Npm 团队近日发布了安全警报,建议所有用户更新到最新版本(6.13.4),以防止“二进制植入”(binary planting)攻击。
Npm 开发人员表示,npm 命令行界面(CLI)客户端受到了安全漏洞的影响,同时包括文件遍历和任意文件(覆盖)写入问题。攻击者可以利用该错误来植入恶意二进制文件或覆盖用户计算机上的文件。仅在通过 npm CLI 安装受感染的的 npm 软件包期间,才能利用此漏洞。 目前,Npm 团队一直在扫描可能包含旨在利用此 bug 的恶意软件包,暂未发现任何可疑案例。他们认为这并不能保证该 bug 已经被使用过,还是得提高警惕。该团队表示将继续进行监视, “但是,我们不能扫描所有可能的 npm 软件包来源(私有注册表、镜像、git 仓库等),因此尽快更新非常重要。” 除了 npm 之外,另一个 JavaScript 包管理器 yarn 也会受到影响。在本周早些时候,随着 yarn 1.21.1 的发布,这一 bug 已在 yarn 中修复。 相比较之下,该问题对 npm 用户的影响比对 yarn 的影响更大。 因为 npm 不仅是最大的 JavaScript 软件包管理应用,而且还是所有编程语言的最大软件包存储库,拥有超过 350,000 个库。从浏览器到金融应用程序,从台式机到服务器,JavaScript 如今无处不在。因为 npm 在 JavaScript 生态系统中具有如此重要的作用,所以它经常被滥用。 近日,华为鸿蒙 OS 有了新动态——据深圳特区报报道,华为消费者业务软件部总裁王成录 12 月 8 日在 HUAWEI Talk 主题分享会上表示,在 2020 年,华为除了手机、平板和电脑,其他终端产品将全线搭载鸿蒙 OS;与此同时,鸿蒙 OS 在海内外也同步推进,将于 2020 年 8 月正式全面开源。
不过,王成录也透露,华为手机仍然会优先选用 Android 系统,实在用不了才会用鸿蒙。实际上,在今年上半年,关于华为自研操作系统的传闻就接连不断;当时华为刚被美国政府列入实体名单,Google 随即停止了向华为提供 Android 方面的支持。一定程度上,这加快了鸿蒙 OS 面世的进程。 今年 8 月 9 日至 8 月 11 日,2019 年华为开发者大会 关于开发鸿蒙 OS 的初衷,华为消费者业务 CEO 余承东说道:随着全场景智慧时代的到来,华为认为需要进一步提升操作系统的跨平台能力,包括支持全场景、跨多设备和平台的能力以及应对低时延、高安全性挑战的能力,因此逐渐形成了鸿蒙 OS 的雏形。 他还补充说,鸿蒙 OS 的出发点和 Android、iOS 都不一样,是一款全新的基于微内核的面向全场景的分布式操作系统,能够同时满足全场景流畅体验、架构级可信安全、跨终端无缝协同以及一次开发多终端部署的要求。 Debian 社区就支持非 systemd 初始化系统进行投票,时间为 20 天。Debian 技术委员会在 2014 年采用 systemd 的决定引发了很多争议,反对者为此创建了一个不使用 systemd 的分支。在五年之后,Debian 又开始重新考虑支持 systemd 之外的其它初始化系统。
投票共包含 8 个选项:继续专注于 systemd;systemd 但同时探索替代;支持多个初始化系统很重要;支持非 systemd 初始化系统,但避免阻碍进度;支持可移植性,避免阻碍进度;支持多个初始化系统是必要的;支持可移植性和多种初始化系统;进一步讨论。 |
