硬核观察 | 漏洞赏金计划吸引了更多道德黑客,但有 2/3 是为了好玩

硬核观察 | 漏洞赏金计划吸引了更多道德黑客,但有 2/3 是为了好玩

漏洞赏金计划吸引了更多道德黑客,但有 2/3 是为了好玩

漏洞赏金计划的目标是为道德黑客提供一种手段,在网络犯罪分子利用这些漏洞之前发现并披露这些漏洞。漏洞赏金平台 HackerOne 的《2021 年黑客报告》显示,发现安全漏洞并提交给漏洞赏金项目的道德黑客数量在去年增加了近三分之二。仅在去年,道德黑客就通过向 HackerOne 漏洞赏金计划披露漏洞获得了 4000 万美元的收入,而 2019 年则为 1900 万美元。

虽然发现漏洞在道德黑客行为中起到的经济激励作用:76% 接受调查的人表示他们是为了赚钱,但 85% 参与漏洞赏金计划的人表示他们是为了学习,而三分之二的人是为了好玩。

Linux 基金会推出 sigstore 软件真实性验证服务

这项服务使得软件开发者能够轻松地对各种软件工件进行签名,比如发行文件、容器镜像以及二进制文件。通过将签名材料存储在防篡改的公共日志中,Linux 基金会希望 sigstore 签名服务能够在开源软件开发领域普及开来。

此前很少有开源项目使用加密签名手段,主要原因是软件维护人员在密钥管理、撤销和公钥分配等工作方面遇到了一定的挑战。通常他们将公钥存储在易受黑客攻击的网站上,甚至放置在公共 git 存储库的 README 文件中。但随着 sigstore 公共服务的推出,我们可以使用临时密钥和信任根来规避上述问题(后者源于开放且可审核的公共透明日志)。

公钥是需要公开的,但是确保公开的公钥是可信的才是安全和信任的基石,这项服务可以有效而便捷地为开源软件分发提供安全保障。

世界上最强大的超算“富岳”即将全面投入运行

经过 7 年研制,世界上最快的超级计算机“富岳”在日本正式建成,现在已经可以供研究人员开始使用。其交付工作已于 2020 年 5 月完成,其后一直在对其进行试用。目前,该计算机已全面开放共享使用,日本信息科学与技术研究机构已选定 74 个研究项目,将于下月起实施。

“富岳”已经连续两届蝉联 Top500 榜首,其性能为 442 petaflops,遥遥领先于竞争对手,是榜单上第二名 IBM 的 Summit 的 3 倍,后者的性能为 148.8 petaflops。

超算竞赛极大的推高了计算力对世界的影响,在重要领域极有价值。不过,更重要的是,研发出来的超算能有合适的应用发挥其能力。