Canonical 和 Ubuntu 创始人 Mark Shuttleworth 在近日接受的一个采访中,分享了他对 Linux 在桌面领域的看法。当主持人向 Mark 问到是否对 Linux 桌面的未来抱有希望时,Mark 认为有很大的希望,但毕竟 Linux 的使用者是一群十分专业的使用者,他们不太喜欢整齐一致的东西……话不多说,下面就是小编为大家准备的开源资讯回顾,还是希望能给大家带来新的收获,这周的开源业界不论是国内还是国外,都有很“有料”的开源资讯值得大家关注!
最新报道说,特朗普政府把华为公司列入“实体名单”后,Alphabet 旗下的子公司谷歌已经停止与华为公司的商业往来。据路透社的报导,这些商业往来包括需要转移硬件、软件和技术服务的业务(因开源许可而公开可用的服务除外)。Fedora 有每隔两年在 Reddit 上做 AMA(Ask Me Anything)的问答互动活动传统,已经担任项目领导人近 5 年的 Matthew Miller 最近照例在该论坛上邀请使用者提问 Fedora 相关问题。其中有人问到“Fedora 面临的三大挑战是什么?”美国对华为采取的一系列限制措施仍在继续,事件正在疯狂发酵。在这件事情上,最为国人关注的一个点是“核心技术掌握在别人手里,如果别人不再开放,那一切都将灰飞烟灭”,今天谷歌限制华为使用 Android 的消息正加深了这一种担忧。针对近日闹得沸沸扬扬的 Apache 软件基金会项目是否受美国出口法律约束一事,Apache 软件基金会发表了《Apache 软件基金会关于非美国子公司已添加到美国联邦登记公告实体清单裁决中的声明》一文。在特朗普政府将华为公司列入“黑名单”几天后,谷歌发言人在接受路透社采访时表示中断与华为的商业往来,限制华为使用 Android 操作系统。根据今天上午路透社的报导,谷歌中断的商业往来包括需要转移硬件、软件和技术服务的业务,华为将立即失去获得 Android 系统更新的能力,只可以使用 Android 开放源代码源项目(AOSP),无法访问来自谷歌的专有应用程序和服务。5月20日下午消息,针对谷歌暂停支持华为部分业务,华为方面发表声明称,安卓作为智能手机操作系统,一直是开源的,华为作为重要的参与者,为安卓的发展和壮大做出了非常重要的贡献。华为有能力继续发展和使用安卓生态。随着 Linux 内核越来越广泛地被使用,它也逐渐受到更多 CVE 安全漏洞(尤其是严重性较高的漏洞)的影响。为了能更及时地给内核安装补丁更新,现在有更多的 Ubuntu 开发者拥有上传新内核以进行升级的权限,详细内容请关注本次专辑……
本周不少的开源项目也有了最新的进展,我们挑一些热点和大家先做下分享。根据定期抓取流行网站网页的 HTTPArchive 的统计,平均一个网页需要 350KB 的 JavaScript 代码,有十分之一的网页包含了 1MB 大小的 JS 代码。浏览器的 JS 引擎在传输完成之后需要检查代码的语法错误并进行编译,1 MB 的 JS 文件在高端移动设备上需要花费 100 毫秒的时间,在普通手机上需要花超过一秒钟时间。本周某媒体发布的一篇文章《开源界也要注意,Apache 基金会与 GitHub 都受美国法律约束》引发了开源届乃至整个 IT 行业的热烈讨论,其中有个别声音认为文章的说法有误,甚至制造了恐慌。微软负责 .NET 的项目经理 Phillip 在博客宣布,他们已经将 F# 的 GitHub repo 从 microsoft/visualfsharp 迁移到 dotnet/fsharp,并按 corresponding RFC 中的规范来操作。事实上,F# 的名字和品牌本身就有一段奇怪的历史。据 OpenJDK 开发团队在邮件列表中的记录,有开发者反馈了一个这样的问题:可以看到,在构建这两个分别为 OpenJDK 8 和 OpenJDK 11 的版本时,均出现了问题。仔细观察内部版本号,这些 JDK 版本显示的发布时间均比实际发布时间要早。WPF(Windows Presentation Foundation) 是微软推出的用于构建桌面客户端应用程序的 UI 框架,具有应用程序模型、控件、图形、布局、数据绑定和安全性等功能,属于 .NET Framework 3.0 的一部分。它提供了统一的编程模型、语言和框架,真正做到了分离界面设计人员与开发人员的工作;同时它提供了全新的多媒体交互用户图形界面。今天,CNCF(Cloud Native Computing Foundation,云原生计算基金会)技术监督委员会(TOC)宣布已经投票决议通过,正式将 TiKV 从沙箱项目晋级至孵化项目。TiKV 是一个开源的分布式事务 Key-Value 数据库,支持跨行 ACID 事务,同时实现了自动水平伸缩、数据强一致性、跨数据中心高可用和云原生等重要特性,最初由 PingCAP 团队在 2016 年作为 TiDB 的底层存储引擎设计并开发,于 2018 年 8 月被 CNCF 宣布接纳为 CNCF 沙箱云原生项目。上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。据 phoronix 的报道,在 Linux Kernel 5.2 版本中,其用于内存管理的 vmalloc 函数具有更快的执行速度,特别是在嵌入式设备上。vmalloc 用于在虚拟地址空间中分配连续内存,合并了代码的 Andrew Morton 说到:“新版本中 vmalloc 发生的改变为其带去了巨大的性能优势。”据了解,vmalloc 代码的主要变更集中在追踪用于分配的空闲块。更多内容,本次专辑我们一起来关注……
本周,对于如何高效的使用各类开源软件,业界不少大牛和爱用着都给出了自己的态度和做法。Apache 基金会发布公告,宣布 Apache Dubbo 从孵化器毕业,成为 Apache 基金会顶级项目。Apache Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。如今越来越多的人尝试使用基于 Linux 的操作系统,与此同时许多用户不喜欢使用 Windows 10。原本 Linux 社区在这样的环境中应该能茁壮成长,但现实感觉却与此相反。例如,Linux Mint 开发团队正经历动荡、Scientific Linux 停止开发。近日 Rancher 开源了一个可以在任何符合标准的 Kubernetes 集群上使用的 MicroPaaS 平台 Rio。Rio 由一些 Kubernetes 自定义资源和一个可选的 CLI 构成,用户可以轻松地将服务部署到 Kubernetes,自动获得持续交付、DNS、HTTPS、路由、监控、自动扩缩容、金丝雀部署与 Git 触发构建等功能。如果你不习惯使用最新版本的 Linux 内核,那么现在可能是考虑升级的好时机。基于早于 5.0.8 的内核版本的系统在通过 TCP 实现 RDS 时已经发现一个缺陷。如果没有打补丁,该漏洞可能会使攻击者破坏系统。开源软件到底受不受美国政府管制?会不会应美国政府的要求禁运?最近这个话题成了热点。遗憾的是,到现在中文文章里我没看到能把这个事情说清楚的文章,这让我非常惊讶。中国科技和互联网行业从开源软件中受益极大,也有无数直接和间接参与者,但是这些基本事实还是糊涂的,比较遗憾。当前 IT 公司为了争夺优秀的技术人才,提供的各种福利都很可观,除了极高的薪资,什么免费餐饮、健身房、衣服清洗、桌上足球、各种下午茶与外出团建应有尽有。但是作为开发者,在一个公司中最想要得到的是什么呢?在这忙碌的一周里,开源界有哪些新动向呢?IT巨头又有哪些开源新进展呢?各种开源软件出新版了么?又推出什么开源软件了么?我们还是来一起回顾下最近的开源动态吧! Canonical 和 Ubuntu 创始人 Mark Shuttleworth 在近日接受的一个采访中,分享了他对 Linux 在桌面领域的看法。当主持人向 Mark 问到是否对 Linux 桌面的未来抱有希望时,Mark 认为有很大的希望。
但毕竟 Linux 的使用者是一群十分专业的使用者,他们不太喜欢整齐一致的东西,而是热衷于打造满足自己内心喜爱的东西,所以厂商需要为开发者提供多种自由的选择,像支持 GNOME、Mate 和 KDE 等各种桌面环境,而这些桌面环境本身也都在不断发展,而且越来越成熟,深受用户的喜爱。 随即主持人又问到,在桌面领域 Linux 是否会有成功的机会。Mark 认为 Linux 有成功的机会,但如果要实现这一目标,也就意味着 Linux 将要适应更多用户的使用习惯,不过如果当真如此,Linux 可能就不是 Linux 了。他认为最大的问题是我们没有在 Linux 桌面中发明任何强大、深刻影响用户且超越时代的东西。 这里 Mark 提到了 Chrome OS,他认为 Chrome OS 将 Web 扩展为桌面非常有前瞻性 —— 这也是此前从未有过的产品。接着 Mark 又拿 Linux 举了例子:“如果在自由软件社区中我们只允许谈论已经存在的东西,这无疑是在把自己的工作定义为一系列的 fork 和加重生态的碎片化。”更多消息,大家可以关注本次专辑…… 最新报道说,特朗普政府把华为公司列入“实体名单”后,Alphabet 旗下的子公司谷歌已经停止与华为公司的商业往来。据路透社的报导,这些商业往来包括需要转移硬件、软件和技术服务的业务(因开源许可而公开可用的服务除外)。
由于无法获得 Android 操作系统的更新,以及华为的 Android 智能手机也无法使用谷歌公司的 Google Play Store、Gmail 和 YouTube 等应用。此举将会对华为在中国以外的智能手机业务产生重大影响。 因此,华为只可以使用开放源代码源项目(AOSP),而无法访问来自谷歌的专有应用程序和服务,在中国以外的市场将失去竞争力。虽然此前曾报道过华为确认存在备用操作系统 —— 这也是为应对不能使用来自谷歌和微软操作系统的情况。但考虑到美国对外国的干扰,华为的备用操作系统可能会面临更严格的审查。 特朗普政府周四将华为技术列入贸易黑名单,立即颁布了限制措施,因而这家公司与美国公司开展业务将极为困难。周五,美国商务部表示正在考虑收缩针对华为的限制,“防止现有网络运营和设备受到干扰。”周日还不是很清楚华为访问移动软件是否会受到影响。 美国政府黑名单对华为的伤害有多大目前不得而知,华为全球供应链在评估影响。芯片专家对华为在没有美国帮助的情况下继续运营的能力表示了怀疑。更多消息,请大家关注本次专辑…… Fedora 有每隔两年在 Reddit 上做 AMA(Ask Me Anything)的问答互动活动传统,已经担任项目领导人近 5 年的 Matthew Miller 最近照例在该论坛上邀请使用者提问 Fedora 相关问题。
其中有人问到“Fedora 面临的三大挑战是什么?”,Matthew 是这样回答的:我们的传统贡献者群体包括许多大学系统管理员和 IT 工作者。这些机构曾经拥有相当悠闲的环境,在这些环境中,可以很自由地大量参与与工作相关的开源项目。 但是如今,大学 IT 往往商业化,而且用于进行开源相关工作的空间也变得更小。这意味着现在我们的项目参与者往往是在自己的业余时间做贡献,或者他们是在 Red Hat 等公司资助的情况下提供贡献。 此外,我们有一点因为自己的成功反而成为受害者的感觉。因为 Linux 发行版总体上非常优雅但是很无聊,所以研发 Linux 发行版与研究 Kubernetes 或其它容器技术相比起来,已经不再那么炫酷。 文档问题需要帮助,目前 Fedora Docs team 其实已经解散了。这三点对于其它开源项目来说似乎也是不小的问题,你怎么看?更多内容,请关注吧本次专辑…… 美国对华为采取的一系列限制措施仍在继续,事件正在疯狂发酵。在这件事情上,最为国人关注的一个点是“核心技术掌握在别人手里,如果别人不再开放,那一切都将灰飞烟灭”,今天谷歌限制华为使用 Android 的消息正加深了这一种担忧。
有太多文章都讲到了这一点,其中不乏许多过度渲染,以制造情绪。过度制造恐慌这是我们所反对的,但是实际上,“技术自立”这个问题真的不容小觑。我们一直以为开源已经是无国界、完全不封闭的了,但是却发现 Apache 软件基金会这个全球最大的开源软件基金会官网上有这样的内容: 美国的出口法律和法规适用于我们的发行版,并且随着产品和技术再出口到不同的地方依旧保持有效。意思是除非经美国政府正式授权,否则 ASF 软件或技术不得直接或间接出口或再出口到受美国禁运或贸易制裁的任何地方。这自然包括中国。 危机重重,另一边,我们发现 GitHub 这个全球最大的开源代码托管平台官网上也赫然写着:GitHub.com、GitHub Enterprise Server 以及您上传到任一产品的信息可能受美国出口管制法律的约束,包括美国出口管理条例(EAR)。 该条款指出,GitHub Enterprise Server 不得出售、出口或再出口到清单中的国家,清单目前已经包含古巴、伊朗、朝鲜、苏丹与叙利亚,并且随时可能会发生变化。那几时突然再加进来一个中国呢? 大家都在说国家需要更多的“科技自立”公司,看样子是时候说一句:我们也需要更多“开源自立”。更多内容,请大家关注本次专辑…… 针对近日闹得沸沸扬扬的 Apache 软件基金会项目是否受美国出口法律约束一事,Apache 软件基金会发表了《Apache 软件基金会关于非美国子公司已添加到美国联邦登记公告实体清单裁决中的声明》一文。
文中指出,出口和再出口对实体清单上指定的各方的限制仅适用于受出口管理条例(EAR)约束的活动和交易。由美国商务部、工业和安全局(BIS)于 2016 年 9 月 20 日生效的开源公开可用加密软件源代码,被规定为是“公开可用”和“已发布”的,并且不受 EAR 约束。 涉及加密软件源代码的开源项目仍然需要向 BIS 和 NSA 发送 URL 通知,以满足 EAR§742.15(b) 中的“公开可用”通知要求。ASF(即 Apache 软件基金会)继续与 Apache 项目及其社区合作,以确保他们的通知是最新的,并在将来得到维护。 开源软件、开源代码协作、参与公开电话会议或私人会议以及提供赞助资金都是不受 EAR 约束的活动,因此不应对社区产生影响。更多内容请关注本次专辑…… 在特朗普政府将华为公司列入“黑名单”几天后,谷歌发言人在接受路透社采访时表示中断与华为的商业往来,限制华为使用 Android 操作系统。根据今天上午路透社的报导,谷歌中断的商业往来包括需要转移硬件、软件和技术服务的业务,华为将立即失去获得 Android 系统更新的能力,只可以使用 Android 开放源代码源项目(AOSP),无法访问来自谷歌的专有应用程序和服务。
但是,谷歌发言人表示,拥有谷歌应用程序的华为智能手机目前将可以继续使用和下载谷歌提供的应用程序更新:“对于我们服务的用户,Google Play Protect 的 Google Play 和安全等服务将继续在现有的华为设备上运行。” 中午 Android 推特帐号发布了一条动态(上图),正面回应了该事件:回应华为用户关于我们遵守美国政府近期行动的问题:我们向您保证,在我们遵守美国政府的所有要求的同时,Google Play Protect 的 Google Play 和安全等服务将继续在您现有的华为设备上运行。 这意味着华为用户仍然可以通过 Google Play Store 更新应用,并且可以随时下载新应用。此外,Gmail、Google 地图、搜索与 Google 智能助理等一些最重要的 Google 服务将继续在华为智能手机上运行。 Android 官方的这条推特同时也证实了谷歌遵循了美国政府在对华为问题上的要求,官方说的是“现有设备仍可使用一系列服务”,但是新设备又如何?是否真的限制华为使用 Android 操作系统?我们等待官方给出更加详细的说法。更多相关内容,大家可以关注本次专辑…… 5月20日下午消息,针对谷歌暂停支持华为部分业务,华为方面发表声明称,安卓作为智能手机操作系统,一直是开源的,华为作为重要的参与者,为安卓的发展和壮大做出了非常重要的贡献。华为有能力继续发展和使用安卓生态。
华为方面表示,华为和荣耀品牌的产品,包括智能手机和平板电脑,产品和服务在中国市场不受影响,请广大消费者放心使用和购买。未来华为仍将持续打造安全、可持续发展的全场景智慧生态,为用户提供更好的服务。 关于谷歌暂停支持华为部分业务的媒体声明(2019年5月20日)。以下为声明全文:安卓作为智能手机操作系统,一直是开源的,华为作为重要的参与者,为安卓的发展和壮大做出了非常重要的贡献。 华为有能力继续发展和使用安卓生态。华为和荣耀品牌的产品,包括智能手机和平板电脑,产品和服务在中国市场不受影响,请广大消费者放心使用和购买。未来华为仍将持续打造安全、可持续发展的全场景智慧生态,为用户提供更好的服务。更多相关内容,请大家关注本次专辑…… 随着 Linux 内核越来越广泛地被使用,它也逐渐受到更多 CVE 安全漏洞(尤其是严重性较高的漏洞)的影响。为了能更及时地给内核安装补丁更新,现在有更多的 Ubuntu 开发者拥有上传新内核以进行升级的权限。
据邮件列表公布的消息,Ubuntu 的内核上传团队(the Kernel Uploaders Team)已批准将 Tyler Hicks(Ubuntu 内核工程师)、Juerg Haefliger(在稳定版内核组担任过开发工作,熟悉 CVE 漏洞) 和 Khalid Elmously(现有内核团队成员)添加到内核上传团队。 Ubuntu 内核上传团队是 Ubuntu 开发团队中的一个小群组,拥有将内核包直接上传到包存档中的权限。 更多内容,请关注本次专辑…… 根据定期抓取流行网站网页的 HTTPArchive 的统计,平均一个网页需要 350KB 的 JavaScript 代码,有十分之一的网页包含了 1MB 大小的 JS 代码。浏览器的 JS 引擎在传输完成之后需要检查代码的语法错误并进行编译,1 MB 的 JS 文件在高端移动设备上需要花费 100 毫秒的时间,在普通手机上需要花超过一秒钟时间。
针对上述情况,主要浏览器开发商已经提出了加快 JS 解析的方案,例如 WebAssembly,但并不容易实现。因此 Mozilla、Cloudflare 和 Facebook 等提出了另一个更方便的方案 —— BinaryAST,旨在保留 JavaScript 原始语义的情况下加快解析。 Mozilla 和 CloudFlare 的测试发现,它能将加载时间减少 4% 到 13%,如果能跳过未使用的函数,它可以将加载时间减少最多 98%。Firefox Nightly 版本是首个支持该二进制格式的浏览器,而 Cloudflare 是首个提供必要的云托管 JS 引擎的 CDN 服务商。 根据定期抓取流行网站网页的 HTTPArchive 的统计,平均一个网页需要 350KB 的 JavaScript 代码,有十分之一的网页包含了 1MB 大小的 JS 代码。浏览器的 JS 引擎在传输完成之后需要检查代码的语法错误并进行编译,1 MB 的 JS 文件在高端移动设备上需要花费 100 毫秒的时间,在普通手机上需要花超过一秒钟时间。 针对上述情况,主要浏览器开发商已经提出了加快 JS 解析的方案,例如 WebAssembly,但并不容易实现。因此 Mozilla、Cloudflare 和 Facebook 等提出了另一个更方便的方案 —— BinaryAST,旨在保留 JavaScript 原始语义的情况下加快解析。更多内容,请关注本次专辑…… 有开源媒体本周发布的一篇文章《开源界也要注意,Apache 基金会与 GitHub 都受美国法律约束》引发了开源届乃至整个 IT 行业的热烈讨论,其中有个别声音认为文章的说法有误,甚至制造了恐慌。
文中该媒体引用了两处内容,分别是 Apache 软件基金会与 GitHub 官网上关于相关产品与服务是否受美国出口法律约束的表述,其中大家似乎都明确了 GitHub Enterprise Server 会受到约束,而 Apache 部分则见解不同,并且这也是他人认为我们制造恐慌的焦点。 恰恰相反,过度渲染以制造恐慌是我们所反对的,开源中国的本意是希望借由昨天谷歌和华为的事件来提醒各位注意:在贸易战的背景下,美国出口法律对开源造成的风险。开源中国创始人红薯表示这锅咱们不背,他认为大家误解我们了,而这误解可能来自于 ASF 官网上本身描述得不够明确。 我们一直以为开源是无国界、完全不封闭的,但是却发现 Apache 软件基金会(下用 ASF)这个全球最大的开源软件基金会官网上有这样的内容:下面这段摘录自图片中 ASF 项目(ASF Products)关于出口说明的文字正是我们昨天发表那篇文章的根本原因。 美国的出口法律和法规适用于我们的分发,并且随着产品和技术再出口到不同的地方依旧保持有效。我们对这句话的理解是,除非经美国政府正式授权,否则 ASF 软件或技术不得直接或间接出口或再出口到受美国禁运或贸易制裁的任何地方。 经过与同行各位专家探讨,我们回看原文确实觉得,上边这句话表达的含义其实模棱两可,充满了不确定性。具体情况,请大家关注本次专辑…… 微软负责 .NET 的项目经理 Phillip 在博客宣布,他们已经将 F# 的 GitHub repo 从 microsoft/visualfsharp 迁移到 dotnet/fsharp,并按 corresponding RFC 中的规范来操作。 事实上,F# 的名字和品牌本身就有一段奇怪的历史。将时钟拨会 2015 年,当时 F# 有两个身份:一个是 Visual F#(或叫做 “VisualFSharp”),属于 Visual Studio 中的产品,包含可在 Windows 上使用的编译器和工具;另一个是 F#(或叫做 FSharp),这是一门独立的语言,可以独立于微软构建 F# 工具、库生态系统和软件包。
这种“双重性”的身份十分令人困惑 —— 如果你使用术语 F#,是希望表达何种含义?微软打造的工具还是其他东西?因此,F# 的创始人 Don Syme 在他的博客文章中写了一篇关于术语 “F#” 和 “Visual F#” 的公开信。 他建议的区分方法很简单:如果使用微软的 F#(即在 Windows 上通过 Visual Studio 使用),它就叫做 Visual F#;否则,就被叫做 F#。很简单是吧?但结果你可能已经猜到了,这些年来事情变得更加复杂...... 不过随着时间的推移,.NET Core 已经成为 F# 和整个 .NET 平台未来的核心。默认情况下,F# 也会安装在 Visual Studio 中,因为它是作为 .NET Core SDK 的一部分安装的。与此同时,许多 F# 社区已经接受了 .NET Core,移植了现有的库并创建了新的库以供 .NET Core 使用。更多内容,请关注本次专辑…… 据 OpenJDK 开发团队在邮件列表中的记录,有开发者反馈了一个这样的问题:可以看到,在构建这两个分别为 OpenJDK 8 和 OpenJDK 11 的版本时,均出现了问题。仔细观察内部版本号,这些 JDK 版本显示的发布时间均比实际发布时间要早。
这会导致什么问题呢?任何运行 OpenJDK 8 和 11 官方 Docker 镜像(https://hub.docker.com/_/openjdk)的人都可能以为他们正在运行 8u212 或 11.0.3,但事实上他们运行的可能只是一个临时的正在开发中的版本。 可能会有未修复的 bug 和未解决的 CVE 安全漏洞。对于导致出现这种版本号混乱情况的原因,大部分人认为这和 OpenJDK 团队没什么关系,更多是因为 Docker 团队或维护此 repo 的一方没有正确发布版本而导致的。 也有人认为这似乎与 Debian 有关,因为这些示例都附带了 Debian 版本字符串,并且它们可能是从版本控制存储库中的标记构建的。但不管如何,最终还是用户吃亏。 因为 OpenJDK 容器基于发行版容器,并为不同的发行版(debian,alpine,windows,slim debian,old debian version 等)发布多个版本。然后,用户将其容器置于 OpenJDK 容器之上,并将其包依赖项添加到其 docker 文件中。更多详细内容,请大家关注本次专辑…… WPF(Windows Presentation Foundation) 是微软推出的用于构建桌面客户端应用程序的 UI 框架,具有应用程序模型、控件、图形、布局、数据绑定和安全性等功能,属于 .NET Framework 3.0 的一部分。
它提供了统一的编程模型、语言和框架,真正做到了分离界面设计人员与开发人员的工作;同时它提供了全新的多媒体交互用户图形界面。WPF 的核心是一个利用现代图形硬件的渲染引擎。 在去年的 Microsoft Connect(); 开发者大会上,微软宣布开源三种主要的 Windows UX 技术,其中就包括了 Windows Presentation Foundation (WPF),除此之外还有 Windows Forms 和 Windows UI XAML 库 (WinUI)。 现在,微软已正式将 WPF 框架的源码托管至 GitHub,根据其公布的 Roadmap 路线图,当前的重点是针对 .NET Core 3.0 的改进和优化:与 .NET Framework 相比,实现 WPF 的功能和性能均衡;将剩余的 WPF 组件发布到 repo;将更多 WPF 测试发布(并写入)到 repo。 至于移植状态,WPF for .NET Framework 的移植仍在进行中,所有适用于 .NET Core 的 WPF 组件最终都将发布到此 repo。更多内容,请关注本次专辑…… 今天,CNCF(Cloud Native Computing Foundation,云原生计算基金会)技术监督委员会(TOC)宣布已经投票决议通过,正式将 TiKV 从沙箱项目晋级至孵化项目。
TiKV 是一个开源的分布式事务 Key-Value 数据库,支持跨行 ACID 事务,同时实现了自动水平伸缩、数据强一致性、跨数据中心高可用和云原生等重要特性,最初由 PingCAP 团队在 2016 年作为 TiDB 的底层存储引擎设计并开发,于 2018 年 8 月被 CNCF 宣布接纳为 CNCF 沙箱云原生项目。 对于 TiKV 的此次晋级,CNCF 首席技术及运营官 Chris Aniszczyk 表示:“社区需要更多支持一致性和可伸缩性的云原生存储选项,TiKV 填补了这个空缺,而不依赖于任何分布式文件系统。 自从加入 CNCF 以来,我们看到该项目在中国和国外都取得了令人瞩目的增长。随着它进入孵化阶段,我们很高兴看到该项目持续增长,期待新的贡献者继续添加更多新功能。” TiKV 最初的设计便采用云原生架构,并很好地融入了现有的 CNCF 生态系统:使用 Prometheus 进行集群监控,使用 gRPC 进行通信,可以部署在 Kubernetes 上,采用 Operator 简化安装、升级和维护。 作为一个基础组件,TiKV 可作为构建其它系统的基石。除了作为分布式 HTAP 数据库 TiDB 的存储引擎,还有更多的存储系统构建于 TiKV 之上,包括三个 Redis-on-TiKV 项目:Tidis、Titan 以及 Titea ,和一个 Prometheus-metrics-in-TiKV 项目:TiPrometheus。TiKV 的生态影响力正在持续扩大。更多相关内容,请关注本次专辑…… 上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。
攻击者可以访问存储缓冲区,加载端口并填充缓冲区的陈旧内容,这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此,在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。 ZombieLoad 与其它推测性执行边信道攻击不同,因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样,但是在采集样本时无法控制缓冲区中存在的数据。因此,需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。 虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。 据 phoronix 的报道,在 Linux Kernel 5.2 版本中,其用于内存管理的 vmalloc 函数具有更快的执行速度,特别是在嵌入式设备上。
vmalloc 用于在虚拟地址空间中分配连续内存,合并了代码的 Andrew Morton 说到:“新版本中 vmalloc 发生的改变为其带去了巨大的性能优势。”据了解,vmalloc 代码的主要变更集中在追踪用于分配的空闲块。 现在,Linux 内核的机制是在拥堵的列表迭代中完成新 VA 区域的分配,直到在两个拥堵的区域之间找到合适的空隙。因此,每次新分配都会导致列表增长。而由于长列表和不同的许可参数,分配在嵌入式设备上可能需要很长时间(毫秒)。 最新提交的补丁将 vmalloc 内存布局组织到 VMALLOC_START-VMALLOC_END 范围的空闲区域中。它使用一个红黑树,以保持这些块按其偏移量进行排序,以及为了增加的地址而与链表一起保持一定的空闲空间。 根据测试,使用了 Uladzislau Rezki 的补丁并执行同样的行为,再与 Linux Kernel 5.1 及之前的版本进行对比,调用 vmalloc() 可节省多达 67% 的时间 —— 至少根据开发者在 QEMU 上进行的测试显示如是。 Apache 基金会发布公告,宣布 Apache Dubbo 从孵化器毕业,成为 Apache 基金会顶级项目。Apache Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。
主要核心部件:Remoting: 网络通信框架,实现了 sync-over-async 和 request-response 消息机制;RPC: 一个远程过程调用的抽象,支持负载均衡、容灾和集群功能;Registry: 服务目录框架用于服务的注册和服务事件发布和订阅。 (1) 连通性:注册中心负责服务地址的注册与查找,相当于目录服务,服务提供者和消费者只在启动时与注册中心交互,注册中心不转发请求,压力较小;监控中心负责统计各服务调用次数,调用时间等,统计先在内存汇总后每分钟一次发送到监控中心服务器,并以报表展示。 服务提供者向注册中心注册其提供的服务,并汇报调用时间到监控中心,此时间不包含网络开销;服务消费者向注册中心获取服务提供者地址列表,并根据负载算法直接调用提供者,同时汇报调用时间到监控中心,此时间包含网络开销。 注册中心,服务提供者,服务消费者三者之间均为长连接,监控中心除外;注册中心通过长连接感知服务提供者的存在,服务提供者宕机,注册中心将立即推送事件通知消费者;注册中心和监控中心全部宕机,不影响已运行的提供者和消费者,消费者在本地缓存了提供者列表;注册中心和监控中心都是可选的,服务消费者可以直连服务提供者,更多内容,请关注本次专辑…… 如今越来越多的人尝试使用基于 Linux 的操作系统,与此同时许多用户不喜欢使用 Windows 10。原本 Linux 社区在这样的环境中应该能茁壮成长,但现实感觉却与此相反。例如,Linux Mint 开发团队正经历动荡、Scientific Linux 停止开发。
而近日,又传来一个坏消息 —— Antergos 宣布停止维护了。这个系统基于 Arch Linux,数据显示自 2014 年以来,这个 Linux 发行版在官网的下载量达到了 931,439。 Antergos 的死亡,是因为开发团队已经没有足够时间来妥善维护项目。官方表示,这个决定会对社区造成巨大伤害,但鉴于项目的代码仍然有效,感兴趣开发者可以从中获取对自己项目有用的信息。 正在使用 Antergos 的用户也无需担心已安装的系统 —— 他们将直接从 Arch 获取更新。近期 Antergos 会发布一个更新,从用户系统中移除 Antergos repos 和会受系统停止维护所影响的特定包。 在完成升级后,此前在 Antergos repos 安装的任何软件包都可以从 Arch 接收到更新。此外,在用户明显迁移到其他项目之前,Antergos 的论坛和 Wiki 可以继续使用,但这段网站的运营时间不会超过三个月。 更多本周开源资讯,本次专辑将为您一一呈现…… Ubuntu创始人谈论为什么Linux在桌面领域会“失败” Canonical 和 Ubuntu 创始人 Mark Shuttleworth 在近日接受的一个采访中,分享了他对 Linux 在桌面领域的看法。当主持人向 Mark 问到是否对 Linux 桌面的未来抱有希望时,Mark 认为有很大的希望,但毕竟 Linux 的使用者是一群十分专业的使用者,他们不太喜欢整齐一致的东西…… 谷歌限制华为使用Android 最新报道说,特朗普政府把华为公司列入“实体名单”后,Alphabet 旗下的子公司谷歌已经停止与华为公司的商业往来。据路透社的报导,这些商业往来包括需要转移硬件、软件和技术服务的业务(因开源许可而公开可用的服务除外)。 Fedora当前面临的三大挑战是什么? Fedora 有每隔两年在 Reddit 上做 AMA(Ask Me Anything)的问答互动活动传统,已经担任项目领导人近 5 年的 Matthew Miller 最近照例在该论坛上邀请使用者提问 Fedora 相关问题。其中有人问到“Fedora 面临的三大挑战是什么?” Apache基金会与GitHub都受美国法律约束!开源当自立 美国对华为采取的一系列限制措施仍在继续,事件正在疯狂发酵。在这件事情上,最为国人关注的一个点是“核心技术掌握在别人手里,如果别人不再开放,那一切都将灰飞烟灭”,今天谷歌限制华为使用 Android 的消息正加深了这一种担忧。 Apache回应:参与开源不受EAR约束 针对近日闹得沸沸扬扬的 Apache 软件基金会项目是否受美国出口法律约束一事,Apache 软件基金会发表了《Apache 软件基金会关于非美国子公司已添加到美国联邦登记公告实体清单裁决中的声明》一文。 Android官方:Google Play等服务仍然可用 在特朗普政府将华为公司列入“黑名单”几天后,谷歌发言人在接受路透社采访时表示中断与华为的商业往来,限制华为使用 Android 操作系统。根据今天上午路透社的报导,谷歌中断的商业往来包括需要转移硬件、软件和技术服务的业务,华为将立即失去获得 Android 系统更新的能力,只可以使用 Android 开放源代码源项目(AOSP),无法访问来自谷歌的专有应用程序和服务。 华为回应谷歌暂停支持部分业务:中国市场不受影响 5月20日下午消息,针对谷歌暂停支持华为部分业务,华为方面发表声明称,安卓作为智能手机操作系统,一直是开源的,华为作为重要的参与者,为安卓的发展和壮大做出了非常重要的贡献。华为有能力继续发展和使用安卓生态。 为给内核及时打上补丁,Ubuntu扩大其内核上传团队 随着 Linux 内核越来越广泛地被使用,它也逐渐受到更多 CVE 安全漏洞(尤其是严重性较高的漏洞)的影响。为了能更及时地给内核安装补丁更新,现在有更多的 Ubuntu 开发者拥有上传新内核以进行升级的权限。 Mozilla等提出BinaryAST,加快网页JS加载 根据定期抓取流行网站网页的 HTTPArchive 的统计,平均一个网页需要 350KB 的 JavaScript 代码,有十分之一的网页包含了 1MB 大小的 JS 代码。浏览器的 JS 引擎在传输完成之后需要检查代码的语法错误并进行编译,1 MB 的 JS 文件在高端移动设备上需要花费 100 毫秒的时间,在普通手机上需要花超过一秒钟时间。 所以Apache基金会不受美国法律约束? 本周某媒体发布的一篇文章《开源界也要注意,Apache 基金会与 GitHub 都受美国法律约束》引发了开源届乃至整个 IT 行业的热烈讨论,其中有个别声音认为文章的说法有误,甚至制造了恐慌。 F# 换“山头”啦!现已迁移到 .NET名下 微软负责 .NET 的项目经理 Phillip 在博客宣布,他们已经将 F# 的 GitHub repo 从 microsoft/visualfsharp 迁移到 dotnet/fsharp,并按 corresponding RFC 中的规范来操作。事实上,F# 的名字和品牌本身就有一段奇怪的历史。 OpenJDK Docker镜像构建失败,混乱版本号要背锅 据 OpenJDK 开发团队在邮件列表中的记录,有开发者反馈了一个这样的问题:可以看到,在构建这两个分别为 OpenJDK 8 和 OpenJDK 11 的版本时,均出现了问题。仔细观察内部版本号,这些 JDK 版本显示的发布时间均比实际发布时间要早。 微软WPF框架源码现已托管至GitHub WPF(Windows Presentation Foundation) 是微软推出的用于构建桌面客户端应用程序的 UI 框架,具有应用程序模型、控件、图形、布局、数据绑定和安全性等功能,属于 .NET Framework 3.0 的一部分。它提供了统一的编程模型、语言和框架,真正做到了分离界面设计人员与开发人员的工作;同时它提供了全新的多媒体交互用户图形界面。 TiKV成功晋级CNCF孵化项目 今天,CNCF(Cloud Native Computing Foundation,云原生计算基金会)技术监督委员会(TOC)宣布已经投票决议通过,正式将 TiKV 从沙箱项目晋级至孵化项目。TiKV 是一个开源的分布式事务 Key-Value 数据库,支持跨行 ACID 事务,同时实现了自动水平伸缩、数据强一致性、跨数据中心高可用和云原生等重要特性,最初由 PingCAP 团队在 2016 年作为 TiDB 的底层存储引擎设计并开发,于 2018 年 8 月被 CNCF 宣布接纳为 CNCF 沙箱云原生项目。 禁用超线程才能完全缓解ZombieLoad,但性能下降高达40% 上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。 Linux Kernel内存管理函数vmalloc拥有更快的执行速度 据 phoronix 的报道,在 Linux Kernel 5.2 版本中,其用于内存管理的 vmalloc 函数具有更快的执行速度,特别是在嵌入式设备上。vmalloc 用于在虚拟地址空间中分配连续内存,合并了代码的 Andrew Morton 说到:“新版本中 vmalloc 发生的改变为其带去了巨大的性能优势。”据了解,vmalloc 代码的主要变更集中在追踪用于分配的空闲块。 Apache Dubbo晋升为Apache基金会顶级项目 Apache 基金会发布公告,宣布 Apache Dubbo 从孵化器毕业,成为 Apache 基金会顶级项目。Apache Dubbo 是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成。 Antergos Linux已经停止维护 如今越来越多的人尝试使用基于 Linux 的操作系统,与此同时许多用户不喜欢使用 Windows 10。原本 Linux 社区在这样的环境中应该能茁壮成长,但现实感觉却与此相反。例如,Linux Mint 开发团队正经历动荡、Scientific Linux 停止开发。 Rancher开源Rio,整合Istio、Knative与Kubernetes能力 近日 Rancher 开源了一个可以在任何符合标准的 Kubernetes 集群上使用的 MicroPaaS 平台 Rio。Rio 由一些 Kubernetes 自定义资源和一个可选的 CLI 构成,用户可以轻松地将服务部署到 Kubernetes,自动获得持续交付、DNS、HTTPS、路由、监控、自动扩缩容、金丝雀部署与 Git 触发构建等功能。 升级到新版本,免费使用Elasticsearch的安全功能 根据 Elastic 官方博客最新公布的消息,Elastic Stack 的核心安全功能现已免费提供。对于这个重大变更,Elastic 自然不会错过让用户升级到新版本的机会 —— 因为这个核心的安全功能仅支持从 6.8.0 和 7.1.0 版本开始免费提供。他们表示,这些版本并不包含新功能,只是在 Elastic Stack 的默认分发包中免费提供了核心安全功能。 Linux内核曝出RDS漏洞,影响Red Hat, Ubuntu, Debiand与SuSE 如果你不习惯使用最新版本的 Linux 内核,那么现在可能是考虑升级的好时机。基于早于 5.0.8 的内核版本的系统在通过 TCP 实现 RDS 时已经发现一个缺陷。如果没有打补丁,该漏洞可能会使攻击者破坏系统。 PHP 7.4早期性能基准测试:与7.3差不多 PHP 7.4 目前正在积极开发中,准备添加到该版本的新特性包括短闭包、自定义对象序列化、FFI(Foreign Function Interface,外部函数接口)与扩展运算符等。7.4 的首个 alpha 版本预计将于 6 月 6 日发布,而 beta 版本将从 7 月 18 日开始,如果一切顺利,PHP 7.4 正式版本将在 11 月底或 12 月初发布。 开源是自由的,永远 开源软件到底受不受美国政府管制?会不会应美国政府的要求禁运?最近这个话题成了热点。遗憾的是,到现在中文文章里我没看到能把这个事情说清楚的文章,这让我非常惊讶。中国科技和互联网行业从开源软件中受益极大,也有无数直接和间接参与者,但是这些基本事实还是糊涂的,比较遗憾。 开发者真正想要得到的是什么? 当前 IT 公司为了争夺优秀的技术人才,提供的各种福利都很可观,除了极高的薪资,什么免费餐饮、健身房、衣服清洗、桌上足球、各种下午茶与外出团建应有尽有。但是作为开发者,在一个公司中最想要得到的是什么呢? 《人工智能北京共识》发布:为研发、使用、治理提出15条原则 人工智能伦理与规范是未来智能社会的发展基石,为规范和引领人工智能健康发展,为未来打造“负责任的、有益的”人工智能。5月25日,《人工智能北京共识》发布,这一共识提供的“北京方案”,对于实现人工智能“自律”“善治”“有序”具有重要意义。 |
