Docker的“跳过更新”竟要付费;恶意软件用 Rust 重写后更难被发现;15 款输入法被指过多收集用户信息 | 架构视点

架构头条 2021-05-08 09:34
整理 | 万佳
本周架构视点:Docker 的“跳过更新”竟要付费;IBM 制造出第一个 2 纳米芯片;15 款输入法被指过多收集用户信息;Kotlin 2021 年首个大版本发布;戴尔 BIOS 驱动发现 5 个高危漏洞;Linus Torvalds 谈开源开发和美国生活。
1万万没想到
 Docker 的“跳过更新”竟要付费


本周,纽约大学工学院助理教授 Brendan Dolan-Gavitt 在推特上吐槽,Docker 新版本将「跳过更新」设置为付费功能,成为 Pro 用户才能使用。据 Docker 博客显示,该功能出现在 Docker Desktop 3.3 之后,旨在为 Pro 或 Team 用户提供关于更新的更多灵活性。即此类付费用户可以跳过更新提醒,而免费用户则只能暂时关闭该提醒,之后仍将不断收到弹窗提醒,除非成为 Pro 或 Team 用户。

许多人指责 Docker 此举损害了用户使用体验,并且该功能在设计上似乎也是在诱导用户购买 PRO 版本。还有网友坦言,Docker 做法实在太“混蛋”了,虽然它没有强制升级,但开发者却无法以免费用户的身份永久取消更新通知——这非常烦人,却又无可奈何。更有人认为 Docker 这种做法就是恶意软件的行为。

 15 款输入法被指过多收集用户信息

最近,网信办通报 33 款 App 违法违规收集使用个人信息,其中包括 15 款输入法应用和 17 款地图应用,以及一款即时通信应用。被通报的输入法包括搜狗、讯飞、百度、QQ 等,均是很流行的输入法;通报的地图应用包括高德、百度、腾讯等。这些应用被指问题主要是“违反必要原则,收集与其提供的服务无关的个人信息”。


 恶意软件用 Rust 重写后变得更难被发现

最近,Proofpoint 研究人员发现 Buer 恶意软件一个新变种。据悉,Buer 是一个在地下市场出售的下载程序,首次出现于 2019 年。它被用作受感染网络中的立足点,以分发包括勒索软件在内的其他恶意软件。Buer 最初是用 C 语言编写的,而其新变种则是用 Rust 编写,因此研究人员将新变种命名为 RustyBuer。研究人员发现,用 Rust 重写的恶意软件可以让威胁参与者更好地逃避现有的 Buer 检测功能。

 IBM 制造出第一个 2 纳米芯片

本周,IBM 公司宣布制造出第一个 2 纳米芯片。相比 7 纳米芯片,2 纳米芯片在相同功率下性能提升 45%, 或在相同性能下功耗降低 75%。其晶体管密度达到每平方毫米 3.33 亿个晶体管,而台积电 5 纳米芯片的晶体管密度为每平方毫米 1.71 亿个晶体管。IBM 曾是主要的芯片制造商之一,如今已经把量产芯片工作委托给三星电子,但仍保有纽约州奥尔巴尼的芯片制造研发中心,该厂进行芯片试产,IBM 也与三星和英特尔签订联合技术开发协议,两家公司可以使用 IBM 的芯片制造技术。

 苹果以工程师数量评估收购对象,1 个工程师 300 万美元

据 CNBC 报道,通过收购加入苹果并参与了整个收购过程的人士表示,苹果的收购策略侧重于从小公司获得有才华的技术人员,通常以在那里工作的工程师数量来评估这些公司,并迅速和悄悄地将他们整合进苹果的团队。报道称,苹果一般对继续被收购公司的业务线不感兴趣。苹果对交易设定了条件,即必须有一定数量的技术员工加入,否则交易将失败。一些熟悉苹果流程的人士表示,它根据技术员工的数量给公司估值,而非根据这家初创公司的收入或融资记录,每个工程师的价格约为 300 万美元。

 Linus Torvalds 谈开源开发和美国生活

近日,Tag1 公布了采访 Linus Torvalds 的第二部分,下文为选取内容。


Torvalds 说他是一个死心眼的人,与其他开源项目没什么互动,这是他在 30 年后仍然在维护内核的一个原因。Linux 以及 Git 的成功部分可能是幸运,部分可能是时机合适,也就是在“在正确的时间正确的地点”做正确的事情。他说,维护一个庞大项目需要大量的工作,长时间维护一个项目并不好玩,但非常有意思,极具挑战性。不是每个人都想做这样的事情。

维护一个大开源项目的另一件重要事情是公开,你不能靠一个内部圈子秘密讨论后公开结果,你需要把一切都敞开。Linux 能够成功的另一个原因就是他并没有庞大计划,没有事情将会如何走向的高度期望,这让很多开发者很容易能参与进来,因为他对 Linux 怎么走是持开放立场的。开放的一个重要方面是诚实,你不想在背后玩政治,你可以不喜欢你合作的每一个人,他们也不需要喜欢你。最重要的事情是你们能信任彼此。信任真的非常重要。Torvalds 说沟通技能真的非常关键,他生活在记者家庭,父母是记者,祖辈还有一位是诗人,英语是他的第三语言,沟通对他而言不是难事,但对其他人来说因为个性或语言障碍沟通可能会成为一大问题。

Torvalds 说他对 Linux 的未来没有任何长远计划,他不知道五年后的 Linux 会怎么样,更不知道三十年后怎么样,他最多知道几个月后会怎样。作为一名工程师,他对细节看得比什么都重要。细节真的是最重要的事情,如果你搞定了细节,那么一切就顺理成章。Torvalds 称,他有一个很自觉的观念是不为一家 Linux 公司工作,不是因为他认为商业兴趣是错误的,而是因为他希望被视为一个中立方,不被看作是一个竞争对手。他认为部分开源项目因为过于反商业化而搬起石头砸自己的脚。

2IT 科技新闻
 Kotlin 2021 年首个大版本发布

本周,Kotlin 1.5.0 稳定版正式发布,此版本提供了稳定的语言特性,例如 JVM records、密封接口 (sealed interface)、内联类 (inline class),并引入了新的默认 JVM IR 编译器。据悉,新编译器与 Kotlin/Native 和 Kotlin/JS 编译器共享统一的管道和业务逻辑,因此 Kotlin 团队可同时为所有平台实现大多数功能、优化和错误修复。新的编译器还将允许开发者添加自定义处理和转换,这些处理和转换将自动在所有平台上运行。

https://blog.jetbrains.com/kotlin/2021/05/kotlin-1-5-0-released/

 GitHub 屏蔽 Google 的 FLOC

近日,GitHub 加入反对 Google 的第三方 cookie 跟踪替代技术 FLOC 阵营。其网页服务 GitHub Pages 屏蔽了 FLOC,来自 github.io 域名的 GitHub Pages 页面使用了 Permissions-Policy: interest-cohort=() 报头设置,使用定制域名的页面设置没有改变。在这之前,最流行的内容管理平台 WordPress 宣布它计划在其平台上默认自动屏蔽 FLOC。WordPress 还表示它考虑加入设置允许管理员控制是否允许 FLOC。此外,Firefox、Brave 和 Vivaldi 也都采取了类似行动。

 戴尔 BIOS 驱动发现 5 个高危漏洞

最近,安全公司 Sentinel Labs 披露戴尔 BIOS 驱动 DBUtil 2.3 发现 5 个高危漏洞。据悉,存在漏洞的版本有 12 年历史,被预装在数以亿计的戴尔电脑上。这些漏洞允许攻击者在本地提权。5 个漏洞包括 2 个内存错误和 2 个缺少输入验证,以及 1 个代码逻辑问题。安全研究人员是在 2020 年 12 月通知戴尔公司,它将在 2021 年 6 月 1 日公布 Proof of Concept 代码。Sentinel Labs 的研究人员不是第一个发现和报告漏洞的,事实上从 2019 年起有三名安全研究员向戴尔报告了漏洞,但不清楚为什么戴尔直到现在才修复漏洞。

 Soul 网关进入 Apache 基金会孵化器,改名 ShenYu(神禹)网关

最近,Dromara 开源社区的 Soul 网关经过 Apache Incubator 投票,正式进入 Apache 基金会孵化器。随后,Soul 网关项目将改名为 ShenYu。据官方解释,ShenYu ( 神禹 ) 是古代君王夏禹的尊称(后世也尊称大禹),为造福百姓,成功治理黄河水患,留下了三过家门而不入的感人故事。

  • 首先,取名为 ShenYu 是弘扬中华文明的传统美德。

  • 其次,网关最重要的是对流量的治理。

  • 最后,社区将会以公平、公正、公开、任人唯贤的做事方式,致敬神禹的同时也非常符合 Apache Way。

 阿里开源的混沌工程 ChaosBlade 进入 CNCF Sandbox

本周,阿里巴巴开源的混沌工程项目 ChaosBlade 通过 CNCF TOC 投票,顺利进入 CNCF Sandbox。据悉,ChaosBlade 是阿里巴巴 2019 年开源的混沌工程项目,包含混沌工程实验工具 chaosblade 和混沌工程平台 chaosblade-box,旨在通过混沌工程帮助企业解决云原生过程中遇到的高可用问题。实验工具 chaosblade 支持 3 大系统平台,4 种编程语言应用,共涉及 200 多个实验场景,3000 多个实验参数,可以精细化地控制实验范围。目前,已有 40 多家企业使用,包括工商银行、中国移动、小米、京东等。

地址:

https://github.com/chaosblade-io/chaosblade

 Clubhouse 下载量暴跌

美国语音社交聊天应用 Clubhouse 今年初火爆世界,以至于社交巨头如 Twitter 和 Facebook 宣布或已经推出克隆产品。但到了上个月,其热度已经大幅下降。数据显示,Clubhouse 在今年 1 月下载量 240 万,2 月大幅增长到了 960 万,3 月降至了 270 万,4 月暴跌至 92.2 万。Clubhouse 目前仍然只支持 iOS 系统,仍然采用邀请制。公司 CEO Paul Davidson 表示 Clubhouse 最终将会对所有用户开放,计划在今年夏天发布 Android 版本。

 特斯拉靠卖比特币和碳排放信用赚钱

今年 2 月,特斯拉公司宣布投资 15 亿美元购买比特币,当时比特币币值超过 5.8 万美元。通过出售自己持有的十分之一比特币,特斯拉获利 1.01 亿美元。特斯拉 CEO 马斯克被批评通过哄抬币值的方法赚钱。马斯克反驳说他没有出售自己的比特币,是特斯拉公司出售的,以证明比特币的流动性可以替代资产负债表上的现金储备。

 印度暂停批准进口中国造 WIFI 设备

印度已连续数月暂停批准进口中国 wifi 模组,导致戴尔、HP、小米、Oppo、Vivo 及联想等大型厂商推迟在印度推出产品。从中国进口任何搭载 wifi 模组的电子设备成品,包括蓝牙音箱、无线耳机、智能手机、智能手表及笔记型电脑,都遭到延迟。在印度总理莫迪呼吁加大经济自力更生程度之际,印度对中国进口商品采取了强硬立场。他的民族主义政策帮助促进了印度的智能手机组装业务增长,消息人士认为,政府的意图是说服企业把更多的电子设备放在印度生产。

 夜间模式无助于改善睡眠质量

杨百翰大学的研究人员发现,减弱蓝光的夜间模式无助于改善睡眠质量。研究报告发表在《Sleep Health》期刊上。今天的移动设备通常都支持夜间模式,旨在通过减少屏幕产生的蓝光,让用户能更好的入睡。在研究中,167 名年轻成年人被随机分成三组:一组在睡觉前不用 iPhone,一组在睡觉前玩手机但不开夜间模式,还有一组开夜间模式。结果显示在三种情况下睡眠结果没有显著差异。睡觉前不玩手机的人睡眠质量有所改善,但开不开夜间模式没有显著影响。

3本周公众号宝藏文章

“行业毒瘤”低代码

Linux 之父:编程之美

我曾目睹的微服务灾难

为什么我使用 GraphQL 而放弃 REST API ?

GitLab 发布 DevSecOps 调查报告:57% 的受访者代码发布速度提升了 2 倍


点个在看少个 bug 👇

推荐阅读