11月6日消息,据外媒报道,日前谷歌加入了一个名为OpenTitan的项目,旨在设计开源安全芯片,从而撼动目前芯片基于硬件的安全性。日前,谷歌宣布了与多家企业和非营利组织的合作,并发起了一项名为 OpenTitan 的新计划。其旨在开发面向数据中心和基础架构的开源安全芯片设计,且其能够独立验证并进一步增强。 随着黑客对操作系统、处理器甚至固件发动越来越复杂的攻击,制造商越来越多地转向防篡改处理器,或利用通常被称为“安全飞地”的方式来阻止各种攻击。它们将设备上的“信任根”放在不可改变的芯片中,每次系统开始时都依赖它运行加密检查,以确保没有任何东西被恶意修改过。 如果出现错误,“安全飞地”将停止机器启动。但这也存在一个令人头疼的问题:如何才能始终确保“安全飞地”本身可以信任? 这是个现实存在的问题。虽然安全的“信任根”方案在许多方面提供了真正的安全改进,但研究人员一再证明,这些芯片依然有被破坏的可能。这就是为什么谷歌和一个由公司、非营利组织和学术机构组成的联盟签署了一项倡议,旨在不断改善“安全飞地”的透明度和安全性。 这个项目名为OpenTitan,旨在消除专有机器代码和秘密制造的不透明度,后者使得任何处理器都难以被完全信任。OpenTitan由开源硬件非营利组织lowRISC CIC管理和指导。 据悉,该项目以谷歌数据中心和 Pixel 智能手机中使用的自研 Titan 芯片命名,可从已知的可信赖状态启动、并验证固件是否被篡改。用于验证的加密元素被称作信任根(RoT),同时也是是 OpenTitan 项目的核心。具体情况,请大家关注本次专辑…… Polynote 是一个新的多语言笔记本,具有一流的 Scala 支持、Apache Spark 集成,包括 Scala、Python 和 SQL 在内的多语言操作性,以及键入时自动完成等功能。 最近,Netflix 宣布开源 Polynote ,该笔记本环境给数据科学家和机器学习研究人员提供了一个机会,允许他们自由地无缝整合基于 JVM 的机器学习平台(该平台大量使用 Scala)和 Python 生态系统内的主流机器学习和可视化库。目前,该项目已经得到 Netflix 的个性化及推荐团队的广泛采用,现在正在研究与平台的其他部分进行集成。 可重复性;Polynote 的两大指导原则是可重复性和可见性。为了进一步实现这些目标,Netflix 最早的设计决策之一是从头构建 Polynote 的代码解释,而不是像传统笔记本一样依赖 REPL 。Netflix 觉得,尽管 REPL 总体上很好,但是根本不适合笔记本模式。为了理解 REPL 和笔记本的问题,可以看一个典型的笔记本环境设计。 笔记本是有序的单元格集合,每个单元格都可以存放代码或文本。每个单元格的内容可以独立修改和执行。单元格可重新安排、插入及删除,这也取决于笔记本中其他单元的输出。把这个与 REPL 环境进行比较会发现,在 REPL 会话中,用户把表达式一次一个地输入提示符。一旦求完值,表达式和其求值的结果不可变,求值结果被附加到全局状态提供给下个表达式。 不幸的是,这两个模式之间的脱节意味着一个典型的笔记本环境(使用 REPL 会话对单元格代码求值)会随着用户与笔记本的交互而导致隐藏状态的积累。单元格可以按任何顺序执行,从而改变这种全局隐藏状态,进而影响其他单元格的执行。通常情况下,笔记本无法从顶部可靠地重新运行,这使得它们难以重复及与他人共享,该隐藏状态还使得用户难以推断笔记本上发生的事情。更多内容,请关注本次专辑…… NPM 公司,JavaScript 包管理器 npm 的维护者。今年 8 月份时,Standard JS 在项目中实验性内置广告的事件引发热议,这些广告通过一个名为 Funding 的 npm 软件包展示在终端,该软件包包含在 Standard 的代码库中。之后 NPM 公司宣布将禁止此类终端广告行为。 此事件后,NPM 表示,它打算在今年年底前为开源开发人员开发一个众筹平台。根据 The Register 报道,它已经在此承诺上迈出了一步。 本周周二,该公司修改了最新版 npm 6.13.0 的代码,添加了 “funding”命令。它的作用是让维护 npm 的开发人员(为 Node.js 创建包)声明元数据,为有意愿的捐赠者指明捐赠平台。 在 package.json 文件中添加了一个“funding” 字段,这个文件列出了各种模块设置和依赖项。funding 可指向在线捐赠服务的 url,如 Patreon、Open Collective、GitHub Sponsors、License Zero 或者其他支付网站。 之后,使用这些包的应用程序程序员可运行 npm fund |