文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Shawn the R0ck 写道:2024年3月29日,一份关于在自由软件社区备受争议的开源项目 xz 软件包被上游源代码中的后门所污染的报告在 oss-security 邮件列表中曝光。这个后门影响到了 liblzma 库,它是 xz 软件包的一部分,在第一份报告发布后有多了很多跟进的研究,内容主要如下,1) 这个后门完整地存在于发布的 xz 源码包中(5.6.0 和 5.6.1 版本),但上游 git 仓库中存在伪装为测试数据,但并未插入 liblzma 中的载荷,而打包前单独加入源码包中的唤醒代码(它们不存在于 git 仓库中,因此从 git 仓库,或由 github 生成的源码包编译的 liblzma 中不会有后门)会将载荷注入到构建过程中。2) 注入的代码修改 Makefile 以包含恶意文件,这些文件在构建过程中被执行,导致进一步的有效载荷注入。3) 这个有效载荷针对的是使用 gcc 和 GNU 链接器的 x86-64 GNU/Linux 系统,并且是 Debian 或 RPM 软件包构建的一部分。4) 恶意代码针对 OpenSSH 服务器进行劫持以实现远程代码执行,但显著降低了登录速度。它通过劫持和修改 liblzma 库中的某些函数来实现这一点,其载荷是间接加载到 sshd 中的。sshd 实现了对 systemd-notify 的支持,liblzma 被加载是因为它是 libsystemd 的其他部分所依赖的,systemd 的复杂度再次成为了实际上的安全隐患。5) 建议立即升级任何可能受影响的系统,因为这些被污染的版本还未广泛被 GNU/Linux 发行版集成。6) 提供了一个脚本来检测系统是否可能受到影响。7)后门投毒者关闭了 LANDLOCK 沙箱,这个已经被主要维护者修复。开源社区诸多用户都对于 systemd 饱受争议的复杂性以及其生态渗透到 GNU/Linux 系统之深本有意见,借愚人节之机满足读者的阴谋论叙事的诉求:幕后黑手其实是 M$,意在摧毁 GNU/Linux 生态,首先,他们秘密收买了 Lennart Poettering,让他开发了 systemd。Lennart 在 M$ 的授意下,将 systemd 逐步渗透到 GNU/Linux 发行版中,为后续行动铺路,2022年3月,M$ 认为可以执行下一步计划了就排出了 Jia Tan 团队跟 xz-utils 社区进行交涉,Lennart Poettering 的任务也宣告结束,2022年6月,M$ 公开召回(雇佣)Lennart,此后 M$ 筹划了 2023 年开始支持 openssh 的 systemd 生态进而让 Jia TAN 去掌控整个 GNU/Linux 生态,只是没想到被一个执着于性能且追求计算美学的工程师破坏了原本完美的计划,M$立马命令Github关闭了相关的帐号以毁灭证据,幸运的是这个蔚蓝色的星球的赛博网络里有时空穿梭机,这让github的重要信息得以保留。
想象一下,如果西半球永远是夜晚,东半球永远是白天。根据发表在《The Astrophysical Journal》期刊上的论文,科学家提供了迄今为止最令人信服的证据证明,一颗行星具有这种被称为潮汐同步或 1:1 潮汐锁定的特征。当一颗行星的轨道离恒星很近时,它的近侧会受到比远侧更强的拉力。随着时间的推移,这种被称为潮汐力的不平衡被认为会减缓行星的旋转,直到它与轨道完全同步。这意味着行星绕轴旋转一周所需的时间与绕恒星运行一周所需的时间相同。月球被认为经历了这一过程,这就解释了为什么它有一个从未面向地球的“远侧”。许多系外行星被认为是 1:1 潮汐锁定的,因为它们离宿主恒星很近,但这种状态很难被证明。测量系外行星的轨道很简单,而固定它的自转要困难得多,尤其是当行星的大气层遮挡了它自转的表面。科学家将目标锁定了一颗离恒星很近的超级地球 LHS 3844b,最终证明了潮汐锁定假说。
壳牌本周将力争说服海牙的法官推翻一项具有里程碑意义的温室气体减排命令。这将是对污染企业能否阻止气候变化相关法律行动的一次受到密切关注的考验。英国高伟绅律师事务所(Clifford Chance)的律师将辩称,强迫这家油气公司在 2030 年前将其排放量较 2019 年水平削减 45% 的裁决没有法律依据,而且超出了该司法机构的职权范围。2021 年 5 月,地球之友荷兰分支 Milieudefensie 在海牙地方法院取得了历史性胜利,法庭下令壳牌必须在 2030 年前将其全球碳排放量从 2019 年的水平减少 45%。Milieudefensie 主任 Donald Pols 表示,自该判决以来,世界部分地区遭遇了洪水、热浪和农作物歉收,以及过去一年破纪录的全球气温,这些都有助于 Milieudefensie 再次证明其立场。壳牌目前的目标是到 2030 年将碳排放量减少 15-20%。
根据 Valve 公布的 2024 年 3 月 Steam 硬件和软件调查报告,简体中文用户的比例仍然超过英文用户。数据显示:在操作系统上,Windows 占 96.67%,Linux 1.94%,OSX 1.38%;在用户使用的语言上,简体中文占比达到了 33.43%,比前一个月增长 0.59%,英语第二占 32.54%(同比增加 0.42%),俄语第三占 8.36%(同比减少 0.91%)。Linux 玩家主要是使用 Valve 的掌机 Steam Deck,掌机配备的 AMD CPU 在 Linux 玩家中使用比例也是最高——72.10% 的 Linux 玩家用 AMD CPU。
在伦敦举行的 Rust Nation UK Conference 会议上,Google 工程总监 Lars Bergstrom 讲述了项目从 Go 或 C++ 迁移到 Rust 语言的经验:开发者使用 Rust 时的生产效率两倍于 C++。Rust 是内存安全语言,被认为有助于减少内存安全相关的漏洞,包括美国国家网络总监办公室和 NSA 都曾发表报告呼吁企业使用内存安全语言。C++ 作者 Bjarne Stroustrup 等人对此提出过异议,认为如果搭配适当的工具,C++ 在内存安全上能匹配 Rust,而所需代价相对于切换到 Rust 微乎其微。Bergstrom 对比了从 Go 切换到 Rust 以及从 C++ 切换到 Rust。Go 编写的系统用 Rust 重写,所需团队规模和时间基本相同,也就是生产效率没有下降,但同时带来了其它方面的益处,包括服务使用的内存略有减少,缺陷率随着时间的推移也略有下降。从 C++ 切换到 Rust 产生的变化则更为显著——用 Rust 构建服务以及维护和更新所需的工作量减少到原来的二分之一以内。Bergstrom 还表示,开发者发现 Rust 代码更容易审查,对 Rust 代码的正确性也更有信心。
消息应用 Telegram 推出了 Telegram Business,为企业级客户提供了方便使用的工具和功能,不需要他们掌握编程技能。举例来说,企业可选择在地图上显示营业时间和位置,使用自定义的起始页欢迎客户,类似 WhatsApp 的快速回复,为首次互动的客户设置自定义问候语,创建聊天链接,使用 Telegram 机器人或其它 AI 助手回复消息,等等。Telegram 同时还为至少千名订阅者的公共频道启用广告收入共享。创始人 Pavel Durov 此前接受《金融时报》采访时表示该平台有逾 9 亿用户,有望在 2025 年盈利,并考虑 IPO。
Human Resocia 公布的报告显示,美国以 445.1 万 IT 工程师高居第一,印度 343.1 万第二,中国 328.4 万第三,日本 144 万人第四,但与前三相差甚远。在薪水方面,瑞士的 IT 工程师薪水最高,其次是美国、以色列、丹麦、巴拿马和德国,中国超过日本排在第 24 位。2023 年中国 IT 工程师的平均年薪为 3.6574 万美元,日本为 3.6061 万美元。分析师称,日本 IT 工程师薪水低的原因是多层转包结构。
地球仍然处于“发烧”状态,看不到缓解的迹象。地球已经连续 9 个月创下温度纪录,而刚刚过去的 3 月很可能是第 10 个。3 月的最后一个周末,很多地方出现了创纪录高温。欧洲、亚洲、中美洲和西非地区气温都异常高,仿佛已经进入了夏天而不是早春。欧洲八个国家——阿尔巴尼亚、白俄罗斯、克罗地亚、爱沙尼亚和波兰等创下该国的 3 月温度纪录。日本有 70 个地区刷新或平了当地的温度纪录。泰国普吉岛在 3 月 27 日纪录到了 39.2 摄氏度的创纪录高温。危地马拉 La Fragua 气温达到 44 摄氏度打破了中美洲温度纪录。哥斯达黎加气温达到了 41.5 摄氏度。
被游戏玩家广泛使用的聊天应用 Discord 宣布将从本周开始展示游戏公司的广告,而此前 Discord 一直抗拒广告。Discord 表示用户将可以在其设置中关闭广告。知情人士表示 Discord 计划招聘十多名广告销售。此举将代表着 Discord 的转型。该公司 CEO Jason Citron 曾经多次表示不会像 Facebook 和 Instagram 等平台那样依赖广告商。
海盗湾诞生于 2003 年,它托管的大部分早期种子在 21 年后都失效了。BitTorrent 需要至少一个人共享完整的文件副本,而这很难维持二十多年。有几个早期种子经受了这一考验。其中之一是 2004 年 3 月 25 日上传的《High Chaparral》第二季第二集,至今仍然有人在做种,OpenTrackr.org 的跟踪显示有 4 个做种者拥有这一集的完整副本。它可能是海盗湾现存最古老的种子,因此获得了特殊地位,鼓励用户继续做种。互联网上最古老的活跃 BT 种子是《The Fanimatrix》,它上传于 2003 年 9 月,至今仍然有逾百名做种者。
因基因编辑婴儿事件入狱的科学家贺建奎接受日媒《每日新闻》采访时表示已恢复人类胚胎基因组编辑的研究。他表示将使用废弃的人类胚胎,遵守国内外的规则。他表示没有计划制造更多基因编辑婴儿。贺建奎是在 2018 年披露使用 Crispr-Cas9 基因编辑技术编辑特定胚胎基因后产下了一对名为露露和娜娜的婴儿。他的实验震惊了医学界和科学界。2019 年 12 月他被深圳南山区人民法院判处有期徒刑三年。
OpenAI 宣布其 AI 聊天机器人 ChatGPT 将对所有用户开放,无需登录就可以使用。代价是匿名用户的所有聊天纪录将会进入 OpenAI 的训练数据库,注册用户则可以选择退出。该功能将逐步推送给所有地区的用户,因此可能会有部分地区的用户仍然需要登陆才能使用。免费用户只能使用 GPT-3.5 模型,使用 OpenAI 最新的 ChatGPT 4 模型仍然需要付费订阅。
我们生活在一个美好的时代,微软不仅为内核贡献代码,而且在进一步充实内核对 Rust 语言的支持。微软工程师 Wedson Almeida Filho 递交了与 Allocation API 相关的最新补丁,将这些拟议中的 API 作为一种允许 Rust 内核模块就地模块初始化的方法。Wedson Almeida Filho 是 Rust for Linux 的长期贡献者,之前在 Google 工作,过去两年在微软工作。