文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
因为抗议软件(protestware)的威胁,俄罗斯最大银行联邦储蓄银行警告其用户停止更新软件。绝大部分抗议软件只是简单展示下反战口号,但至少有一个抗议软件包含有恶意代码设计抹掉俄罗斯和白俄罗斯计算机上的文件。联邦储蓄银行在一份声明中称,“我们督促用户停止更新软件,督促开发商加强对外部源代码的控制。”抗议软件是活动人士穿透俄罗斯审查和传递反战信息的最新尝试。在开源社区,许多人担心如果抗议软件包含破坏功能可能会破坏开源生态系统。开源生态系统的一个关键要素是信任。
仅仅相隔三个月时间,Blender 基金会宣布释出 Blender 3.1,新版包含了大量的改进和性能提升,其中包括对 Apple Metal(硬件加速 3D 图形和计算着色器 API) 的支持,相比使用 Apple M1 CPU 的实时渲染,使用 Apple Metal 的渲染时间减少了一半;等等,详细可浏览发布页面。
自由固件项目 coreboo 的开发者指出,未来支持 Firmware Support Package 3.0 和 Universal Scalable Firmware (USF)的英特尔系统将会对开源固件日益不友好。英特尔决定固件完全闭源不公开。英特尔上季度刚公布 USF 规范草案,据报道它专注于降低固件复杂性,跨 CPU 和 XPU 扩展,支持行业引导程序和 OS 负载,提高固件质量和安全性。但 Coreboot 开发者指出它对开源不友好。
MS-DOS 开源替代 FreeDOS 的作者 Jim Hall 正式发布了 1.3 版。FreeDOS 1.3 主要变化包括:新的 FreeCOM 0.85a,新 Kernel 2043 和支持 FAT32 的 8086 版本,软盘版本使用了压缩减少了一半需求,网络,新程序和游戏,软件包更新,NLS 更新,改进安装流程,等等。Jim Hall 在 1994 年发起了 FreeDOS 项目,当年发布了第一个 Alpha版 本,2006 年发布了 1.0 正式版,2012 年发布了 1.1 版本,2016 年发布了 1.2 版本。
微软纪念 .NET 框架发布二十周年。根据编程问答社区 Stack Overflow 的开发者调查,.NET 在 2019、2020 和 2021 年连续三年被评为最受开发者喜爱的框架。.NET 的第一个版本在 2002 年 2 月 13 日作为的 Visual Studio.NET 的一部分首次公开亮相。过去二十年,.NET 框架从一个流行的闭源软件开发平台,变成了一个开源的跨平台开发工具,2012 年微软完整开源了 ASP.NET MVC Web 框架,2014 年 11 月 12 日开始构建跨平台开源 .NET 框架,支持竞争对手 Linux 和 OS X 的平台。在此期间,微软也从一家宣称 Linux 是癌症的公司变成了一家对开源友好的公司。很多人也认为,微软本身并没有变化,而是它的商业模式发生了变化,从销售软件转向了销售服务,对服务而言,软件闭源还是开源不重要。
安全桌面操作系统 Qubes OS 释出了 4.1 版本。Qubes OS 使用一组被称为 Qubes 的虚拟机将不同功能隔离开来,每一个应用程序都运行在各自的沙盒中,确保一个程序有安全漏洞不会影响到其它程序。Qubes OS 使用了 Xen 虚拟层(hypervisor)和 Qubes 隔离系统不同部分,其中 Xen Dom0 是系统中虚拟层之外权限最高的部分,提供了管理接口还充当了所有 Qubes 的显示管理器,如果有人能访问它那么就能在整个系统中为所欲为了,Qubes OS 4.1 的一大变化就是将显示处理部分分离为一个独立的 GUI domain。4.1 版本的另一个变动是新的 Qrexec 策略系统,等等。
LibreOffice Community(社区版) 释出了 v7.3,主要变化是改进了与微软私有文件格式的互操作性,并提供了新功能简化用户从 MS Office 迁移到 LibreOffice。主要改进包括:改进打开 DOCX 和 XLSX/XLSM 大文件的速度,改进了 DOC 和 DOCX 文档格式项目符号和编号的导入,解决了在包含大型数据集的自动筛选搜索框中输入一个字符后卡顿的问题,加快了某些复杂文档的渲染速度以及导出为 PDF 时的速度等问题。
XmacsLabs 写道 "墨干编辑器原名Xmacs,是GNU TeXmacs的一个衍生版。
下载链接:https://gitee.com/XmacsLabs/mogan/releases/v1.0.0
墨干编辑器v1.0.0是基于GNU TeXmacs 2.1.1定制的基础版本,功能上和2.1.1完全一致。
由于已经将默认脚本引擎从Guile 1.8切换到了S7 Scheme,墨干编辑器比GNU TeXmacs会快很多。另外,所使用的Qt框架也从4.8升级到了5.15.2。"
color 和 faker 开发者的 Marak Squires 本月早些时候通过加入无限循环故意破坏了这两个广泛使用的依赖库。在包管理器 NPM 上,colors 的周下载量超过 2000 万次,有近 19000 个项目依赖它;faker 的周下载量超过 280 万次,有超过 2500 个项目依赖它。在事故发生之后,GitHub 平台短暂封禁了其账号,在解封之后其发行权仍然被剥夺。faker 之后出现了社区管理的分支。Marak Squires 想要拿回发行权,他声称自己的邮件没有收到任何回应,而他有一百个包需要维护,“每个人都会不时犯下编程错误,没有人是完美的。”但无心之过和故意破坏显然是两码事,他的请求几乎无人支持,认为他的故意破坏损害了开源生态系统的信任原则。
拉脱维亚公司 Ascensio System SIA 开发的自由软件办公套装 OnlyOffice 发布了 7.0 版本。OnlyOffice 7.0 的新特性包括:创建可填写的在线表格,用密码保护电子表格和文档,支持打开保存查询表,超链接自动修正,等等。OnlyOffice 7.0 开源了以前付费专业版本提供的功能,如文档比较、内容控制和电子表格表视图等。
尽管工作没有报酬,部分开源开发者开始意识到他们拥有巨大的力量,因为其项目被世界最大最赚钱的公司使用。一月初,两个流行的 NPM 包——“colors”和“faker”的开发者 Marak Squires 故意更改代码,破坏了这两个包的功能,在调用时,它会输出“LIBERTY LIBERTY LIBERTY”(自由),然后是乱码,出现无限循环。虽然 Squires 没有透露此举原因,但他之前曾在 GitHub 上表示,“我不想用无偿工作支持财富 500 强(和其他的小公司)了。”Squires 的修改破坏了其他流行的项目,包括亚马逊的 Cloud Development Kit,因为他的库每周在NPM 上安装近 2000 万次,数千个项目直接依赖于它们。NPM 在几个小时之内对这个流氓版本进行了回滚,而 GitHub 则暂停开发者账户作为回应。
NPM 的回应在预料之中,之前曾发生过恶意代码被添加到库中,最终被回滚以控制损害,GitHub 的做法却是件新鲜事:该代码托管平台删除了 Squires 的整个帐户,即使他是这些代码的所有者,并且有权随心所欲地对它们进行修改。这并不是开发者第一次用他们的代码表示抗议。2016 年在与 Kik messenger 就他拥有的另一个开源项目的命名发生争执之后,“left-pad”的开发者从 NPM 上撤下了他的代码,破坏了数以万计依赖它的网站。令人惊讶的是,尽管偶尔会有知名的库抗议这个行业运作的方式,但此类事件并不常见:尽管许多价值数百万美元的产品是在开源开发者的工作上创造出来的,可是开源开发者仍在无偿工作,竭尽所能地维护自己的项目。
NPM 的回应在预料之中,之前曾发生过恶意代码被添加到库中,最终被回滚以控制损害,GitHub 的做法却是件新鲜事:该代码托管平台删除了 Squires 的整个帐户,即使他是这些代码的所有者,并且有权随心所欲地对它们进行修改。这并不是开发者第一次用他们的代码表示抗议。2016 年在与 Kik messenger 就他拥有的另一个开源项目的命名发生争执之后,“left-pad”的开发者从 NPM 上撤下了他的代码,破坏了数以万计依赖它的网站。令人惊讶的是,尽管偶尔会有知名的库抗议这个行业运作的方式,但此类事件并不常见:尽管许多价值数百万美元的产品是在开源开发者的工作上创造出来的,可是开源开发者仍在无偿工作,竭尽所能地维护自己的项目。
FFmpeg 多媒体框架释出了最新的 5.0 "Lorentz"。FFmpeg 被多媒体应用广泛使用,其中之一是 VLC。FFmpeg 5.0 是一个重大更新版本,开发者删除了旧的编码/解码 API,用基于 N:M 的新 API 取代,删除了 libavresample 库,libswscale 引入了新的更易于使用的基于 AVframe 的 API,改进了 Vulkan 代码,加入了许多新的过滤器,整合了 libplacebo,支持 DoVi 等等。
在一位开源开发者故意破坏两个广泛使用的开源库一周之后,其中之一的 Faker.js 成为社区控制的开源项目。Faker 是一个生成虚假但合理数据的库,可用于测试和开发,最早由 Jason Kohles 在 Perl 语言中实现,之后移植到 Ruby、Python、Java、Clojure 和 PHP 等不同语言,Faker.js 是 JavaScript 的移植版本。新的社区项目托管在 GitHub 上,名字为 faker-js/faker,包含了 8 名维护者。开发者承诺将继续扩展和开发项目, 为 Faker.js 带来新的生命。
Apache、Google、Apple、Amazon、IBM、Microsoft、Meta、Linux 和 Oracle 等美国科技公司和行业组织与白宫官员举行会谈讨论如何改善开源软件的安全。此前开源软件 Apache Java 日志框架 Log4j2 曝出的高危漏洞影响了无数应用和服务。Google 和Alphabet 的全球事务总裁 Kent Walker 表示现在是时候像物理基础设施那样思考数字基础设施,开源软件是数字世界的结缔组织,值得获得类似桥梁和公路的关注和投资。他建议建立一个关键开源项目清单,以优先考虑和分配资源。
Log4j 高危漏洞再次引发了开源软件安全的讨论,许多人认为开源软件主要是维护者在业余时间维护,他们严重缺乏资助。但开源软件安全基金会总经理 Brian Behlendorf 指出缺乏资助不是开源软件安全的唯一问题。他概述了降低安全风险的七个要点,包括安全扫描、外部审计、依赖性跟踪、框架测试、整个组织范围内的安全团队,要求项目删除旧的、有漏洞的代码。他指出太多的组织未能应用筹集到的资金或设定标准流程去改进安全实践,不明智的热衷于增加代码行数而不是改善代码质量。他说没有谈论资金并不是钱不重要,开源开发者及其支持者应该得到更多报酬和更多的赞美,但如果你说给开源维护者更多钱他们就能写出更安全的代码,这事实上是一种侮辱。公地悲剧的发生是因为下游用户以为上游开发者已在安全方面做到位了,以为酬劳由他人支付他们可以搭便车。
中国向联合国通报称,SpaceX 星链(Starlink)卫星曾先后两次接近中国空间站,空间站组合体分别于 7 月 1 日和 10 月 21 日实施对预防性碰撞规避控制。其中第一次紧急避碰发生在:星链-1095卫星自2020年4月19日起稳定运行在平均高度约555千米的轨 道上。2021年5月16日至6月24日,该卫星持续降轨机动至平均轨道高度382千米后,保持在该轨道高度运行。7月1日,该卫星与中国空间站间出现近距离接近事件。出于安全考虑,中国空间站于 7月1日晚主动采取紧急避碰,规避了两目标碰撞风险。第二次紧急避碰发生在:2021年10月21日,星链-2305 卫星与中国空间站发生近距离接近事件。鉴于该卫星处于连续轨道机动状态,机动策略未知且无法评估轨道误差,存在与空间站碰撞风险。为确保在轨航天员安全,中国空间站于当日再次实施紧急避碰,规避了两目标碰撞风险。此前国际空间站也因为星链、中国的风云一号卫星残骸和俄罗斯卫星碎片执行紧急机动躲避。
开源数字绘图项目 Krita 释出了 5.0 版。5.0 是一个大更新版本,与 Krita 4.x 和 Krita 3.x 创作的文件存在部分兼容性问题。主要变化包括:重写了资源处理,资源系统更快更灵活;渐变更平滑,改进了渐变工具;重写了 Color Smudge 引擎,新的 MyPaint Brush 引擎;重写了动画子系统,等等。
在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。