硬核观察 #1162 HashiCorp CEO 称硅谷将不会再有开源公司
HashiCorp CEO 称硅谷将不会再有开源公司
之前,我们报道过,HashiCorp 将其 Terraform 等产品从开源的 MPL 许可证改为 MariaDB 的 BSL 许可证,新的许可仅限于 “非生产使用”。尽管开源的拥护者抨击了 HashiCorp 的许可证转换,并成立了 OpenTF 基金会,但 HashiCorp CEO 戴夫·麦克简内特 Dave McJannet 却用 “太好了” 来形容其最大客户的反应,他声称很多反馈都是“我们希望你们早点这么做”。他还补充说,他们宣布之前已经与主要云计算厂商进行了讨论,“在过去的三四年里,每一个达到一定规模的厂商都得出了同样的结论。”他认为,历史上的开源基金会模式已经被打破,因为它们被传统供应商所主导。“它们是大公司保护自己不受创新影响的一种方式,”一旦某个项目流行起来,“克隆厂商就会开始抢占这些东西”。他批评了 Linux 基金会接纳 OpenTF 基金会的做法,“这对开源创新来说是个悲剧。……那样硅谷就不会再有开源公司了。”
老王点评:我想说,这就是得了开源的利,而砸开源的锅。一开始开源得到了社区贡献和支持,壮大后就嫌弃黄脸婆了。但是,公平的说,为什么会有大量的项目会在壮大后抛弃开源?是开源模式无法持续,还是新的形势下,开源模式也需要新的进化呢?
攻击者在 Binance 区块链上托管恶意软件
通常,被攻击者入侵的网站会向访问者分发恶意软件,而这些恶意软件在被发现后会被清除。但安全专家发现,攻击者开始通过将恶意文件托管在去中心化的、匿名的区块链上,使这些恶意软件不被安全专家或执法部门清除。攻击者在 Binance 智能链(BSC)上创建一个新的智能合约,包括一个由攻击者控制的区块链地址,以及一组定义合约功能和结构的指令。当被攻击的网站查询该合约时,它会返回一个被混淆的恶意有效载荷。由于区块链的可公开访问性和不可更改性,这些恶意代码无法被清除,攻击者从而获得一种免费的、无跟踪、稳健的方式来下载恶意有效载荷,而且不会留下痕迹。
老王点评:我是真没想到区块链被用在这个用途上,还好 BSC 不够去中心化,尚有一定手段可以缓解,但是这反而有点让人哭笑不得。
KeePass 被攻击者用国际化域名编码钓鱼
安全公司警告,攻击者正通过谷歌广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。攻击者使用国际化域名编码(Punycode)注册了 KeePass 的钓鱼网站 ķeepass[.]info,它和 KeePass 官方域名在视觉上的差异非常小,无疑会让很多人上当。
老王点评:国际化域名用的很少,但带来的麻烦却很多。不过,这种钓鱼手段应该可以被浏览器很好的防御。