近日,GitHub 在全球开发者大会上,宣布启动了一个名为「安全实验室 (Security Lab)」的新社区计划。该计划中,GitHub 不仅开源了代码分析引擎 CodeQL,还设置了奖励金最高为 3000 美元的漏洞奖励计划。
GitHub安全实验室的任务是启发并赋能全球安全研究社区,保护全球代码的安全;意将进一步解决代码安全难题,完善开源社区不足,为开源社区的优质代码贡献打下良好基础。这一计划也得到了很多大牛企业为代表的支持,包括 Microsoft,Google,Intel 等,现宅客频道将这一社区具体内容整理编辑如下。 CodeQL 是 GitHub 刚推出的一款新开源工具。这是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。CodeQL 可以帮助我们跨代码库发现漏洞;允许我们像查询数据一样查询代码、编写查询以查找漏洞的所有变体,并将其永久消除;共享该查询结果以帮助其他人消除漏洞。 其中,QL 是查询语言,也是 CodeQL 的基础,专用于分析代码。这是一种逻辑编程语言,因此它由逻辑公式组成。QL 使用公共逻辑连接词(如 and,or,和 not)、量词(如 forall 和 exists)、以及其他重要的逻辑概念。更多相关内容,请大家关注本次专辑…… Canonical 昨天宣布为亚马逊提供用于 Amazon Web Services (AWS) 的 Ubuntu Pro 镜像。这个新镜像可通过 AWS Marketplace 获取,涵盖 Ubuntu 14.04 LTS, 16.04 LTS 和 18.04 LTS 版本,企业只需在 Amazon Elastic Compute Cloud (Amazon EC2) 上选择并运行映像即可使用。由于 Ubuntu Pro 是面向云的产品,因此它会在 Ubuntu 的基础上提供针对云领域企业部署的额外功能。
Ubuntu Pro 的主要特性如下:提供十年的软件包更新和安全维护;Kernel Livepatch,无需重启即可应用内核安全更新,从而能保证安装连续的安全补丁,以及拥有更长的正常运行时间和更高的可用性; 使用定制的 FIPS 和通用的 EAL 兼容组件,用于 FedRAMP, PCI, HIPAA 和 ISO 等合规制度下的环境;Ubuntu 基础设施和应用程序仓库的补丁程序覆盖了数百个开源项目,包括 Apache Kafka, MongoDB, Node.js, RabbitMQ 和 Redis 等。 集成 AWS 的安全和合规性功能,其中包括 AWS Security Hub 和 AWS CloudTrail 等(2020 年第一季度可使用)另外,AWS 上的 Ubuntu Pro 收费约为 0.229美元/小时,不过因实例类型而异。 最后要注意的是,十年的维护时间并非适用于任意一个版本。仅有 Ubuntu 18.04 LTS 的维护时间为 10 年,14.04 LTS 和 16.04 LTS 为 8 年。此外,Ubuntu 18.04 LTS 的认证正在进行中,将于 2020 年第一季度提供。经过认证的组件和内核实时补丁不适用于 Ubuntu 14.04 LTS。更多内容,请关注本次专辑…… “开源软件彻底改变了公司的运作方式,但是像 AWS 这样的云软件使开源软件公司更难赚钱。当你可以获得基于开源软件的云服务时,那么就不用再为该开源软件的公司支付相关服务费用。”
techrepublic 专栏作家 Tom Merritt 指出了这个观点,他认为云厂商正在压缩开源商业化公司的重要收益空间,使它们连提供服务(比如技术支持)赚钱的模式都难以维持。Tom 认为在这个过程中有 5 件关于云和开源的事项需要注意: 开源许可证旨在防止代码被锁定。开源许可证建立在这样一个思想之上:如果使用开源代码,就不能对其进行专有化,这是为了确保公司与希望使用该代码的其他所有人共享该代码的工作。 提供支持模式行不通。尽管红帽通过支持产品成功建立了业务,但现在主流模式是提供运行开源软件的云服务,这样的营利也更加可观,但问题是 AWS、Google Cloud 与 Microsoft Azure 目前已经瓜分了这块业务。 开源许可证约束不到云服务。云服务不会使用开放源代码创建新项目,而只是将其作为服务的一部分为客户实施。这并不违反许可,因为确实可以使用开源软件来建立业务。 一些开源软件提供商正在寻求专有许可证。 MongoDB 创建了服务器端公共许可证(Server Side Public License,SSPL),该许可证要求托管 MongoDB 实例的云厂商要么获取商业许可证要么向社区开放其服务源码。实际上,Redis Labs 已经修改了某些模块的许可证,新许可限制了可以使用它们构建哪种类型的应用。更多内容,请关注本次专辑…… |
