“国内行业的春天来了!”,看到国家财政部最新发布的集成电路设计和软件产业企业所得税政策,不少开发者都发出这样的感叹。公告指出,依法成立且符合条件的集成电路设计企业和软件企业,在2018年12月31日前自获利年度起计算优惠期,第一年至第二年免征企业所得税,第三年至第五年按照25%的法定税率减半征收企业所得税,并享受至期满为止。话不多说,下面就是小编为大家准备的开源资讯回顾,还是希望能给大家带来新的收获,这周的开源业界不论是国内还是国外,都有很“有料”的开源资讯值得大家关注!
自特朗普政府禁止美国公司向华为及其子公司出口零部件之后,Google 和 ARM 先后暂停了与华为的业务合作。据最新的报道,制定无线技术标准的 Wi-Fi 联盟和制定 SD 存储卡标准的 SD 协会均将华为移出了会员名单,终止与华为的关系。据《南华早报》的最新消息,知情人士透露,自 Google 和 ARM 先后暂停了与华为的业务合作后,微软也已经开始效仿 Google 的做法,停止接受华为的新订单。这位知情人士表示,华为和微软之间的两大业务领域:用于笔记本电脑的 Windows 操作系统和其他内容相关服务均已被微软暂停 —— 因为微软正在遵守美国政府的限制。谷歌正在寻求打通 Chrome OS 和 Android 系统生态的途径。大约四年前,谷歌为 Chrome 浏览器开发了一种运行 Android 应用的方法,称为 Android Runtime for Chrome(ARC)。它是基于 Chrome OS 设计的,但是开发人员逐渐意识到它可以在任何桌面平台上运行 Chrome 中的 Android 应用。计划于 2019 年 10 月 17 日正式发布的 Ubuntu 19.10 版本又有了新动作,Canonical 宣布将在该版本的 ISO 上默认附带闭源的 Nvidia GPU 驱动程序,且该计划已获得 NVIDIA 的许可。那么 Ubuntu 为什么要在安装包中捆绑闭源程序呢?官方解释说这是为了改善 Ubuntu 的整体安装体验。近日彭博社报道了竞争对手对 Google Chrome 的抱怨。目前,Chrome 占据了浏览器市场的 63%+ 份额,竞争对手如 Firefox、Safari、Edge 和 IE 都远远落在后面。很明显,Google Chrome 主宰着人们访问网络的方式。近日彭博社报道了竞争对手对 Google Chrome 的抱怨。目前,Chrome 占据了浏览器市场的 63%+ 份额,竞争对手如 Firefox、Safari、Edge 和 IE 都远远落在后面。很明显,Google Chrome 主宰着人们访问网络的方式,详细内容请关注本次专辑……
本周不少的开源项目也有了最新的进展,我们挑一些热点和大家先做下分享。systemd 是一个 Linux 下的 init 初始化软件,也是一个备受争议的项目。systemd 因为其复杂性而在社区受到了很大的争议,有不少人认为 systemd 是一个不成熟的初始化系统。因此,在 Debian 决定采用 systemd 之后,不满此举的开发者创建了不包含 systemd 的分支 Devuan。不过目前主流发行版都已经采用 systemd。时隔四个多月之后,CPU处理器和相关硬件检测的第一权威工具 CPU-Z 发布了最新的 1.89 版本,首次加入了对中国兆芯处理器的支持。官方还特意为此发布了短新闻,表示 CPU-Z 支持一家新的 x86 制造商可不是每天都能见到的事,对于支持兆芯感到非常兴奋。两年前 VS Code 的图标曾低调地更新了一次,将图标的主色调由蓝色变为橙色,不过官方显然低估了用户热烈的吐槽,所以最后还是做出了让步,保持新图标的形状不变,但将颜色由橙色改回蓝色。ZComposer 镜像诞生于 2017 年 3 月份,至今已不间断稳定运行 2 年多了。如何保证Composer 镜像的稳定性,是面临的最大难题,所以简单聊一些开发和解决问题的思路,希望能对你有一点启发。如果你觉得有些收获,请点下鼠标,在 github 上给我 1 个 star(支持下),谢谢。混沌工程(Chaos Engineering)最近也变得有点热闹,前阵子阿里才刚开源了混沌工程工具 ChaosBlade,近日 VMware 也开源了一款混沌工程编排工具 Mangle。混沌工程是指在系统中引入故障进行实验,以了解整个系统的是如何反应的,帮助提系统的可恢复性和对故障的容错性。Android 中应用自动扫描 Wi-Fi 信号是一大耗电元凶,在 Android Pie 中,谷歌对此进行了一些限制,前台应用的尝试扫描次数大幅减少为每 2 分钟 4 次,而后台应用则只能够每 30 分钟扫描一次。无论是互联网应用或者企业级应用,都充斥着大量的批处理任务。常常需要一些任务调度系统帮助开发者解决问题。随着微服务化架构的逐步演进,单体架构逐渐演变为分布式、微服务架构。在此的背景下,很多原先的任务调度平台已经不能满足业务系统的需求。据了解,vmalloc代码的主要变更集中在追踪用于分配的空闲块。更多内容,本次专辑我们一起来关注……
本周,对于如何高效的使用各类开源软件,业界不少大牛和爱用着都给出了自己的态度和做法。为了提升下载 Python 软件包的安全性,现已在 PyPI(Python 软件包仓库)中引入双因素身份验证(2FA)作为安全登录的选项。从今天开始,PyPI.org 和 test.pypi.org 均为所有用户提供了 2FA 的认证方式。作为一个应用项目,一般会有一些文件来描述生产环境中的配置信息,例如服务连接信息、环境配置信息等。而在本地开发过程中又必须依照本地的服务环境来调整配置这些文件,而如果不小心提交了这些修改,可能会直接导致生成环境中的应用无法正常运行。据 Threatpost 报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口。该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。ThoughtWorks 首席科学家 Martin Fowler 指出,软件开发项目中存在一种常见争论,即“花时间提高软件质量,还是专注于发布更有价值的功能?”他认为“提供功能的压力常常主导着讨论,导致许多开发人员抱怨他们没有时间研究架构和代码质量”。有关电气电子工程师学会(IEEE)限制中国华为公司员工的事件继续发酵。据 IEEE 主席、理事之间的内部邮件显示,IEEE 已指示外部法律顾问立即展开与美国商务部的对话,讨论美国法规对出版物的同行评审的影响,并在必要时寻求许可,允许此类活动不受干扰地进行。在这忙碌的一周里,开源界有哪些新动向呢?IT巨头又有哪些开源新进展呢?各种开源软件出新版了么?又推出什么开源软件了么?我们还是来一起回顾下最近的开源动态吧! “国内行业的春天来了!”,看到国家财政部最新发布的集成电路设计和软件产业企业所得税政策,不少开发者都发出这样的感叹。
公告指出,依法成立且符合条件的集成电路设计企业和软件企业,在 2018 年 12 月 31 日前自获利年度起计算优惠期,第一年至第二年免征企业所得税,第三年至第五年按照 25% 的法定税率减半征收企业所得税,并享受至期满为止。 这一纸公告下来的时间特别及时和振奋人心,至于为什么,事情还得从美国政府将华为列入出口“管理名单”中说起。2019 年 5 月 15 日,美国工业与安全局(BIS)将华为公司列入“实体清单”。根据资料,所谓“实体清单”是美国为维护其国家安全利益,作为出口管制的一个重要手段。 简单地说,“实体清单”就是一份“黑名单”,一旦进入此清单,实际上是剥夺了相关企业在美国的贸易机会。同时由于欧盟、日本等国往往与美国的出口管制步调保持一致,所以企业在国际上的信誉和商务行动也会受到较大的冲击。更多消息,大家可以关注本次专辑…… 谷歌正在寻求打通 Chrome OS 和 Android 系统生态的途径。大约四年前,谷歌为 Chrome 浏览器开发了一种运行 Android 应用的方法,称为 Android Runtime for Chrome(ARC)。它是基于 Chrome OS 设计的,但是开发人员逐渐意识到它可以在任何桌面平台上运行 Chrome 中的 Android 应用。
之后谷歌想让 “ARC” 与 Chrome 的联系更加紧密,于是开始开发下一代 ARC —— “ARC++”。Arc++ 将 Android Runtime 与 Chrome OS 进行了深入集成,允许类似 Play Store 的操作。这同时也是今天 Android 应用在 Chromebook 上运行的方式。 未来用户将可以点击 Chromebook 上的电话号码,然后用 Android 设备来拨打电话,也可以在设备之间共享 Wi-Fi 密码。此外,还有通用剪贴板等功能。更多消息,请大家关注本次专辑…… 自特朗普政府禁止美国公司向华为及其子公司出口零部件之后,Google 和 ARM 先后暂停了与华为的业务合作。据最新的报道,制定无线技术标准的 Wi-Fi 联盟和制定 SD 存储卡标准的 SD 协会均将华为移出了会员名单,终止与华为的关系。
Wi-Fi 联盟发言人在一份电子邮件声明中称:“Wi-Fi 联盟在不剥夺华为会员资格的情况下完全遵守美国商务部的命令。Wi-Fi 联盟暂时限制了华为技术有限公司参与(美国商务部)命令中所涵盖的 Wi-Fi 联盟活动。” 科技网站“Android Authority”在同日报道中分析称,暂时失去会员资格并不意味着华为无法生产使用 Wi-Fi 的产品,但华为今后对 Wi-Fi 技术的未来发展将不再有发言权。 负责制定 SD 和 microSD 存储卡标准的“SD协会”(SDA)是一个非营利组织,它也已将华为的名字从协会成员名单中删除。在给媒体的回复信中,该协会证实自己“正在遵守美国商务部的命令”。 华为发言人就此事表示:“在华为的智能手机上使用 SD 卡不会受到影响,消费者可以继续购买和使用这些产品。”值得一提的是,华为也有自己的 Nano 记忆卡格式。 华为发言人还在一份声明中表示:“华为重视与全球所有合作伙伴与组织的关系,并对他们所面临的困难处境表示理解。我们希望这种情况能够得到解决,并且正在努力寻找最佳解决方案。”更多内容,请关注吧本次专辑…… 计划于 2019 年 10 月 17 日正式发布的 Ubuntu 19.10 版本又有了新动作,Canonical 宣布将在该版本的 ISO 上默认附带闭源的 Nvidia GPU 驱动程序,且该计划已获得 NVIDIA 的许可。
解决方案是将主线和传统的 Nvidia 私有驱动都添加到 Ubuntu ISO 镜像中。这一方案使 Ubuntu x86_64 ISO 的大小增加至 2.1GB。需要申明的是,Nvidia 驱动程序不是默认激活的,需要它的用户可手动选择。 同时,开源驱动 Nouveau 仍作为默认的 GPU 驱动程序,用于新的 Ubuntu 安装和“实时”会话。更多内容,请大家关注本次专辑…… 据《南华早报》的最新消息,知情人士透露,自 Google 和 ARM 先后暂停了与华为的业务合作后,微软也已经开始效仿 Google 的做法,停止接受华为的新订单。这位知情人士表示,华为和微软之间的两大业务领域:用于笔记本电脑的 Windows 操作系统和其他内容相关服务均已被微软暂停 —— 因为微软正在遵守美国政府的限制。
据一位知情人士透露,现有华为 PC 上配备的 Windows 操作系统不会受到影响,仍可以获得更新和安全保护。与此同时,微软的服务团队已经搬出了华为位于深圳的总部。 其中一位人士表示:“这并不意味着微软不再与华为合作。两家公司之间暂停业务往来可能只是暂时性的。”截至发稿时,微软和华为均没对该事件发表回复。更多内容请关注本次专辑…… 近日彭博社报道了竞争对手对 Google Chrome 的抱怨。目前,Chrome 占据了浏览器市场的 63%+ 份额,竞争对手如 Firefox、Safari、Edge 和 IE 都远远落在后面。很明显,Google Chrome 主宰着人们访问网络的方式。
Chrome 在遥遥领先的同时,也控制了标准的制定。主要浏览器如 Opera 和 Edge 现在都切换到 Google 维护的开源项目 Chromium —— 这创造了一种滚雪球效应,因为很少有开发者再为非 Chrome/Chromium 浏览器优化了,而这反过来又促使浏览器开发商切换到 Chromium。Chrome 成为了互联网的看门人。 前Mozilla CTO Andreas Gal表示,Chrome做了什么就相当于标准做了什么,其他人必须跟随。Gal 此前公开抱怨 Google 产品无法工作在 Firefox 上:在谷歌对 Docs 或 Gmail 进行更新后,这些服务就突然间无法在 Firefox 上运行了。而在谷歌修复的这段时间,用户只会觉得是火狐的问题。 一些小众浏览器也遭遇过过类似问题。在隐私方面做的很好的 Vivaldi 浏览器,同样遇到了 Docs 和 Gmai l等谷歌服务无法正常使用的问题,谷歌提示浏览器未对服务进行优化,建议用户使用 Chrome。 也有用户使用 Netflix 的 Brave 浏览器访问 Netflix 官网时,遇到了浏览器崩溃的问题。Brave 团队花了两个多星期才修复这个问题,而这一切只是因为谷歌更新了 Netflix 使用 Widevine 的方式。更多相关内容,大家可以关注本次专辑…… systemd 是一个 Linux 下的 init 初始化软件,也是一个备受争议的项目。systemd 因为其复杂性而在社区受到了很大的争议,有不少人认为 systemd 是一个不成熟的初始化系统。
因此,在 Debian 决定采用 systemd 之后,不满此举的开发者创建了不包含 systemd 的分支 Devuan。不过目前主流发行版都已经采用 systemd。到目前为止,这个受争议的 init 初始化系统代码行数超过了 120 万。 可以看到,这 120 万行代码散落在 3260 个文件中,有近 1400 名开发者为其进行了 40000 多次的提交。据了解,systemd 的代码行数在 2014 年 5 月接近 55 万行,2017 年突破 100 万行,如今达到了 1207302 行。 去年是 systemd 拥有最多 commit 的一年,包含 6245 commits,今年至今有 2145 commits,最活跃的作者是创始人 Lennart Poettering,他今年至今贡献了超过 32% commits。更多相关内容,请大家关注本次专辑…… 时隔四个多月之后,CPU处理器和相关硬件检测的第一权威工具 CPU-Z 发布了最新的 1.89 版本,首次加入了对中国兆芯处理器的支持。官方还特意为此发布了短新闻,表示 CPU-Z 支持一家新的 x86 制造商可不是每天都能见到的事,对于支持兆芯感到非常兴奋。
兆芯于2017年发布了代号“五道口”的 KX-5000 SoC 处理器,今年又带来了代号“陆家嘴”的 KX-6000 SoC。CPU-Z 官方截图展示的就是一颗 KX-5640,28nm 工艺,4核心4线程,主频 2.0GHz,4MB 二级缓存,支持 AVX、AES、VT-x、SSE4.2 等指令集和 SM3/SM4 加密算法,集成 GPU 支持 4K 视频播放,支持双通道 DDR4 内存,最大 64GB。 它之下还有一颗 KX-5540,主频降至 1.8GHz。KX-6000 则是采用内地最先进的 16nm 工艺制造,单芯片完成集成 CPU、GPU 图形核心、芯片组,最多八个 CPU 核心,主频最高 3.0G Hz,支持双通道 DDR4 内存,最大容量可达 64GB,并已获得 PCIe 3.0 官方认证、USB 3.1 Gen 1 官方认证。 它将在今年9月份投入量产。此外,CPU-Z 1.89 还修复了对代号“Picasso”的 AMD 新一代锐龙 APU 检测的 Bug。更多内容,请关注本次专辑…… 两年前 VS Code 的图标曾低调地更新了一次,将图标的主色调由蓝色变为橙色,不过官方显然低估了用户热烈的吐槽,所以最后还是做出了让步,保持新图标的形状不变,但将颜色由橙色改回蓝色。
经历此次事件后,VS Code 不敢再默默地就把图标给改了,所以他们现在正在 GitHub 上就 VS Code 的新图标征集用户的反馈意见。官方人员表示,之所以要更改图标,是因为目前的图标还存在一些未解决的问题。 例如在 Windows UI 的某些区域(如文件选择器对话框),用户不易发现图标,也很难区分 Visual Studio 和 Visual Studio Code 两者之间的不同,特别是对于一些有色觉缺陷的用户。 另外还有用户反馈,VS Code 当前的图标在 macOS 的 Docker 底栏中看起来与整体不协调。更多内容,请关注本次专辑…… ZComposer 镜像诞生于 2017 年 3 月份,至今已不间断稳定运行 2 年多了。如何保证Composer 镜像的稳定性,是面临的最大难题,所以简单聊一些开发和解决问题的思路,希望能对你有一点启发。如果你觉得有些收获,请点下鼠标,在 github 上给我 1 个 star(支持下),谢谢。
安全性,不对原有的 json,zip 做修改,否则会引起 hash 变化,重新计算 hash 没问题(之前第三方有这么做的),这样带来的问题是,无法对包的安全性做校验,假如有恶意黑镜像,对数据做了修改,就无法判断了。所以 ZComposer 的镜像,所有的包都是和 packagist.org 官方一致的,可以比对 hash ,没有任何修改。 稳定性,因为不间断的采集数据,上传数据,中间有一个环节出现差错,就可以导致有问题,所以务必对采集完的包,通过 hash 值做完整性检查。有时候第三方的 API 策略,或者 CDN 线路都可能导致出现问题。所以做镜像最大的难点,是稳定性的保障。 Webysther/packagist-mirror(官方推荐的镜像开源) fork 自 hirak/packagist-crawler,但这些镜像开源都没有处理 dist 包,而 dist 包才是最大 / 最多的,最值得 CDN 处理的。 ZComposer 开源是全量镜像,包含了对 dist 部分的处理。dist 包还有个 65000 上限子目录数 的问题,1 年的时间,包的数量都是成倍的增加。软连接的方案是我原创出来的,或许随着包的无限增加,还需要设计其他方案。具体情况,请大家关注本次专辑…… 混沌工程(Chaos Engineering)最近也变得有点热闹,前阵子阿里才刚开源了混沌工程工具 ChaosBlade,近日 VMware 也开源了一款混沌工程编排工具 Mangle。  Mangle 是一个混沌工程工具,它是一个 Spring Boot 应用,实现了在受支持的端点上调用故障注入的 Web 服务。它能够针对应用和基础架构组件无缝地运行混沌工程实验,以评估系统弹性和容错能力。 Mangle 旨在通过非常少的预配置引入故障,并且可以支持可能拥有的任何基础架构,包括 K8S、Docker、vCenter 与任何启用了 ssh 的远程计算机。凭借其强大的插件模型,可以根据模板定义所选的自定义故障并运行,而无需从头开始构建代码。更多内容,请关注本次专辑…… Android 中应用自动扫描 Wi-Fi 信号是一大耗电元凶,在 Android Pie 中,谷歌对此进行了一些限制,前台应用的尝试扫描次数大幅减少为每 2 分钟 4 次,而后台应用则只能够每 30 分钟扫描一次。
但是这样对于一些开发者来说是不友好的,比如室内定位、网络接入点检查或信号强度测量类的应用强依赖于自动扫描 Wi-Fi,所以开发者自去年起就对谷歌有一些抱怨,比如他们发起了这个 Google Issue Tracker 帖子:https://issuetracker.google.com/issues/79906367。 这些开发者认为再不行也要给用户一个开关选项,选择开启或关闭 Wi-Fi 扫描限制,因为他们在使用这一类型的应用之前肯定是对耗电有一定的心理准备的,而实际上应用提供的功能就是他们自己需要的。 但是上周谷歌表示在 Android Q 中将不会修复开发者提出的这个问题。这也就意味着,就算不关闭上图这些选项,Android Q 也会继续限制它们对电池续航时间的影响。 但是谷歌同时也在 Android Q Beta 中提供了一个开发者选项,它允许 root 设备关闭这个 Wi-Fi 扫描限制,只不过开发者认为这对用户的应用并没有什么意义。更多详细内容,请大家关注本次专辑…… 为了提升下载 Python 软件包的安全性,现已在 PyPI(Python 软件包仓库)中引入双因素身份验证(2FA)作为安全登录的选项。  PyPI 目前仅支持一种 2FA 验证方法:通过基于时间的一次性密码(TOTP)应用程序生成代码。也就是说,在 PyPI 帐号上开启 2FA 认证后,必须提供 TOTP(以及用户名和密码)才能登录。 因此,要在 PyPI 上使用 2FA,我们需要配置应用程序(通常是手机应用程序) 以生成认证码。另外,在开启 2FA 认证之前,需要在 Test PyPI 和/或 PyPI 帐号上验证主电子邮件地址。当然,也可以在 “帐户设置”中执行此操作。 虽然目前的 2FA 认证只支持 TOTP,但 Python 团队表示正在开发基于 WebAuthn 的多因素身份验证。所谓多因素,举个例子 —— 我们将可以使用 Yubikeys 作为第二个因素。团队还计划为上传软件包的过程添加 API 密钥,以及针对敏感的用户操作添加高级审计跟踪。更多内容,请关注本次专辑…… 无论是互联网应用或者企业级应用,都充斥着大量的批处理任务。常常需要一些任务调度系统帮助开发者解决问题。随着微服务化架构的逐步演进,单体架构逐渐演变为分布式、微服务架构。
在此的背景下,很多原先的任务调度平台已经不能满足业务系统的需求。于是出现了一些基于分布式的任务调度平台。这些平台各有其特点,但各有不足之处,比如不支持任务编排、与业务高耦合、不支持跨平台等问题。 非常不符合新一代微服务架构的需求,因此宜信公司开发了微服务任务调度平台(SIA-TASK)。SIA是宜信公司基础开发平台Simple is Awesome的简称,SIA-TASK(微服务任务调度平台)是其中的一项重要产品,SIA-TASK契合当前微服务架构模式,具有跨平台,可编排,高可用,无侵入,一致性,异步并行,动态扩展,实时监控等特点。 SIA-TASK是任务调度的一体式解决方案。对任务进行元数据采集,然后进行任务可视化编排,最终进行任务调度,并且对任务采取全流程监控,简单易用。对业务完全无侵入,通过简单灵活的配置即可生成符合预期的任务调度模型。 SIA-TASK借鉴微服务的设计思想,获取分布在每个任务执行器上的任务元数据,上传到任务注册中心。利用在线方式进行任务编排,可动态修改任务时钟,采用HTTP作为任务调度协议,统一使用JSON数据格式,由调度中心进行时钟解析,执行任务流程,进行任务通知。更多相关内容,请关注本次专辑…… 作为一个应用项目,一般会有一些文件来描述生产环境中的配置信息,例如服务连接信息、环境配置信息等。而在本地开发过程中又必须依照本地的服务环境来调整配置这些文件,而如果不小心提交了这些修改,可能会直接导致生成环境中的应用无法正常运行。
所以在 SVN 上有一个非常有用的特性,可以配置某些文件是只读的,不允许提交修改。而 Git 本身是没有这个特性的,主流的 Git 平台一般会提供只读分支的功能,但无法实现对个别文件或者文件夹的只读限制。详细内容,请关注本次专辑。 据 Threatpost 报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口。该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。
这个问题的具体细节尚未透露,Travis 表示已通知微软,微软有长达 90 天的时间,在漏洞披露之前修复这个问题。“记事本暴露的攻击面很少,但它仍足以让攻击者运行任意代码”,White Note 创始人 Dan Kaminsky 表示,我们不能因为记事本简单,就觉得它肯定很安全。 与此同时,也有知情研究人员指出,黑客在记事本中打开文件之前,需要先获取目标。而除了已经弃用的 IE 11,这种情况一般不会发生。“在今天IE 发布缓解措施后,除非坐在电脑前,否则你无法在系统上启动记事本”,Kaminsky 解释。 值得一提的是,记事本也是不少开发者常用的软件 —— 毕竟它似乎是打开未知文件最方便安全的方式。但现在看来,这种做法是否 “安全”,可能得打个问号了。 很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。
虽然代码重用的效率提高和成本节省很明显,但企业很少定期检查开源代码以查找潜在的安全性和法律问题。很少有公司管理他们的开发人员使用开源。因此,他们仍未了解其开源风险和义务。 美国新思科技公司 (Synopsys, Nasdaq: SNPS)近日发布了《2019年开源安全和风险分析》(OSSRA)报告。该报告由新思科技网络安全研究中心(CyRC)制作,审查了由黑鸭审计服务团队执行的超过1,200个商业应用程序和库的审计结果。 报告重点介绍了开源应用的趋势和模式,以及不安全的开源组件和许可证冲突的普遍性。报告显示,现在企业面临着开源应用风险管理的挑战,这些难题在过去几年就已经有苗头了。 然而,数据还表明现在已经达到了一个拐点,由于风险意识和商业软件组件分析解决方案成熟度的提高,许多企业提升了其管理开源风险的能力。新思科技网络安全研究中心首席安全策略师Tim Mackey 表示:“开源在现代软件开发和部署中发挥着越来越重要的作用,但要实现其价值,企业需要从安全性和许可证合规的角度来理解和管理它如何影响其风险态势。 2019年OSSRA报告提供了商业应用程序中开源风险管理的状况概览。报告表明现在仍然存在重大挑战,绝大多数的应用程序包含开源安全漏洞和许可证冲突,但同时也强调这些挑战是可以解决的,因为开源漏洞和许可证冲突的数量与去年相比有所下降。”更多内容,请关注本次专辑…… ThoughtWorks 首席科学家 Martin Fowler 指出,软件开发项目中存在一种常见争论,即“花时间提高软件质量,还是专注于发布更有价值的功能?”他认为“提供功能的压力常常主导着讨论,导致许多开发人员抱怨他们没有时间研究架构和代码质量”。
于是,Martin 近日在个人博客发布了一篇名为《高质量软件值得这么多成本吗?》的文章,就此展开讨论。通常,这样的反问句答案显然是否定的。不过,Martin 接下来的阐述进一步颠覆了问题本身,这个问题假定了质量和成本之间的共同权衡,可在他看来,这种权衡并不适用于软件——“高质量的软件实际上生产成本更低”。 这种说法是否颠覆了你的认知?人们习惯于在质量和成本之间进行权衡,“一分钱一分货”不无道理。当然,Martin 承认该假设在大多数情况下是正确的,更高的质量会花费更多。但他强调这并非一个绝对规则。 Martin 首先对“软件质量”做出了界定。有很多方面可以囊括在内:用户界面清晰吗?软件足够可靠吗?架构合理、明确吗?用户可以判断用户界面是否良好;高管可以判断软件是否使工作更高效;消费者会注意到系统缺陷,特别是当软件出故障时。但用户可能无法体会软件架构——这对开发者来说是软件质量的判定标准之一。 所以,这篇文章将软件质量属性划分为外部(例如 UI 和缺陷)和内部(架构)。区别在于,用户和消费者可以看到软件产品具有高外部质量的原因,却难以分辨出内部质量的高低。 更多本周开源资讯,本次专辑将为您一一呈现…… 开源春天,此时不来,更待何时? “国内行业的春天来了!”,看到国家财政部最新发布的集成电路设计和软件产业企业所得税政策,不少开发者都发出这样的感叹。公告指出,依法成立且符合条件的集成电路设计企业和软件企业,在 2018 年 12 月 31 日前自获利年度起计算优惠期,第一年至第二年免征企业所得税,第三年至第五年按照 25% 的法定税率减半征收企业所得税,并享受至期满为止。 谷歌正在打通Chrome OS和Android的生态系统 谷歌正在寻求打通 Chrome OS 和 Android 系统生态的途径。大约四年前,谷歌为 Chrome 浏览器开发了一种运行 Android 应用的方法,称为 Android Runtime for Chrome(ARC)。它是基于 Chrome OS 设计的,但是开发人员逐渐意识到它可以在任何桌面平台上运行 Chrome 中的 Android 应用。 Wi-Fi 联盟和SD协会撤销华为会员资格:无法参与标准制定 自特朗普政府禁止美国公司向华为及其子公司出口零部件之后,Google 和 ARM 先后暂停了与华为的业务合作。据最新的报道,制定无线技术标准的 Wi-Fi 联盟和制定 SD 存储卡标准的 SD 协会均将华为移出了会员名单,终止与华为的关系。 Ubuntu 19.10 ISO将捆绑闭源Nvidia驱动程序 计划于 2019 年 10 月 17 日正式发布的 Ubuntu 19.10 版本又有了新动作,Canonical 宣布将在该版本的 ISO 上默认附带闭源的 Nvidia GPU 驱动程序,且该计划已获得 NVIDIA 的许可。那么 Ubuntu 为什么要在安装包中捆绑闭源程序呢?官方解释说这是为了改善 Ubuntu 的整体安装体验。 微软停止接受华为的新订单 据《南华早报》的最新消息,知情人士透露,自 Google 和 ARM 先后暂停了与华为的业务合作后,微软也已经开始效仿 Google 的做法,停止接受华为的新订单。这位知情人士表示,华为和微软之间的两大业务领域:用于笔记本电脑的 Windows 操作系统和其他内容相关服务均已被微软暂停 —— 因为微软正在遵守美国政府的限制。 Google Chrome成为互联网的看门人 近日彭博社报道了竞争对手对 Google Chrome 的抱怨。目前,Chrome 占据了浏览器市场的 63%+ 份额,竞争对手如 Firefox、Safari、Edge 和 IE 都远远落在后面。很明显,Google Chrome 主宰着人们访问网络的方式。 systemd代码行数超过120万,创始人贡献的commits最多 systemd 是一个 Linux 下的 init 初始化软件,也是一个备受争议的项目。systemd 因为其复杂性而在社区受到了很大的争议,有不少人认为 systemd 是一个不成熟的初始化系统。因此,在 Debian 决定采用 systemd 之后,不满此举的开发者创建了不包含 systemd 的分支 Devuan。不过目前主流发行版都已经采用 systemd。 CPU-Z 1.89发布,首次支持中国兆芯处理器 时隔四个多月之后,CPU处理器和相关硬件检测的第一权威工具 CPU-Z 发布了最新的 1.89 版本,首次加入了对中国兆芯处理器的支持。官方还特意为此发布了短新闻,表示 CPU-Z 支持一家新的 x86 制造商可不是每天都能见到的事,对于支持兆芯感到非常兴奋。 VS Code又打算更新图标了,只为让你更快找到它 两年前 VS Code 的图标曾低调地更新了一次,将图标的主色调由蓝色变为橙色,不过官方显然低估了用户热烈的吐槽,所以最后还是做出了让步,保持新图标的形状不变,但将颜色由橙色改回蓝色。 Composer中国全量镜像开源了,一起让PHP社区更繁荣 ZComposer 镜像诞生于 2017 年 3 月份,至今已不间断稳定运行 2 年多了。如何保证Composer 镜像的稳定性,是面临的最大难题,所以简单聊一些开发和解决问题的思路,希望能对你有一点启发。如果你觉得有些收获,请点下鼠标,在 github 上给我 1 个 star(支持下),谢谢。 VMware开源混沌工程编排工具Mangle 混沌工程(Chaos Engineering)最近也变得有点热闹,前阵子阿里才刚开源了混沌工程工具 ChaosBlade,近日 VMware 也开源了一款混沌工程编排工具 Mangle。混沌工程是指在系统中引入故障进行实验,以了解整个系统的是如何反应的,帮助提系统的可恢复性和对故障的容错性。 驳回开发者请求,Android Q中会继续限制Wi-Fi自动扫描 Android 中应用自动扫描 Wi-Fi 信号是一大耗电元凶,在 Android Pie 中,谷歌对此进行了一些限制,前台应用的尝试扫描次数大幅减少为每 2 分钟 4 次,而后台应用则只能够每 30 分钟扫描一次。 PyPI已支持双因素认证,提升下载Python软件包安全性 为了提升下载 Python 软件包的安全性,现已在 PyPI(Python 软件包仓库)中引入双因素身份验证(2FA)作为安全登录的选项。从今天开始,PyPI.org 和 test.pypi.org 均为所有用户提供了 2FA 的认证方式。 宜信开源微服务任务调度平台SIA-TASK 无论是互联网应用或者企业级应用,都充斥着大量的批处理任务。常常需要一些任务调度系统帮助开发者解决问题。随着微服务化架构的逐步演进,单体架构逐渐演变为分布式、微服务架构。在此的背景下,很多原先的任务调度平台已经不能满足业务系统的需求。 SVN的文件和目录只读特性,能否在Git也实现? 作为一个应用项目,一般会有一些文件来描述生产环境中的配置信息,例如服务连接信息、环境配置信息等。而在本地开发过程中又必须依照本地的服务环境来调整配置这些文件,而如果不小心提交了这些修改,可能会直接导致生成环境中的应用无法正常运行。 谷歌团队成功黑了Windows记事本 据 Threatpost 报告,谷歌的 Project Zero 团队已成功地将记事本(Windows Notepad)转换为一个完整系统访问的入口。该团队的 Tavis Ormandy 在记事本中发现内存损坏漏洞,这个漏洞允许黑客用特定格式错误的文件,让软件提供远程 Shell 访问 —— 这意味着黑客可能完全接管系统。 新思科技发布OSSRA报告 分析开源应用趋势和模式 很多软件都是建立在可重用的开源组件的基础之上 。但是使用开源的人员经常忽视相关的安全和许可风险。软件开发人员通常会从开源存储库中获取代码,以嵌入其公司的产品中,加快开发过程。 开发高质量软件需要更高成本吗? ThoughtWorks 首席科学家 Martin Fowler 指出,软件开发项目中存在一种常见争论,即“花时间提高软件质量,还是专注于发布更有价值的功能?”他认为“提供功能的压力常常主导着讨论,导致许多开发人员抱怨他们没有时间研究架构和代码质量”。 IEEE主席透露:已与美国商务部展开对话,争取学术活动不受干扰 有关电气电子工程师学会(IEEE)限制中国华为公司员工的事件继续发酵。据 IEEE 主席、理事之间的内部邮件显示,IEEE 已指示外部法律顾问立即展开与美国商务部的对话,讨论美国法规对出版物的同行评审的影响,并在必要时寻求许可,允许此类活动不受干扰地进行。 美国司法部正计划对谷歌进行反垄断调查 据华尔街日报的报道,美国司法部正计划对 Alphabet 的子公司谷歌进行反垄断调查。华尔街日报援引匿名消息来源称,联邦贸易委员会与美国司法部共同提交了联邦反托拉斯案。在此之前,FTC(联邦贸易委员)于 2013 年对谷歌进行过广泛反垄断违规行为的调查,但最终不了了之,在没有对后者采取任何行动的情况下结案。 |
