最近,有两幅关于 Vue 安全问题的截图在业界广为传播,截图内容表明目前有多家公司统计软件开发过程中使用 Vue.js 和 SonarQube 的情况,疑似有黑客利用 Vue.js 和 SonarQube 中的漏洞对我国境内机关和重要企事业单位实施网络攻击探测。
转眼已经到了农历牛年的年尾。过去的一年,在BFE开源项目成员和社区的共同努力下,BFE开源项目获得进一步发展,取得了多个具有里程碑意义的成果。 今天,我们就来对BFE开源项目走过的2021年进行一下回顾。 关于BFE BFE (Beyond Front End) 是源自百度的企业级七层负载均衡开源软件。在百度内部,BFE平台已接入大部分业务流量,每日转发请求超过1万亿,峰值QPS超过1000万。BFE于2019年7月正式开源,并获得了广泛的关注。2020年6月24日,BFE开源项目被CNCF(Clo
题图摄于北京二环路 (我们参与了联邦学习全球首个工业级开源平台 FATE 项目的开发工作,给大家说说3月份进展情况。 ) FATE(Federated AI Technology Enabler)开源社区是全球首个隐私计算、联邦学习开源社区,拥有全球首个工业级安全联邦学习框架。根据中国信息通讯研究院等单位发布的《隐私计算白皮书(2021)》中显示,55% 的国内隐私计算产品是基于或参考开源项目开发的,其中以 FATE 开源项目为主。 FATE开源社区开发专委会在3月份召开了两次工作会议,参会成员总结了现阶
几天前,开源库「faker.js」和「colors.js」的用户打开电脑,发现自己的应用程序正在输出乱码数据,那一刻,他们惊呆了。
作者 | 蔡芳芳 采访嘉宾 | 堵俊平、许勇、张铎、郑伟波 如果说基金会最大的成功是项目的成功,那么毕业标准试图回答的问题就是:对于开放原子开源基金会而言,怎样的开源项目才是一个好的开源项目? 6 月 1 日,开放原子开源基金会正式对外发布孵化项目毕业标准 V1.0,为评估孵化期开源项目是否符合毕业条件制定了明确的标准,包含十大类共 45 条细则,这是首个由中国本土开源基金会制定的开源项目毕业标准,也是开放原子开源基金会对于项目毕业工作的重要探索。 开放原子开源基金会自 2020 年 6 月成立至今,已经接
安全行业的支柱fastjson究竟犯了哪些错?没有cve编号著作权法规问题漏洞奖励的难处开源项目的生意经结语
7 月 27 日晚上八点, InfoQ 主办了一场开源直播活动,活动由木兰开源社区运营负责人、NextArch 基金会 TOC 耿航主持,极狐 (GitLab) CEO 陈冉、CNCF 亚太区总监 Keith Chan、腾讯开源联盟主席单致豪以及开放原子开源基金会业务发展部部长朱其罡四位嘉宾围绕中国开源的现状和未来进行了分享。分享的议题主要从中国开源的现状、中国开源对全球开源的影响以及开源软件供应链安全等问题展开。 Sam(陈冉) 极狐 (GitLab) CEO 陈冉认为中国开源的现状需要从不同维度
只要发现了swagger,那么跑起来的第一步就是先进入Swagger-ui页面!因为这里面都是接口
多年来,安全专家和开发人员一直强调和预警,需要对构成互联网发展重要支撑的开源项目提供更好的安全性和更强的支持,这些项目是无数商业应用程序和工具的关键组成部分。开源安全问题在近期Log4J 漏洞爆发和知名工具库 Faker.js 创建者 Marak 清空代码仓库等等事件下成为了焦点。 同时,开源安全问题也引起了各个国家政府和相关机构的关注。上周四,美国白宫举办了一场关于开源安全的讨论会议。在本次会议上来自谷歌、GitHub、苹果、Facebook和其他组织的关键技术负责人等参与了如何提高开源软件的安全性的讨
安全问题是企业信息化建设过程中非常重要的一环。随着数字经济时代的到来,近年来,企业 IT 环境发生了巨大的变化。作为保障企业 IT 运维安全审计的主要工具,堡垒机逐渐进入到大家的视野,越来越多的企业用户开始部署堡垒机,让企业的运维操作变得更加安全、更加高效。
通过对比各项目过去 12 个月在 GitHub 上新增 star 数量,来评估其在 2018 年度的受关注程度,进而选出 2018 年度 JavaScript 领域崛起的明星项目。
企业安全关注的事情很多,API 安全目前来讲是一个非常新兴的,但是非常重要的一个热点。软件世界数据通信万物互联的背景下,从我的视角来看,API 是一种新的能够更低成本去让数据打通,让软件集成融为一体,以及在某种程度上甚至能够以一种更好的生产方式,快速完成企业软件交付的一种新模式。大家也已经看到,各行各业的企业都已经在做一些做业务或者做 API 化的战略转型,其实就在 API 里面。
这个博客最初是由Ayrat Khayretdinov在CloudOps博客上发布
开源开发的最大优势之一是它实现了整个世界的协作。然而,由于开源开发是一项全球性的活动,它必然涉及跨国界提供可用的软件。一些国家的出口管制条例,例如美国,可能需要采取额外的步骤来确保一个开源项目符合当地条例规定的义务。
安全问题一直是 GitHub 的一大热点,因为数据安全问题诞生的各类自托管服务便是。而本周周榜上的 2 个和安全主题相关的项目,有些不同。mimikatz 是个老项目了,很多“黑客”用它从内存中提取明文密码、哈希、PIN 码和 kerberos 凭据(ticket),而同样是“安全主题”的 scorecard 更像是个守护者,它从代码、社区等多个层面帮你检测开源项目的安全健康度。当然,命令行文件共享工具 transfer.sh 的安全点便是支持加密传输数据。
作者 | 赵钰莹 如今,所有热爱开源的开发者可能都心怀担忧:开源软件的供应链安全问题如何解决?关于开源代码维护者因反俄给 node-ipc 库添加恶意代码、GitHub 封停部分俄罗斯开发者账号的讨论还未结束,10 万 npm 用户账号信息被窃再登 HN 热搜,开源软件供应链的安全性成为业界关注的焦点话题。 前段时间,ARM 开源项目宣布从 GitHub 迁移至 GitLab。当时,Arm 杰出工程师兼软件社区高级总监 Andrew Wafaa 解释道:“GitHub 其实是个黑箱,我们必须与之合作、或者
作者|褚杏娟、万佳、王强 “很高兴看到 Rust 在越来越多的项目中发挥作用。” 近日,谷歌宣布 Android 开源项目(AOSP)现已支持使用 Rust 编程语言来开发 OS。这一举动让正火的 Rust 语言热度再次上涨。 要用 Rust 解决什么问题? 目前,Android 项目主要用两种语言构建。Java(以及最近出现的与 jvm 兼容的语言,如 Kotlin) 已被用于操作系统的上层部分,如 UI 部分;在内核、驱动程序等 OS 的基础层面,则通常用 C 编写,有时也会使用 C++。 为了更适合
GitHub于周四发布了年度开发者报告,其中一些对全球开发人员和开源社区的见解特别有趣。
一、背景情况 开源软件具有开放、共享、自由等特性,在软件开发中扮演着越来越重要的角色,也是软件供应链的重要组成部分。据Gartner调查显示,99%的组织在其 IT系统中使用了开源软件。而来自Sonatype公司的一项调查则显示,在参与调查的3000家企业中,每年每家企业平均下载 5000个开源软件。 然而,开源软件中存在大量的安全隐患,企业在享受开源软件带来的便利的同时,也在承担着巨大的安全风险。近年来,开源软件频繁爆出高危漏洞,例如Strusts2、OpenSSL等。这些组件很多都应用于信息系统的底层,
转眼间2019即将过去,回想这一年,学习了很多也输出了很多。如果要说我最大的成果的话,我的Github可以概括下。这一年之中累计收获了3w+Star,总计开源维护了6个项目,下面我就对这些开源项目做个小小的总结。
开源项目中心办公室是支持、培育、共享、解释和发展开源代码的特定场所。这样的办公室可以帮助企业明晰创建和执行开源项目的战略,成为保障领导、开发者、营销人员和其他员工成功运营开源项目的工具。
开放源代码的策略性应用之路,起始于一个精心策划、组织与授权的开源计划办公室,以指导和管理开源的创建、分发和使用。但这仅仅只是第一步。为了让开源计划办公室顺利运行,您需要正确的工具。这些关键的任务工具将用于追踪各部门的目标与指标,从工程部门和法律部门到行政领导部门、公关部门与营销部门,同时给予员工收集数据、提供开源软件运行快照和管理公司内部开源软件日常使用所需要的全部资源。
5 月 12 日,在美国白宫开源软件安全峰会上,谷歌与 Linux 基金会、开源软件安全基金会 (OpenSSF) 以及其他行业领袖共同讨论了开源安全举措,并宣布成立“开源维护团队”。这是一个由开发人员组成的团队,他们将致力于确保上游开源项目的安全,从收紧配置到部署更新。
前两天看到圈内一位朋友松哥写了一篇文章,分享了他当年在公司写的一个项目意外上了 GitHub Trending 榜的故事,我看了后觉得蛮有意思的,便跟作者要了文章授权,把这个故事分享给大家看看。
大家比较关心的新蜂商城 Vue3 版本目前已经开发了大部分内容,相信很快就能够开源出来让大家尝鲜了,先让大家看看当前的开发进度:
2020年7月,Linux 基金会发布了一份白皮书,介绍了开源社区该如何了解并遵循与美国出口管制要求及开源加密相关的一般性原则。这个消息是以中、英文两种语言一同发布的,白皮书还用了中英文并列的方式展现了内容。 以下是 Linux 基金会的发布消息全文。该白皮书的PDF版本,欢迎关注「腾源会」公众号,后台回复「报告」获取下载链接。 PART ONE 简 介 开源开发的最大优势之一是它实现了整个世界的协作。然而,由于开源开发是一项全球性的活动,它必然涉及跨国界提供可用的软件。一些国家的出口管制条例,例如美
缺少 Vue3 和 Spring Boot 的实战项目经验?缺少学习项目和练手项目?我这儿有啊!
今天推荐的一个可以用来二次开发和学习的开源的软硬件系统,你可以用快速搭建自己的智能家居系统。
10月16日,全球最大开发者社区GitHub Universe开发者大会在旧金山召开,会议持续两天,在刚刚顺利闭幕。本次大会主题为“认可开发者集体的成果以及增强安全性”,发布了GitHub一系列重磅产品。
这是 JavaGuide 的「优质开源项目推荐」第 10 期,每一期我都会精选 5 个高质量的 Java 开源项目。今天要推荐的 5 个项目是:
PS:技术特点我都不做阐述了,重点是要把这个项目放入到docker虚拟机里面。这是最终的目的。
仅仅在npm上,colors库每周的下载量就超过2000万次,并且有将近19000个项目正在使用。
美国政治传播学家拉斯韦尔提出了5W传播模式,经过后人的不断运用和发展总结,形成了一套逐渐成熟的“5W1H”体系,即:对选定的项目、工序或操作,都要从原因(何因Why)、对象(何事What)、地点(何地Where)、时间(何时When)、人员(何人Who)、方法(何法How)等六个方面提出问题进行思考。
编者按:开源模式就像是市集,不仅可以提高效率,还可以通过开放全方位检测软件的不足。但是想要将开源的效果发挥到最大就得有完善的管理体系。OpenDaylight在安全体系的疏忽导致他们未能完全斩获开源的优势,幸好OpenDaylight及时认识到问题。强健的安全体系能够让设备商第一时间获悉项目安全信息,SDNLAB君相信安全响应团队这块肥肉必将成为众人争抢的目标。 OpenDaylight网络控制器中一个潜在的安全漏洞自8月份被网络安全研究者发现后一直无人问津,该事件最终激起了千层浪,引发了一场关于开源项目中
FunRec开源项目从第一次提交到现在已经快两年了,为了让帮助更多同学入门推荐算法,我们开源了《FunRec-推荐系统》教程,并在组队学习中,帮助学习者成长。
在开源开发者心中, Apache 与Linux 的意义不言而喻。开源能够发展至今,离不开众多非营利开源软件组织的帮助,而它们便是这些组织中的佼佼者。时至今日,早年间由 Brian Behlendorf 带领程序员们重写开源程序 NCSA HTTPd 而成的 Apache HTTP Server 仍是世界使用第一的网页服务器。这个最初被戏称为“补丁服务器”的存在,成就了 Web 服务器的传奇,也让 Brian Behlendorf 获得了 “Apache之父” 的尊称。
本文深入探讨了开源软件在面临安全漏洞和威胁时的漏洞响应策略。通过详细分析漏洞的定义、漏洞响应流程以及漏洞修复的最佳实践,我们将了解开源社区是如何积极应对安全威胁,确保软件的安全性和可靠性。
采访嘉宾 | Brian Behlendorf、董国伟 编辑 | Tina 开源安全正在经历一个加速变革的时期。 Log4Shell 爆发后,负责 Log4j 的三位没有酬劳的维护人员一边忍受抨击,一边不眠不休地工作了一个多星期,为这份影响世界的代码打上了补丁。 Log4Shell 再次凸显了在 SolarWinds 攻击后备受关注的供应链安全问题。2022 年本应是“供应链安全元年”,不幸的是,一年后的现在这个漏洞仍然普遍存在,修复版本采用率没有想象中的高,而且数据显示,软件供应链攻击频次反而呈
一旦公司参与开源社区已有足够长的时间来建立声誉,它就能够发布自己的开源项目。在开源参与的这个阶段,公司可以从开放式协作中获得最大的好处。您可以开放可用于社区的专有项目的源代码。另一种常见的途径是从头开始创建新的开源项目并在一开始就从外部开发人员之间的协作中受益。
开源是我在 IT 行业中遇到的最有趣的事情之一。它本质上是一种运动,将人们聚集在一起做一个产品。他们通常免费做这些事情,特别是在项目的开始阶段,然后负责维护,让其他人可以免费使用。
过去几年,云计算的边界不断向边缘侧延伸。作为云原生技术事实标准的 Kubernetes+ 容器组合,自然也被很多人考虑部署到边缘侧,以提高边缘应用部署的效率和便利性,降低边缘应用与硬件之间的耦合度。不过 Kubernetes+ 容器组合并非万用良药,对于边缘计算场景来说,它们还是太重了。
您是否知道高达90%的应用程序通常包含第三方组件,主要是开源软件?您是否知道全球500强中超过50%使用易受攻击的开源组件?
Freenginx Web服务器致力于重现开源开发“造福公众”的精神,摆脱企业控制。
AIGC 最大的价值将表现为重塑生产力、重塑开发者工作流程。现在,AIGC 生成的代码是否可以同于生产?AIGC 会给开发领域带来什么变化?程序员该拒绝还是适应辅助编程工具? 6 月 16 日,WasmEdge 创始人和核心开发者、 Second State 联合创始人 Michael Yuan 博士,品览联合创始人 &CTO、极客时间《AI 大模型应用开发实战营》讲师彭靖田,亚马逊云科技大中华区首席架构师邓明轩做客《极客有约》,一起聊了聊 AIGC 与程序员的那些事儿。本文根据直播内容整理,大家可以点击查看完整视频(https://www.infoq.cn/video/D8fRLD8POS4Nq0PGHVrH)。
Verocode研究结果表明[1],在开源组件仓库中70.5%的代码库存在安全漏洞,而这些安全漏洞风险46.6%是由其他开源项目直接、间接引进所导致的。超过96%的产业机构在其开发实现的软件应用代码库中使用开源组件。由于开源体系安全意识的淡薄以及代码重用的盛行,这一比例将持续扩大。
2006年秋天,Google 认为要运行现代 Web 应用,浏览器必须有一个性能非常强劲的 Java 引擎,于是开发了一个高性能的开源 Java 引擎,名为 V8。
大概是在今年5 6月份的时候,我曾经在公众号中透漏过,今年打算再开发一个新的开源项目。那个时候基本思路其实已经都想得差不多了,但是因为同时还要维护LitePal和PermissionX这两个开源项目,时不时还要写些原创文章,所以我很不确定今年是否真的可以完成这个新开源项目。
作为用户与信息交互的入口,前端技术不仅在网页设计中扮演着重要角色,也在移动应用、桌面应用等多个领域得到广泛应用。同时,Vision Pro 等一系列新型交互设备的发布,也为整体前端领域带来了一些变化。随着前端自身的技术发展与开源理念的推广,前端开源领域展现了相对较高的项目成熟度和丰富性等特点。
Dapr 团队最近在博客上发布了 Dapr 完成模糊测试审核[1]的文章,该审计是 CNCF 通过模糊测试改善[2]开源云原生项目安全状况的计划的一部分。该审计由 Ada Logics[3] 于 2023 年 5 月和 6 月进行的,Ada Logics 团队为了改善 Daprs 安全状况,并且由于创建了大量模糊器,发现的问题数量很少,一共开发了 39个 fuzzer,发现了3个问题,三个问题的数量非常少,这证明了 Dapr 项目编写良好且维护良好的代码库。这也表明了代码库的成熟水平。 审计中的所有模糊器都是开源的,最初被添加到 CNCF 的模糊测试存储库[4]中,团队已经开始将模糊器迁移到Dapr 仓库中[5]来完善Dapr的测试。
领取专属 10元无门槛券
手把手带您无忧上云