硬核观察 | Linspire 10 发布,自称“第一发行版”

硬核观察 | Linspire 10 发布,自称“第一发行版”

Linspire 10 发布,自称“第一发行版”

Linspire 的前身是 20 多年前知名的 Lindows 发行版。去年底发布 Linspire 10 Beta 版时,声称 Linspire 是“新用户、中级用户和高级用户的第一发行版”。其正式版于近日发布,在发布公告中该团队骄傲地宣称该团队“努力开发出了市场上最好、最精心的设计和工程化的 FOSS 桌面”。该版本基于 Ubuntu 20.04 LTS,使用 Linux 5.8 内核、定制的 GNOME 3.38 桌面,Chrome 88,以及微软 PowerShell 7 和 DVD/蓝光解码能力。

但是,要注意的是,这是一款商业版的 Linux 发行版,其单个许可证的起价为 29.99 美元,而企业无限授权模式下,起价则高达 2500 美元。

敢于宣称自己是 No. 1,还这么贵,我觉得没点底气是不行的,或许该试试。

研究人员利用开源软件依赖攻击入侵 35 家科技公司

安全研究人员注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了进行测试,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,结果这些项目自动下传到了公司的内部应用程序中。作为道德黑客测试,他上传的冒牌项目明确地解释了软件包“不包含任何有用的代码,只是用于安全研究目的”。

该攻击利用了开源生态系统的一个独特设计缺陷,被称为“依赖性混淆”。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功地入侵了 35 家知名科技公司,包括微软、苹果、特斯拉、PayPal、Shopify、Netflix、Yelp、和 Uber 等,获得了超过 13 万美元的漏洞报告奖励。

这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开,而且,就目前而言,现有的开源软件依赖模式并没有直接的防范方法。如果你的公司也存在类似情况,请尽快采取缓解措施。

Gmail iOS 应用已有 2 个月未更新,开始弹安全警告

虽然谷歌已经承诺更新其应用程序套件的应用程序隐私标签,以遵守苹果在 12 月开始执行的 App Store 规则,但它的许多主要应用程序已经几个月没有更新。iOS 版 Gmail 自 12 月 1 日以来就没有更新过。当用户在其上登录一个新的账户时,它会给出了一个应该更新的警告,并建议你只有在“了解风险的情况下”才继续登录。

目前仍不清楚谷歌为什么要花这么长时间为其 iOS 应用添加应用隐私标签,Gmail 何时能获得更新也没有消息。但谷歌一直在定期更新其 Android 应用,Android Gmail 应用的最后一次更新是在 2 月 9 日发布的。

看来,谷歌对如何遵守苹果的隐私政策,心有疑虑啊;难道是谷歌的应用实在是要的隐私太多了,不好意思公开说明吗?