Log4j 2再现新漏洞;缺乏资助不是开源软件安全的唯一问题;微软公布 Entity Framework 7.0 计划 | 开源日报

Posted 开源头条

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Log4j 2再现新漏洞;缺乏资助不是开源软件安全的唯一问题;微软公布 Entity Framework 7.0 计划 | 开源日报相关的知识,希望对你有一定的参考价值。

整理 | 宋彤彤
责编 | 屠敏

开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外今日的开源大事件吧!

一分钟速览新闻点!

  • OpenSSF:缺乏资助不是开源软件安全的唯一问题
  • Log4j 2.17.1 现已发布,修复了新的远程代码执行漏洞
  • 2022 技术趋势预测,开源趋势大好
  • 微软公布 Entity Framework 7.0 计划
  • 英特尔为 Linux 5.17 准备“PFRUT”,允许在不重新启动的情况下更新系统固件
  • 英特尔 Alder Lake N 音频支持将在 Linux 5.17 之前引入
  • lamp-cloud 4.2 发布,基于 SpringBoot 实现的单体版后端工程首次发布
  • ShopXO v1.1.0 发布:企业级免费开源商城系统
  • Polychromatic 0.7.3 发布,支持新的 Razer 设备
  • immudb:世界上最快的不可变数据库,建立在零信任模型上

开源大新闻

OpenSSF:缺乏资助不是开源软件安全的唯一问题

近期 Log4j 高危漏洞引发了大家对开源软件安全问题的激烈讨论,大多数人认为开源软件的维护者主要在业余时间维护,缺乏资助。而在开源软件安全基金会(OpenSSF)的一篇博客文章中,总经理 Brian Behlendorf 指出,缺乏资助不是开源软件安全的唯一问题,博客概述了 OSS 基金会可以采取包括安全扫描、外部审计、依赖跟踪、测试框架、组织范围的安全团队以及要求项目删除旧代码、易受攻击的代码这七点措施来降低安全风险,唯独没有提到资金。

相反,Behlendorf 在这些观点之前说到,“太多组织未能应用筹集到的资金或制定标准流程来改进其安全实践,只是不明智地倾向于增加数量而不是提高代码质量。”Behlendorf 确实就资金和筹款提出了一些观点,但他的观点不是缺乏资金,而是这些资金的分配以及它们需要专注于付费审计和“提供资源以推动关键项目或将代码段转换为内存安全语言,以及为更多测试提供奖励”。同时他表示,在新的一年里,OpenSSF 将努力“提高”开源安全性。(Solidot、Slashdot)

Log4j 2.17.1 现已发布,修复了新的远程代码执行漏洞

近日,Apache 发布了另一个 Log4j 版本 2.17.1,修复了 2.17.0 中新发现的编号为 CVE-2021-44832 的远程代码执行(RCE)漏洞。攻击者对原始 Log4Shell 漏洞(CVE-2021-44228)的大规模利用始于 12 月 9 日,当时 GitHub 上出现了针对该漏洞的 PoC 漏洞利用。本月已经发现了影响 Log4j 的四种不同的 CVE,在 2.16 版中发现 DoS 漏洞后,官方建议用户迅速升级到被认为是最安全的 2.17.0 版。

图片来源:CSDN 下载自东方 IC

但现在被追踪为 CVE-2021-44832 的第五个 RCE 漏洞已在 2.17.0 中发现,该漏洞的严重性评级为“中等”,CVSS 评分为 6.6,该漏洞源于缺乏对 log4j 中 JDNI 访问的额外控制。避免攻击者利用漏洞侵入,Log4j 用户应立即升级到最新版本 2.17.1(适用于 Java 8),同时修复程序的反向移植版本 2.12.4(Java 7)和 2.3.2(Java 6)预计也将很快发布。

2022 技术趋势预测,开源趋势大好

根据全球领先的信息技术研究和咨询公司 Gartner 的 2021 年开源软件 (OSS) 技术成熟度曲线,“到 2025 年,与目前的 IT 支出相比,超过 70% 的企业将增加在 OSS 上的 IT 支出。此外,到 2025 年,软件即服务(SaaS)将成为 OSS 的首选消费模型,因为它能提供更好的操作简单性、安全性和可扩展性”。当谈到数据库和数据管理领域的开源时,Gartner 对整个开源的预测更加大胆和具体。早在 2019 年,Gartner 就预测数据库的未来是云,同样也是开源。Gartner 预测,到 2022 年,70% 以上的新内部应用程序将在开源数据库上开发,50% 的现有专有关系型数据库实例将被转换或正在转换中。(ZDNet)

图片来源:CSDN 下载自东方 IC

微软公布 Entity Framework 7.0 计划

近期,微软公布 Entity Framework 7.0 计划。Entity Framework Core 7.0 是微软开源、跨平台、对象关系映射器 (ORM) 的计划更新,它将重点关注 JSON 和 SQL 查询等主题。据微软近期博客来看,该更新也被称为 EF Core 7、或 EF7,将于 2022 年 11 月发布,是继上个月发布的 EF Core 6 之后的下一个版本。微软表示,为 EF7 计划的许多工作涉及对 .NET 跨不同平台和域数据访问体验的改进。目前 EF7 的目标是与 .NET 6 一起使用,但未来可能会更新到计划的 .NET 7 版本。同时微软还表示,现阶段没有发布 EF Core 6.1 版本的计划。(InfoWorld)

英特尔为 Linux 5.17 准备“PFRUT”,允许在不重新启动的情况下更新系统固件

据外媒报道,英特尔开源工程师已经为平台固件运行时间的更新准备了“PFRUT”支持,允许在有能力的系统上执行(U)EFI 封装更新,而无需重新启动系统以消除停机时间。英特尔一直致力于开发 PFRUT,它现在是 ACPI 规范的一部分,允许平台固件组件即时更新,而无需重新启动系统。这样做的目的是为了那些需要“100% 的时间可用”的服务器以及必须将停机时间保持在最低限度的情况。(Phoronix)

英特尔 Alder Lake N 音频支持将在 Linux 5.17 之前引入

在 Linux 5.17 周期之前, 一些 Alder Lake 音频更新将引入声音子系统的“for-next”分支。目前,已将 Alder Lake P 的另一个变体添加到 hda_intel 驱动程序中。Alder Lake P 支持已经到位,但另一个 PCI ID 最终被引入 (0x51cd)。现在 Linux 5.17 已经存在该 ID,如果需要的话,可以很容易地进行反向移植。与此同时,Alder Lake N 开始支持 Linux 5.17 的初始音频。

Alder Lake N 支持只是添加了一个新的 PCI ID (0x54c8) ,使用基于 DSP 的 Sound Open Firmware (SOF) 驱动程序或其他系统的普通 intel_hda 驱动程序的规则。从声音方面来说,不需要对 Alder Lake N 支持进行其他更改。英特尔还一直在准备 ADL-N 所需的 Alder Lake N 图形支持和其他内核添加,但对成熟的 Alder Lake S 和 P 系列支持进行了非侵入性更改。英特尔的 N 系列处理器用于低功耗、低性能的赛扬/奔腾级硬件。Linux 5.17 合并窗口在 1 月份正式开放,而稳定的内核应该会在 3 月底左右发布。(Phoronix)


开源软件专区

lamp-cloud 4.2 发布,基于 SpringBoot 实现的单体版后端工程首次发布

近日,lamp-cloud 4.2 发布。更新版本中,lamp-boot-datasource-column:基于 SpringBoot 实现的单体版后端工程首次发布;docs:基于 4.2 版本编写的第一版文档首次发布;lamp-cloud-pro:优化 uri 权限相关配置;lamp-web-pro: 按钮权限校验支持 withoutAny 模式等。
具体详情见:https://www.kancloud.cn/zuihou/zuihou-admin-cloud/1465302

ShopXO v1.1.0 发布:企业级免费开源商城系统

12 月 29 日,ShopXO 开源商城 v1.1.0 版本发布。据悉,ShopXO 是免费开源 B2C 商城系统,遵循 MIT 开源协议发布、基于 Thinkphp6 框架研发。在 v1.1.0 版中,后台管理功能列表的改进包括:优化轮播图片与手机端分离、新增问答/留言、新增手机端管理、新增支付宝小程序(轮播、首页导航)、调整平台类别、新增支付宝小程序支付插件、优化部分 BUG;前端功能列表的改进包括:购物流程优化(去掉用户选择快递)、优化部分 BUG;手机端的改进包括:新增支付宝小程序、支持后台配置基础信息、支持后台生成程序包。


Polychromatic 0.7.3 发布,支持新的 Razer 设备

Polychromatic 与开源社区维护的 OpenRazer 合作,支持 Linux 下的 Razer 外围设备和其他设备,用于管理Linux 下的 RGB 照明和各种设备设置,Razer Inc. 没有任何官方支持。在Polychromatic 0.7.3 中,为 Razer Blade 2021 Advanced 和 Razer Basilisk V3 硬件添加了设备映射。对于具有如此高轮询率的最新 Razer 鼠标,现在还支持高达 8000Hz 的轮询率。Polychromatic 0.7.3 还有一个可能的崩溃修复、改进的故障排除检查和其他更改。
具体详情见:https://github.com/polychromatic/polychromatic/releases/tag/v0.7.3

开源工具推荐

immudb :世界上最快的不可变数据库,建立在零信任模型上

immudb 是一个内置密码证明和验证的数据库。它跟踪敏感数据的变化,客户端保护历史记录的完整性,无需信任数据库。它既可以用作键值存储,也可以用作关系数据库 (SQL)。传统的数据库事务和日志是可变的,因此无法确定用户的数据是否已被泄露。但 immudb 是不可变的,用户可以添加现有记录的新版本,而不会更改或删除记录。

immudb 存储的数据在密码学上是一致且可验证的。与区块链不同,immudb 每秒可以处理数百万笔交易,并且既可以用作轻量级服务,也可以作为库嵌入到您的应用程序中。immudb 可以在任何地方运行,可以在 IoT 设备、笔记本、服务器、内部部署或云中运行;它也可用作键值存储或关系数据结构,并支持事务和 blob,因此对用例没有限制。公司可以使用 immudb 来保护和防篡改的日志数据、传感器数据、敏感数据、交易、软件构建配方、规则库数据,甚至工件甚至视频流。
GitHub 地址:https://github.com/codenotary/immudb

【欢迎投稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:tumin@csdn.net。开源世界的一切,由你我共同创造!


你参与开源有多长时间了?是否通过开源获得过收入?对亲身经历的开源世界有什么样的看法?
欢迎参与 CSDN 重磅推出的《2021 中国开源开发者年度有奖大调查》活动,惊喜礼品等你拿!

以上是关于Log4j 2再现新漏洞;缺乏资助不是开源软件安全的唯一问题;微软公布 Entity Framework 7.0 计划 | 开源日报的主要内容,如果未能解决你的问题,请参考以下文章

喜讯 | 开源网安三款自研产品均通过CWE国际兼容性认证

Firefox 开源 为啥安全

log4r 是不是也可能存在类似的安全漏洞,如果 log4j

Log4j 爆“核弹级”漏洞,除非你付钱给我,否则为何我要编写有用的软件?

Log4j 漏洞引发全球修补漏洞行动;KeePassX 停止开发;.NET 6 网络改进 | 开源日报

修不完的bug:Log4j第三次发布漏洞补丁,开源社区已修复1/7受影响Java包