开源软件受到企业喜爱,但可能需要注意漏洞问题。一项针对开源项目的安全研究显示,一些主要开源项目去年发现了近1,000个漏洞数量,其中又以Jenkins和MySQL漏洞最多。此外,跨网站脚本(XSS)及输入资料验证,是出现最多攻击程序的漏洞类型。
安全厂商RiskSense查看了54项主要的开源项目,从2015年到2020年3月底的公开CVE漏洞代码,同时分析这些漏洞从被公开到被分派CVE代码所需时间,以及针对它们的攻击程序数量。 研究人员发现,2015年到2019年一共发现这54个开源2,694个CVE代码,而且呈现急速增加的趋势。其中2019年冒出了968个漏洞,比2018年(421个)增加了130%,比2017年(435个)增加127%。但研究人员说,从2020年头3个月有179个漏洞代码来看,可以预测2020年恐怕还会再创新高。 而从个别项目的漏洞数量来看,持续集成工具Jenkins以646项漏洞居冠,其次是数据库软件MySQL。而“被武装化”(weaponized)漏洞,意思指存在攻击程序的漏洞,这两个项目也不少,各有15个。另一方面,HashiCorp的虚拟部署工具Vagrant虽然只有9个漏洞,却有6个遭“武装化”,是比例最高的项目。内容管理平台Alfresco的9个漏洞中,也有3个被武装化。 Apache Tomcat、Magento、Kubernetes、Elasticsearch和JBoss的漏洞,也是现实世界攻击中,黑客最爱的目标。若看漏洞类型,跨网站脚本(Cross-Site Scripting,XSS)或输入资料验证(Input Validation)漏洞是最常见的两大类型。其中XSS漏洞被武装化程度(存在攻击程序数量)以11个最多。被武装化的输入资料验证漏洞有9个为第2多。访问管控漏洞者以7个居第3。更多相关信息,请关注本次专辑…… 尽管在过去数月中已经获得了大量的改进和新功能,但相较于 Android 和其他产品,Chrome OS 依然不受谷歌的重视。但至少我们看到谷歌做出的一些改变,让 Chromebook 不仅只是办公、教育的枯燥产品,更加突显游戏等娱乐功能。
几乎没有人会将 Chromebook 和游戏联系在一起,在更多的时候是满足办公、教学、学习的轻量级设备,而且 Chromebook 的性能普遍中等偏下,无法提供澎湃的游戏体验。 而伴随着 Google Stadia 的上线,让 Chromebook 的游戏体验得到了很大的改善。目前,Chromebook 已支持运行 Android 游戏了,但遗憾的是并非所有 Chromebook 都支持触控操作,而且也不是所有 Android 游戏都对大屏幕进行了优化。 现在谷歌开始加大了 Chromebook 的游戏内容宣传,强调在 Chromebook 上也可以获得优秀的游戏体验。目前在 Google Play Store 中出现了“premium”区域,提供了诸如《Bridge Constructor Portal》、《Don’t Starve》和《Cultist Simulator》等游戏。更多相关信息,请关注本次专辑…… 现代加密技术令人们可以在传输和存储过程中保护敏感数据,但在数据处理时,却几乎无法对其进行保护。而完全同态加密(Fully Homomorphic Encryption,FHE)技术能够解决这一难题,它允许在保持加密状态的情况下对数据进行操作,最大程度上降低了数据暴露的风险。
起初,允许对加密数据进行处理的密码方案仅限于部分同态方案,该方案只能支持一种基本操作,即加法或乘法,无法同时支持两者。2009 年,IBM 在这方面取得了重大进展,并发明了完全同态加密,它同时支持两种基本操作,因此可以在不访问数据的情况下进行数据处理。 结合其他技术,FHE 还可以有选择地限制解密功能,人们只能看到他们有权访问的文件部分。近年来,由于算法的发展,完全同态加密已达到拐点,其性能正在变得更加实用。 FHE 在许多用例中都具有重大前景,包括但不限于:从私人数据中提取价值(例如分析用户数据)、数据集交集、基因组学分析、不显示意图的查询和安全的外包。 IBM 指出,FHE 特别适合金融和医疗保健等行业,因为该技术可以广泛共享财务信息或患者健康记录,同时限制了对除必要数据以外的所有数据的访问。更多相关信息,请关注本次专辑…… |
