说是软件质量的判定标准之一。

  所以,这篇文章将软件质量属性划分为外部(例如 UI 和缺陷)和内部(架构)。区别在于,用户和消费者可以看到软件产品具有高外部质量的原因,却难以分辨出内部质量的高低。

  更多本周开源资讯,本次专辑将为您一一呈现……

开源春天,此时不来,更待何时?

  “国内行业的春天来了!”,看到国家财政部最新发布的集成电路设计和软件产业企业所得税政策,不少开发者都发出这样的感叹。公告指出,依法成立且符合条件的集成电路设计企业和软件企业,在 2018 年 12 月 31 日前自获利年度起计算优惠期,第一年至第二年免征企业所得税,第三年至第五年按照 25% 的法定税率减半征收企业所得税,并享受至期满为止。

谷歌正在打通Chrome OS和Android的生态系统

  谷歌正在寻求打通 Chrome OS 和 Android 系统生态的途径。大约四年前,谷歌为 Chrome 浏览器开发了一种运行 Android 应用的方法,称为 Android Runtime for Chrome(ARC)。它是基于 Chrome OS 设计的,但是开发人员逐渐意识到它可以在任何桌面平台上运行 Chrome 中的 Android 应用。

Wi-Fi 联盟和SD协会撤销华为会员资格:无法参与标准制定

  自特朗普政府禁止美国公司向华为及其子公司出口零部件之后,Google 和 ARM 先后暂停了与华为的业务合作。据最新的报道,制定无线技术标准的 Wi-Fi 联盟和制定 SD 存储卡标准的 SD 协会均将华为移出了会员名单,终止与华为的关系。


酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部