开源让软件更加安全了吗？

近日，软件和芯片设计公司 Synopsys 发布《2020年开源安全和风险分析报告》，指出不安全的开源软件已无处不在。一方面，99%的审计代码库中至少包含一个开源组件，另一方面，经过审核的代码库中有75％包含具有已知安全漏洞的开源组件，老化和废弃的开源组件也无处不在。3 月，安全和许可证合规性管理解决方案提供商 WhiteSource 同样发布了一份《2019年开源组件安全漏洞现状报告》。统计显示，2019年公开的开源软件漏洞数量激增至6000多个，增幅达近50%，原因包含开源软件应用的扩大。开源软件漏洞数量的上升可以归因于开放源组件的广泛采用，过去几年开源社区的大量增长，以及媒体对最近一些数据泄露事件的报道，（使得人们）对开放源代码安全的关注提高。

来源：开源中国

硬核老王点评：安全与否和广泛性有关。

又一次抛弃 Windows，德国慕尼黑再次拥抱开源

最近当选的慕尼黑执政联盟在一项联合协议中表示，在技术和经济可行的情况下，该市将重点放在开放标准和自由开源软件上。联盟将执政到 2026 年，原则是只要不涉及任何机密或个人数据，市政府相关软件都将开源，微软 Windows 与 Office 等软件再次被抛弃。这一决定受到不少批评，毕竟此前慕尼黑已经尝试过从微软系软件切换到 Linux，再从 Linux 切换到 Win 10。这一过程中的经济成本巨大，花费时间也比较长。

来源：开源中国

硬核老王点评：反复带来的是更多的损失。

欧洲多台超级计算机中毒，沦为挖矿肉鸡

据悉周一英国爱丁堡大学首先公布了 ARCHER 超级计算机遭到攻击的报告。同一天德国超级计算机管理组织 bwHPC 宣布因为类似的安全问题，旗下 5 台超级计算机/高性能计算集群现起关闭。周四更多被感染的超级计算机浮出水面。目前尚不清楚究竟是什么人或组织实施了这些攻击，但据安全公司分析，黑客是通过窃取 SSH 凭证获得了超级计算机的访问权限，而大学内部人士因为有权访问这些超级计算机而最有嫌疑。实际上被劫持的 SSH 登录名分别属于加拿大、中国和波兰的大学。所有恶意软件的文件名和网络指示器都证明它们的源头可能是同一个地方。

来源：快科技

硬核老王点评：其实就是 SSH 凭证管理不善，没有更高级别的安全管理措施，超级计算机也并不比普通服务器更安全。

NVIDIA 与开源社区合作，将 GPU 加速带入 Spark 3.0

NVIDIA 方面宣布与开源社区达成合作，为 Apache Spark 3.0 带来端到端的 GPU 加速。按照计划，随着 Spark 3.0 于春季晚些时候发布，数据科学家和机器学习工程师将首次能够把革命性的 GPU 加速应用于普遍使用 SQL 数据库操作进行的 ETL（提取、转换和加载）数据处理工作负载中。

来源：开源中国

192 个违规收集个人信息的 App 被责令改正，包括“猎豹清理大师”

今年第一季度，全国公安机关网安部门依法查处违法违规收集公民个人信息 App 服务单位 386 个，其中，97 个 App 被予以行政处罚，192 个 App 被依法责令改正违法行为，51 个 App 被下架、停运。十大案例为： 猎豹清理大师、印象笔记、好孕帮、不背单词、哈弗智家、完美校园、天然工坊、随手借、每日瑜伽、Paintly。

来源：人民公安报

硬核老王点评： 这些你安装几个？

《Half-Life：Alyx》更新支持 Linux、Vulkan 和关卡编辑

在今日公布的更新中，Valve 为《Alyx》添加了许多新功能，比如原生支持 Linux（不再需要 Proton）、Vulkan 图形 API、且提供了关卡编辑工具。

来源：cnBeta.COM

勒索软件攻击者向纽约律所勒索 4200 万美元

纽约律所 Grubman Shire Meiselas & Sacks (GSMS) 上周遭到了勒索软件 REvil (Sodinokibi) 的攻击，在加密计算机系统中的文件前勒索软件先窃取了其内部文件。攻击者 5 月 7 日在暗网发布信息，公布了一些窃取到的文件截图，给律所一周时间协商和支付赎金。14 日是截止日期，REvil 背后的运营者发布了第二则信息，称律所只愿意支付 36.5 万美元，而他们的要求是 2100万美元，因此现在他们把赎金增加了一倍至 4200 万美元。作为惩罚，REvil 黑客发布了 2.4 GB 大小的文档，其中包含了 Lady Gaga 的法律文书，大部分是演出合同。

来源：solidot

硬核老王点评：勒索者恼羞成怒。