设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 开源热点 查看内容

LUPA开源周刊:谷歌甲骨文侵权之战 红帽变“没脸”

2019-5-6 22:42| 发布者: joejoe0332| 查看: 2245| 评论: 0|原作者: LUPA开源社区|来自: LUPA开源社区

摘要:   谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权和专利的侵犯(非法使 ...
  谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权和专利的侵犯(非法使用了 37 个 Java API 用于 Android 操作系统)。甲骨文最初于 2010 年起诉谷歌,一度在该案中寻求来自谷歌高达 90 亿美元的侵权损害赔偿。话不多说,下面就是小编为大家准备的开源资讯回顾,还是希望能给大家带来新的收获,这周的开源业界不论是国内还是国外,都有很“有料”的开源资讯值得大家关注!


  红帽(Red Hat)换新 logo 了,这是近 20 年红帽品牌的首次重大更新。红帽一家知名的开源解决方案供应商,在去年以 340 亿美元的价格被 IBM 收购。新的 logo 设计仍然是一顶红帽子,但去掉了原有的 “影子家伙“,看起来像是少了一张脸。Chromium 版 Edge 用户在浏览器中打开 Google Docs 时,会收到一封“不受支持的浏览器”通知。该通知显示在网址栏下方的一小条弹窗内,具体内容为“您正在使用的浏览器版本不再受支持,请切换到受支持的浏览器”。Apache 软件基金会是最大的开源软件基金会,它的志愿者社区管理着 2 亿多行代码。这些 Apache 项目最初通过 ASF Infrastructure 提供了两种版本控制服务:Apache Subversion 和 Git。多年来,越来越多的项目和社区想要在 GitHub 上看到项目源代码。 而这些项目仅仅是只读镜像,使用 GitHub 工具的能力有限。OpenAI 发布了深度神经网络 MuseNet,使用者可以用 10 种不同的乐器,结合乡村、莫札特或 Lady Gaga 等音乐风格,制作长度四分钟的音乐作品。不过,OpenAI 并没有教 MuseNet 乐理或是编曲理论,而是让人工智能从几十万个 MIDI 档案中学习,探索合声、节奏和风格等乐曲的元素。Facebook 正在进行 C++ 代码即时编译,将其视为运行快速的脚本语言。引用 phoronix 网站的消息,Facebook 工程师在本月的布鲁塞尔 EuroLLVM 会议上简要介绍了这项工作。由于 Mozilla 公司忘记更新用于签署 Firefox 插件的安全证书,当证书过期,导致新的插件下载安装失败,并阻止现有的插件正常工作。大多数用户不需要采取任何行动,但如果你已禁用 Studies,这是 Mozilla 用于对新功能进行 A/B 测试的功能,则需要重新启用它。微软在宣布基于 Chromium 内核的新版 Edge 浏览器时,曾承诺过会将 Edge 浏览器引入 macOS 平台,并支持 Windows 7 和 Windows 8 系列。适用于 Windows 10 的预览版早已推出,不过也仅是支持 Windows 10 系统,详细内容请关注本次专辑……


  本周不少的开源项目也有了最新的进展,我们挑一些热点和大家先做下分享。Fedora 是一个由 Red Hat 赞助、Fedora 项目社区支持的独立 Linux 发行版。其提供了开箱即用的用户体验,默认搭载 GNOME 桌面环境。在 Fedora 29 发布的约六个月后,该项目发布了 Fedora 30 版。尽管间隔不长,但在过去的半年中,Fedora 发生了很多变化。距 Ubuntu 14.04 LTS 的首次发布日即将过去 5 年,它将于 2019 年 4 月 30 日结束生命周期。生命周期终止状态标志着所有支持的终结。对于桌面或服务器用户,Ubuntu 14.04 LTS 不会再有进一步的安全更新、软件包更新或维护更新。NetMarketShare 最新统计的数据显示,“浏览器一哥” Chrome 的市场份额出现了罕见的下滑 —— 当然仍是稳坐第一名的位置。与上个月的统计结果相比,Chrome 的市场份额已从 67.88% 降至 65.64%,虽然下降得不多,仅跌了 2.24%,但这毕竟是比较罕见的情况。4月25日,Docker Hub 发现一个数据库遭遇未经授权访问(官方原话是 unauthorized access),发现问题后他们立即采取干预措施来确保网站安全。官方表示在短暂的数据库未经授权访问期间,大约 19 万个账号的敏感数据已被泄露(大约是总用户数的 5%),这些数据包括部分用户的用户名、哈希密码,以及用于自动构建 Docker 镜像的 GitHub 和 Bitbucket Token。更多内容,本次专辑我们一起来关注……

  本周,对于如何高效的使用各类开源软件,业界不少大牛和爱用着都给出了自己的态度和做法。近日,Synopsys 公司的黑鸭软件(Black Duck Software)发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。笔者今日在浏览 Stack Overflow 的时候,看到有开发者发表了一个这样的问题 —— “What is the incentive for curl to release the library for free?”,大意是想知道 curl 作者为什么会选择将其开源并且免费提供。漫威宇宙其实也就讲了一件事。整个宇宙就好比Git项目,其中有一群叫做美国队长,钢铁侠,惊奇队长,浩克,索尔等人在维护这个项目,兢兢业业的修理bug。某一天出现了一个天才程序员,叫灭霸,也在这个项目中开发,他意识到,这个项目已经很庞大了,光是编译都要几个小时,运行起来负重累累,而服务器资源就这么有限,老板又不给买机器,如果一直继续这么开发下去,这个项目迟早要出现网P0事故的,于是下定决定要把这个项目用面向对象,提取重复代码,业务拆分,算法优化等手段,彻底优化,目标是代码量减少50%。在这忙碌的一周里,开源界有哪些新动向呢?IT巨头又有哪些开源新进展呢?各种开源软件出新版了么?又推出什么开源软件了么?我们还是来一起回顾下最近的开源动态吧!



  谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权和专利的侵犯(非法使用了 37 个 Java API 用于 Android 操作系统)。



  甲骨文最初于 2010 年起诉谷歌,一度在该案中寻求来自谷歌高达 90 亿美元的侵权损害赔偿。然而直到现在该案仍没裁决结果,因为对「API 是否受法律保护」的最终裁决将会对软件行业产生深远的影响。

  这场长达十年的拉锯战让最高法院也犯难了。据路透社报道,美国最高法院今日已向特朗普政府征求意见,是否需要对“谷歌要求终止甲骨文 Java 侵权诉讼”一案进行审理。

  为此,最高法院今日向特朗普政府寻求帮助,是否还要继续审理谷歌的上诉。对于某些特定案件,美国最高法院有时会向政府征求意见。2015年,联邦最高法院曾驳回谷歌此前在该案中提出的上诉,就是因为听取了奥巴马政府领导下的司法部的建议。更多消息,大家可以关注本次专辑……

  红帽(Red Hat)换新 logo 了,这是近 20 年红帽品牌的首次重大更新。红帽一家知名的开源解决方案供应商,在去年以 340 亿美元的价格被 IBM 收购。新的 logo 设计仍然是一顶红帽子,但去掉了原有的 “影子家伙“,看起来像是少了一张脸。


  设计所处时代的关系,旧 logo 观感像 20 世纪 90 年代末的剪贴画,它包括这些要素:设计过于详细;很依赖白色空间;缺乏大写;字体粗细不同;不能很好地扩展。

  2017 年初的时候红帽意识到旧logo在数字格式中表现不佳(特别是在小型智能手机的展示),需要一个解决方案。因此,红帽官方对不了解红帽的客户进行了调查,却意外得知 logo中的“影子家伙”会影响客户的品牌信任度——他们想知道这个潜伏在阴影中戴着帽子的家伙是谁,是不是在偷偷摸摸做着什么。

  在这之后,红帽开始对logo进行重新设计。对比旧版,红帽新发布的 logo 少了戴帽子的家伙,确保客户第一印象就是红帽,而不会是 “戴着帽子的家伙”。此外,logo 上帽子有了更加明亮和激情的红色,文字部分也有了更为准确的大小写标识及字体粗细。

  对此,红帽公司的执行副总裁兼首席营销官 Tim Yeaton 解释,新的 logo 反映了红帽的发展,从一个带着基于 Linux 操作系统的盒装副本(以及马克杯和 T 恤)“潜入”数据中心的新手,到现在世界领先的开源解决方案提供商。他表示:“这次,我们真正地走出了阴影。”更多消息,请大家关注本次专辑……

  Chromium 版 Edge 用户在浏览器中打开 Google Docs 时,会收到一封“不受支持的浏览器”通知。该通知显示在网址栏下方的一小条弹窗内,具体内容为“您正在使用的浏览器版本不再受支持,请切换到受支持的浏览器”。


  其中,“受支持的浏览器”字样链接到 Google Docs 的帮助页面,Chrome、Firefox、Safari、Internet Explorer 和 Microsoft Edge 等浏览器均被列举为“受支持”,Chromium 版 Edge 则不在此列。

  类似事件并非第一次发生。仅仅几天前,谷歌的另一项服务 Google Meet 突然停止了对 Microsoft Edge 的支持。事情发生后,谷歌发布了一份声明,称该问题是由 Edge 使用新的用户代理字符串引起的,并且新字符串不在服务白名单中。

  Google会将Edge的用户代理添加到白名单,以确保Edge用户可以正常使用该服务。外媒记者 Tom Warren 起初发现 Google Docs 不兼容新版 Edge 这一事实,截图发布在推特上,随后引来大量讨论。

  有网友在评论中@firefox,配图表情包:“First time?”(这种事情还是第一次发生吗?)更多内容,请关注吧本次专辑……



  Apache 基金会(ASF)宣布将 Git 服务迁移到 GitHub,完成了项目基础设施支持的扩展。Apache 软件基金会是最大的开源软件基金会,它的志愿者社区管理着 2 亿多行代码。


  这些 Apache 项目最初通过 ASF Infrastructure 提供了两种版本控制服务:Apache Subversion 和 Git。多年来,越来越多的项目和社区想要在 GitHub 上看到项目源代码。 而这些项目仅仅是只读镜像,使用 GitHub 工具的能力有限。

  2016 年,基金会决定开始与 GitHub 进行整合。在巩固整合之后,Apache 基金会决定将所有 Git 项目迁移到 GitHub。2019 年 2 月,GitHub 整合完成,Apache 基金会开始使用单一的平台托管和评估代码、协作项目和构建软件,终止了自己的 Git 服务。

  官方表示已和 GitHub 管理层达成合作,共同探索项目茁壮成长的实现方法,以及将来可能实现的目标。更多内容,请大家关注本次专辑……
  
  漫威宇宙其实也就讲了一件事。整个宇宙就好比Git项目,其中有一群叫做美国队长,钢铁侠,惊奇队长,浩克,索尔等人在维护这个项目,兢兢业业的修理bug。某一天出现了一个天才程序员,叫灭霸,也在这个项目中开发。

  他意识到,这个项目已经很庞大了,光是编译都要几个小时,运行起来负重累累,而服务器资源就这么有限,老板又不给买机器,如果一直继续这么开发下去,这个项目迟早要出现网P0事故的,于是下定决定要把这个项目用面向对象,提取重复代码,业务拆分,算法优化等手段,彻底优化,目标是代码量减少50%。

  美国队长的项目组叫复仇者联盟,发现了灭霸程序员的想法后,阻止并警告灭霸说,:不要轻易去改老代码!!,很容易出bug的,代码能跑就行!!!然而,这名叫灭霸的程序员兢兢业业,取得了公司5为大股东的支持,带领团队996加班一个月,代码量减少50%,项目运行起来身轻如燕。

  因为代码量减少了很多,万恶的资本主义也开始了大裁员,星爵项目组,蜘蛛侠,猩红女巫,就连拥有博士学位的奇异博士也被裁员了。大裁员之后,美国队长为首的项目组,强忍悲伤,面对生活,继续开发修理bug,但是像雷神索尔,因为不满意公司的做法,开始磨洋工,上班就打游戏喝饮料,等着被公司裁拿补偿金。

  有一天一个叫蚁人的码农,找到了美国队长说,回退是不可能回退的了,但是我们可以把以前的老代码重新merge到master上来呀。美国队长作为项目组的组长,想到以前的同事失业内心很愧疚,于是偷偷摸摸兵分五路请5位大股东喝酒吃饭,威逼利诱,拿到了现网服务器账号!更多内容请关注本次专辑……

  笔者今日在浏览 Stack Overflow 的时候,看到有开发者发表了一个这样的问题 —— “What is the incentive for curl to release the library for free?”,大意是想知道 curl 作者为什么会选择将其开源并且免费提供。


  cURL 是一个利用 URL 语法在命令行下工作的数据传输工具,于1998年首次发布,支持 DICT、FILE、FTP、FTPS、Gopher、HTTP、HTTPS、IMAP、IMAPS、LDAP、LDAPS、POP3、POP3S、RTMP、RTSP、SCP、SFTP、SMB、SMBS、SMTP、SMTPS、Telnet 和 TFTP。cURL 的原作者是 Daniel Stenberg (目前是 cURL 的核心开发者),同时也是 IETF HTTPbis 工作组的资深成员。

  这名开发者表示最近开始在自己的 VC++ 项目中使用 libcurl,并且了解到 curl 和 libcurl 不但开源,而且完全免费。他好奇作者这样做纯粹是为了帮助开发者吗?

  没想到 curl 作者本尊 Daniel Stenberg 亲自现身回答,他详细解答了这位开发者的疑问。以下内容编译自 Daniel 在问题下的回答。

  Daniel 在 1998 年创建了 curl 项目,他编写了最初的 curl 版本,并创建了 libcurl 库。到目前为止,代码仓库包括的 24000 次 commit 有超过一半是 Daniel 本人提交的,他依然是项目的核心开发者。Daniel 表示已将 curl 视为自己的孩子。

  Daniel 在完成 curl 的第一版开发后就将其开源了,和许多开源作者一样,Daniel 表示之所以选择开源 curl,是因为他使用过很多开源软件,并从中获益甚多,而回馈开源世界的最好方式当然就是「开源」,而且他也想跟其他开源作者一样 cool。更多相关内容,大家可以关注本次专辑……


  Fedora 是一个由 Red Hat 赞助、Fedora 项目社区支持的独立 Linux 发行版。其提供了开箱即用的用户体验,默认搭载 GNOME 桌面环境。在 Fedora 29 发布的约六个月后,该项目发布了 Fedora 30 版。尽管间隔不长,但在过去的半年中,Fedora 发生了很多变化。


  Fedora 拥有诸多版本(Editions),分别契合不同的特定应用场景。这一概念起始于 Fedora 21 版本,社区的需求在此后一直不断变化。在 Fedora 30 中,Fedora Server 版本针对云及服务器的应用场景。

  关注于容器的 Fedora Atomic Host 版本由 Fedora CoreOS 替代。Fedora Workstation 版本仍旧致力于带来最新的开源的桌面工具。除了这些 editions 之外,Fedora 项目还通过 Spins(提供替代的桌面环境)和 Labs(特定领域的软件集合)覆盖了更多的不同需求或应用场景,其中也包含适用于 IoT 场景的版本。

  Feodra 也未曾忘记对其它架构的支持——在常用指令集架构之外,Fedora 还支持 ARM AArch64、Power 及 S390x。更多相关内容,请大家关注本次专辑……

  OpenAI 发布了深度神经网络 MuseNet,使用者可以用 10 种不同的乐器,结合乡村、莫札特或 Lady Gaga 等音乐风格,制作长度四分钟的音乐作品。不过,OpenAI 并没有教 MuseNet 乐理或是编曲理论,而是让人工智能从几十万个 MIDI 档案中学习,探索合声、节奏和风格等乐曲的元素。

  MuseNet 使用的是与 GPT-2 相同的通用无监督技术,这是一种大规模的 Transformer 模型,训练之后可用来预测乐曲中后面的音符。OpenAI 还从不同来源收集了多种音频资料,作为 MuseNet 的训练数据,其中包括 ClassicalArchives 和 BitMidi 的网站文件、MAESTRO 数据集,还有网络上的流行、非洲、印度和阿拉伯风格的音乐文件。

  为标记时间推移,OpenAI 进行了各种试验,最终找到了一种有表现力且简洁的编码方式,可以将音调、音量和乐器等信息组合成单一的 token。更多内容,请关注本次专辑……
 
  Facebook 正在进行 C++ 代码即时编译,将其视为运行快速的脚本语言。引用 phoronix 网站的消息,Facebook 工程师在本月的布鲁塞尔 EuroLLVM 会议上简要介绍了这项工作。


  多年来,Facebook 在 HHVM 上的工作都致力于各种编程语言创新,此前他们在使用超快速 C/C++ 预处理器进行其它开源语言相关的工作时,系统运行很慢,现在最新工作是直接支持 JIT C++ 代码,将其视为脚本语言,速度得到了巨幅提升。

  具体来看,Facebook 目前已经在生产中使用 JIT 过的 C++ 代码作为他们自己的“高效脚本框架”,用于在其 L7 反向代理中处理 HTTP 请求处理逻辑。

  如前边的图片所示,“Handling all Facebook requests with JITed C++ code”,所有 HTTP 请求都使用 JIT 过的 C++ 处理,C++ 脚本在运行时编译、链接与执行,并由 LLVM/Clang 构建。与其它脚本语言相比,这提供了更好的调试、性能分析和最终的运行时性能。

  Facebook 工程师表示,JIT C++ 语言需要依赖于预编译的头文件和其它更改,以适应其工作流程与相应要求,新的 JIT C++ 脚本框架比以前使用的另一种脚本语言快 4 倍。但其同时也表示,这会在一定程度上增加初始化启动时间。更多内容,请关注本次专辑……


  由于 Mozilla 公司忘记更新用于签署 Firefox 插件的安全证书,当证书过期,导致新的插件下载安装失败,并阻止现有的插件正常工作。Mozilla 现在宣布他们推出了一个修复程序,并表示:


  我们的团队已经确定并推出了针对 Release、Beta 和 Nightly 的所有 Firefox 浏览器桌面用户的修复程序。修复程序将在接下来的几个小时内自动应用于后台。不需要采取任何有效步骤来使插件再次起作用。

  大多数用户不需要采取任何行动,但如果你已禁用 Studies,这是 Mozilla 用于对新功能进行 A/B 测试的功能,则需要重新启用它。Firefox 用户可以通过访问以下内容来检查他们是否启用了 Studies:

  Firefox 选项/首选项 - >隐私和安全 - >允许 Firefox 安装和运行 Studies(向下滚动以查找设置)重新启用加载项后,可以再次禁用 Studies。

  该修复程序正在逐步推出。要检查你是否有修复,可以在位置栏中输入“about:studies”。如果修复程序处于活动状态,你将看到“hotfix-update-xpi-signing-intermediate-bug-1548973” 或者 “hotfix-reset-xpi-verification-timestamp-1548973”。具体情况,请大家关注本次专辑……

  微软在宣布基于 Chromium 内核的新版 Edge 浏览器时,曾承诺过会将 Edge 浏览器引入 macOS 平台,并支持 Windows 7 和 Windows 8 系列。适用于 Windows 10 的预览版早已推出,不过也仅是支持 Windows 10 系统。


  最近有消息显示,微软可能会计划首先在 macOS 上提供 Chromium 版 Edge 浏览器,然后再登陆 Windows 7 及其后续版本。外媒 WindowsUnited 人员在 Windows Server 2016 上安装了新的 Microsoft Edge 浏览器,不过打开浏览器时会弹出以下消息:

  意思即是暂不支持该平台,仅支持 Windows 10 1709 及更高版本,和 macOS 10.12 以上的版本。

  虽然微软表示已支持macOS 10.12,但EdgeInsider页面还没有确认。不过这也意味着微软可能会考虑首先在 macOS 上提供新版 Edge 浏览器——比Windows 7更早,毕竟Windows 7即将结束支持。更多内容,请关注本次专辑……

  距 Ubuntu 14.04 LTS 的首次发布日即将过去 5 年,它将于 2019 年 4 月 30 日结束生命周期。生命周期终止状态标志着所有支持的终结。对于桌面或服务器用户,Ubuntu 14.04 LTS 不会再有进一步的安全更新、软件包更新或维护更新。


  自 2012 年以来,Ubuntu 的每个长期支持版本(LTS)都得到了 5 年的持续支持,包括安全补丁和关键修复支持。5年过去,Ubuntu 14.04 LTS 即将停止支持,但这并不意味着它完全无法运转,操作系统本身将继续工作,第三方存储库甚至可以继续提供包(尽管很少)。

  Canonical 官方表示,不想立即升级到更新版本的 Ubuntu 企业用户可以选择通过 Ubuntu Advantage 注册 Ubuntu 14.04 ESM(扩展安全维护)。“ESM 是一种付费的临时解决方案,旨在为那些管理 14.04 上必需的基础设施的人提供更多时间来规划升级到更新的路由,例如 Ubuntu 18.04 LTS 版本”。

  当然,Ubuntu 14.04 上推荐的路线是升级到 Ubuntu 16.04 LTS,后者将继续获得支持至 2021 年 4 月。更多详细内容,请大家关注本次专辑……



  NetMarketShare 最新统计的数据显示,“浏览器一哥” Chrome 的市场份额出现了罕见的下滑 —— 当然仍是稳坐第一名的位置。


  与上个月的统计结果相比,Chrome 的市场份额已从 67.88% 降至 65.64%,虽然下降得不多,仅跌了 2.24%,但这毕竟是比较罕见的情况。为此,大家忍不住猜测这是否与微软最近推出的新版 Edge 有关,Microsoft Edge 同样基于 Chromium 内核,并且界面和 Chrome 别无二致。

  而据微软的说法,新版 Edge 不仅仅支持 Windows 10,还支持 Windows 7、8 和 macOS。目前 Edge 尚未推出正式版本,也还没在其他平台上发布。照目前的情况来看,相信这一刻到来时,Edge 对 Chrome 的市场份额将会有更大的影响,而浏览器市场的战斗将会进入一个新的阶段。

  再看回浏览器市场份额排名,排名第二和第三的依旧分别是 Firefox 和 Internet Explorer。另外,由趋势图可以看到,和上个月相比,IE、Edge 和 Firefox 均呈现了上升的趋势。更多内容,请关注本次专辑……

  4月25日,Docker Hub 发现一个数据库遭遇未经授权访问(官方原话是 unauthorized access),发现问题后他们立即采取干预措施来确保网站安全。官方表示在短暂的数据库未经授权访问期间,大约 19 万个账号的敏感数据已被泄露(大约是总用户数的 5%),这些数据包括部分用户的用户名、哈希密码,以及用于自动构建 Docker 镜像的 GitHub 和 Bitbucket Token。


  解决方案:Docker 发现问题后立即向用户告知了这一消息,并通知用户重置密码(包括使用其他使用相同用户名和密码的平台)。

  此外,对于使用了自动构建服务并可能受影响的用户,Docker 已撤销他们的 GitHub token 和访问密钥,并提醒他们重新连接到存储库,然后检查安全和登录日志以查看是否发生了任何异常操作,例如是否存在通过未知的 IP 地址进行任何未经授权的访问。

  最新回应:今天,Docker Hub 在其官网正式回应了这一事件,表示泄露的数据来自用户的非财务性数据子集(a subset of non-financial user data)。目前正在加强整体安全流程和审核安全策略,除此之外还增加了额外的监测工具。更多相关内容,请关注本次专辑……

  近日,Synopsys 公司的黑鸭软件(Black Duck Software)发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。


  对当今的企业来说,开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因,其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

  在黑鸭审查的所有代码库中,有 96% 包含了开源组件,而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中,开源代码的采用率高达 99%。

  开源代码有着它的安全优势,但也存在着安全漏洞未修补的隐患,开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中,至少包含一个漏洞的代码库占 60% ,这个数字比 2017 年统计的结果 78% 有所下降。

  黑鸭认为,发现的漏洞有 40% 都是关键级的。“事实上,开源并不总是更安全。”报告指出,无论项目源码是专有的还是开源的,都可能因为漏洞的存在,安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

  报告中发现漏洞的平均“年龄”为 6.6 岁。其中,最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞,在 28 年前被披露。报告结果显示,有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处,也没有对组件目录进行系统管理,这些软件没有打新的补丁,更容易被攻击。



  据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。


  此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

  QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

  NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。

  更多本周开源资讯,本次专辑将为您一一呈现……

谷歌侵权甲骨文Java版权案难裁决,已征求特朗普政府意见

  谷歌和甲骨文两家科技巨头在过去十几年里一直存在竞争,但真正结下过节还是源于甲骨文对谷歌的诉讼。根据甲骨文的说法,谷歌的 Android 操作系统未经许可使用 Java 相关技术是对甲骨文版权和专利的侵犯(非法使用了 37 个 Java API 用于 Android 操作系统)。甲骨文最初于 2010 年起诉谷歌,一度在该案中寻求来自谷歌高达 90 亿美元的侵权损害赔偿。

“不要脸”?红帽20年来首次修改logo

  红帽(Red Hat)换新 logo 了,这是近 20 年红帽品牌的首次重大更新。红帽一家知名的开源解决方案供应商,在去年以 340 亿美元的价格被 IBM 收购。新的 logo 设计仍然是一顶红帽子,但去掉了原有的 “影子家伙“,看起来像是少了一张脸。

Google Docs不再支持新版Edge,谷歌霸权作祟?

  Chromium 版 Edge 用户在浏览器中打开 Google Docs 时,会收到一封“不受支持的浏览器”通知。该通知显示在网址栏下方的一小条弹窗内,具体内容为“您正在使用的浏览器版本不再受支持,请切换到受支持的浏览器”。


Apache基金会宣布项目迁移到GitHub


  Apache 软件基金会是最大的开源软件基金会,它的志愿者社区管理着 2 亿多行代码。这些 Apache 项目最初通过 ASF Infrastructure 提供了两种版本控制服务:Apache Subversion 和 Git。多年来,越来越多的项目和社区想要在 GitHub 上看到项目源代码。 而这些项目仅仅是只读镜像,使用 GitHub 工具的能力有限。

漫威电影和程序员、Git到底有什么关系?

  漫威宇宙其实也就讲了一件事。整个宇宙就好比Git项目,其中有一群叫做美国队长,钢铁侠,惊奇队长,浩克,索尔等人在维护这个项目,兢兢业业的修理bug。某一天出现了一个天才程序员,叫灭霸,也在这个项目中开发,他意识到,这个项目已经很庞大了,光是编译都要几个小时,运行起来负重累累,而服务器资源就这么有限,老板又不给买机器,如果一直继续这么开发下去,这个项目迟早要出现网P0事故的,于是下定决定要把这个项目用面向对象,提取重复代码,业务拆分,算法优化等手段,彻底优化,目标是代码量减少50%。

为什么开源?curl作者:让世界变得更美好

  笔者今日在浏览 Stack Overflow 的时候,看到有开发者发表了一个这样的问题 —— “What is the incentive for curl to release the library for free?”,大意是想知道 curl 作者为什么会选择将其开源并且免费提供。

Fedora 30正式发布

  Fedora 是一个由 Red Hat 赞助、Fedora 项目社区支持的独立 Linux 发行版。其提供了开箱即用的用户体验,默认搭载 GNOME 桌面环境。在 Fedora 29 发布的约六个月后,该项目发布了 Fedora 30 版。尽管间隔不长,但在过去的半年中,Fedora 发生了很多变化。

AI也能作曲!OpenAI发布音乐生成神经网络MuseNet


  OpenAI 发布了深度神经网络 MuseNet,使用者可以用 10 种不同的乐器,结合乡村、莫札特或 Lady Gaga 等音乐风格,制作长度四分钟的音乐作品。不过,OpenAI 并没有教 MuseNet 乐理或是编曲理论,而是让人工智能从几十万个 MIDI 档案中学习,探索合声、节奏和风格等乐曲的元素。

预处理太慢,Facebook现在直接JIT C++代码

  Facebook 正在进行 C++ 代码即时编译,将其视为运行快速的脚本语言。引用 phoronix 网站的消息,Facebook 工程师在本月的布鲁塞尔 EuroLLVM 会议上简要介绍了这项工作。

Firefox已发布“插件失效”证书修复补丁

  由于 Mozilla 公司忘记更新用于签署 Firefox 插件的安全证书,当证书过期,导致新的插件下载安装失败,并阻止现有的插件正常工作。大多数用户不需要采取任何行动,但如果你已禁用 Studies,这是 Mozilla 用于对新功能进行 A/B 测试的功能,则需要重新启用它。

新版Edge新动向:自家的Win7要比macOS更晚用上

  微软在宣布基于 Chromium 内核的新版 Edge 浏览器时,曾承诺过会将 Edge 浏览器引入 macOS 平台,并支持 Windows 7 和 Windows 8 系列。适用于 Windows 10 的预览版早已推出,不过也仅是支持 Windows 10 系统。

Ubuntu 14.04将于4月30日结束生命周期

  距 Ubuntu 14.04 LTS 的首次发布日即将过去 5 年,它将于 2019 年 4 月 30 日结束生命周期。生命周期终止状态标志着所有支持的终结。对于桌面或服务器用户,Ubuntu 14.04 LTS 不会再有进一步的安全更新、软件包更新或维护更新。

Chrome市场份额罕见下滑,喜新厌旧还是弃暗投明?

  NetMarketShare 最新统计的数据显示,“浏览器一哥” Chrome 的市场份额出现了罕见的下滑 —— 当然仍是稳坐第一名的位置。与上个月的统计结果相比,Chrome 的市场份额已从 67.88% 降至 65.64%,虽然下降得不多,仅跌了 2.24%,但这毕竟是比较罕见的情况。

Docker Hub回应数据泄露事件

  4月25日,Docker Hub 发现一个数据库遭遇未经授权访问(官方原话是 unauthorized access),发现问题后他们立即采取干预措施来确保网站安全。官方表示在短暂的数据库未经授权访问期间,大约 19 万个账号的敏感数据已被泄露(大约是总用户数的 5%),这些数据包括部分用户的用户名、哈希密码,以及用于自动构建 Docker 镜像的 GitHub 和 Bitbucket Token。

60%的企业代码库包含开源漏洞

  近日,Synopsys 公司的黑鸭软件(Black Duck Software)发布了开源安全与风险分析(OSSRA)年度报告,报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说,开源软件、库和组件往往起着重要的作用。

高通近40款芯片被曝出泄密漏洞!波及数十亿部手机

  据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。

酷毙

雷人

鲜花

鸡蛋

漂亮
  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部