安全

思考一下，如何在你的开源项目中真正定义安全性吧。

getline() 提供了一种更灵活的方法，可以在不破坏系统的情况下将用户数据读入程序。

? 日本表示版权不适用于 AI 训练 ? 荷兰政府网站必须强制遵守 security.txt 标准 ? Reddit 也准备对 API 收费，杀死第三方客户端 » »

? 微软正在研究使 Linux 脚本更安全 ? 观点：只有云计算供应商才能做好安全工作 ? 裁员时拥有开源和 Linux 技能比较安全 » »

? AI 生成了 “活” 在虚拟世界的 25 个虚拟人 ? 谷歌免费推出保障开源软件服务 ? DDoS 攻击转向利用 VPS 以提高威力 » »

? 德国法院裁定 Youtube-DL 的托管商败诉 ? 斯坦福大学发布人工智能状况报告 ? 采用通用密码的车库门设备 » »

原文发表于 2 年前， 但时至今日仍然有一些值得了解的信息。

在本文，我计划分享我关于开源软件是否安全的思考，以及哪些事情与开源软件的安全性相关。

❶ 华为开发者的补丁将一个内核函数的速度提升了 715 倍 ❷ X.org 紧急发布补丁，WayLand 也没逃开 ❸ 谷歌发布开源软件安全漏洞扫描器

林纳斯定律即“只要有足够多的眼睛关注，任何漏洞都无处隐藏”。那么林纳斯定律是如何应用于开源软件安全的呢？

❶ 可根据自然语言指令进行《我的世界》游戏的 AI ❷ GPT-3 可以写押韵的诗歌和歌词 ❸ API 安全漏洞成为大量泄露数据的重要风险

❶ 欧盟允许在飞行中使用智能手机 ❷ 96% 下载的脆弱的依赖关系是可避免的 ❸ 72% 的美国员工希望将简单重复的工作交给 AI

❶ 谷歌的秘密项目教 AI 编写和修改代码 ❷ 谷歌安全团队称谷歌等安卓手机厂商迟迟没有修补漏洞 ❸ GitHub 正在测试在 Markdown 中嵌入 JavaScript

• 英伟达采用形式验证来验证软件安全性 • JavaScript、Java、Python、Kotlin 和 Rust 开发者增长惊人 • 密码学家建议考虑非晶格的后量子密码算法

可能是当今大多数公司最可行的选择，但它也伴随着自己的问题。

对开源仓库的攻击越来越频繁了。

• 14 岁少年一小时破解澳大利亚情报机构的纪念币密码 • Ubuntu Unity 成为官方风味版 • 对 Linux 服务器的攻击比去年增加了 75%

• Python 依然势不可挡 • 针对星链终端的攻击已经开始了 • 微软在 2021 年度的漏洞赏金支付上超过了谷歌

• 懒人程序员们可以付费使用 AI 代写“作业”了 • 开源代码项目平均有 49 个漏洞 • 研究发现区块链的中心化风险

• 微软警示一个针对 Linux 设备的“隐形 DDoS 恶意软件” • 美国政府首次对用加密货币躲避制裁提出刑事指控 • Rust 供应链攻击感染云 CI 管道

• 保护开源软件需要多少钱？OpenSSF 称 1.5 亿美元 • DeepMind 的最新人工智能可以执行 600 多项任务 • 谷歌发布 Flutter 3

WebAssembly 有计划推向 Web 之外，从各种服务器到物联网（IoT），其创造了很多机会，但也存在很多安全问题。

• 前美国国家安全局计算机专家妄称华为使 Linux 不可信 • 安卓市场份额五年减少 8% • 继萨尔瓦多后，中非宣布采用比特币为法定货币

更多：• Linux 基金会发布“第二次普查”报告 • 超过一半的安全漏洞已经存在五年以上了

你现在需要读的 2021 安全总结文章。

更多：• 美国白宫和软件行业讨论改善开源安全 • 大公司的精英们放弃百万年薪投奔新的“一生机会”

更多：• 86% 被攻击的谷歌云实例用于挖掘加密货币 • 为在 Chrome 中禁止第三方 Cookie，谷歌向监管部门妥协

更多：• JetBrains 发起成立 PHP 基金会 • 因微软赏金太少，安全研究人员曝光 Windows 提权零日漏洞

成功利用内核漏洞以实现提权的安全研究人员将获得 31,337 美元至 50,337 美元的奖金。

更多：• 谷歌赞助 Linux 基金会的安全开源计划 100 万美元 • Telegram 机器人正试图窃取你的一次性密码

更多：• 俄罗斯 Yandex 公司称其击退了历史上最大的 DDoS 攻击 • 91% 的 IT 团队感到“被迫”让渡安全以换取业务运营

更多：• 因错误包含一些非自由的代码，GNU Linux-libre 重新发布 • 网络攻击者现在正悄悄地卖掉受害者的网络带宽

更多：• 谷歌使用 AI 生成高保真图像 • 研究发现 40% 的 GitHub Copilot 建议中存在安全漏洞

有将近 1400 万基于 Linux 的系统直接暴露在互联网上，这使得它们成为有利可图的现实世界攻击目标

更多：• 数十万基于 Realtek 的设备受到物联网僵尸网络的攻击 • 在苹果 M1 上运行的 GNOME 桌面

更多：• Cloudflare 扛下了创纪录的 DDoS 攻击：每秒 1720 万个请求 • 2021 年上半年发现了 600 多个工业控制系统漏洞

更多：• Debian 11 比上一个版本性能整体提升 8-10% • 谷歌安全团队又披露了微软未在 90 天内修复的漏洞

更多：• 黑客退还 6 亿美元加密货币，声称是出于好玩 • Linux 基金会旗下成立了 eBPF 基金会

更多：• Rust 连续第六年成为 Stack Overflow 用户最喜欢的语言 • 美国国务院和其他三个美国机构的网络安全等级为 D 级

使用 Kali Linux 和其他开源工具来发现系统中的安全漏洞和弱点。

更多：• 奇亚硬盘矿大热让希捷 6 年来单季营收首次冲上 30 亿 • MITRE 更新 25 个最危险的软件漏洞名单

更多：• REvil 恶意软件被发现会避开以俄语为主要语言的系统 • 微软 12 个月内已向安全专家支付 1360 万美元漏洞赏金

更多：• 研究人员制造出仅在显微镜下可见的无线、可注射的芯片 • Rust 编程语言庆祝六岁生日

更多：• 祝融号成功着陆火星 • 美国政府发布行政命令，要求加强开源软件安全

更多：• 谷歌 Project Zero 团队调整漏洞披露时限 • 世界首位官方认证半机械人出现

使用开源工具来保护你的 Linux 环境不被入侵。

更多：• FreeBSD 13.0 发布 • Apache 软件基金会撤下了大量的 Hadoop 相关项目

更多：• DuckDuckGo 发布扩展程序阻止谷歌 FLoC 跟踪 • Linux 5.13 考虑为每次系统调用引入随机化的内核堆栈偏移量

2022 年 SD-WAN 市场 40% 的同比增长主要来自于包括 Cisco、VMWare、Juniper 和 Arista 在内的网络供应商和包括 AWS、Microsoft Azure，Google Anthos 和 IBM RedHat 在内的服务提供商之间的紧密联系。

更多：• Linus 对 AMD 和英特尔的新 CPU 修改方向表示支持 • 谷歌云额外奖励了六位最佳的安全研究人员 31 万美元