8月上半月刊：业界要闻

要闻

1.MongoDB中文社区北京大会和台北大会将于9月进行

2.HTTPS 证书有效期被提议缩短至 13 个月

3.Suprema的Biostar 2生物识别安全系统的安全漏洞暴露了超过100万人的指纹

4.错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

5.本田汽车云端数据库未设密码全球员工信息险遭泄露

6.Verizon将Tumblr卖给WordPress.com的母公司Automattic

7.GitHub新增CI / CD服务

8.Salesforce以1.35亿美元收购ClickSoftware

9.随着MapR被收购，Hadoop陷入困境

10.知乎宣布完成 4.34 亿美元 F 轮融资：快手领投、百度跟投

11.用友与华为签订合作协议，基于GaussDB数据库打造国产化解决方案

12.2019年中国互联网企业100强榜单揭晓

1.MongoDB中文社区北京大会和台北大会将于9月进行

MongoDB是支持现代商业应用程序的最流行的NoSQL数据库之一，以其易用性、性能、规模以及支持各种业务应用程序而广受欢迎。MongoDB中文社区是MongoDB官方支持的中文社区，每年借由MongoDB技术大会向广大mongoers传播新知识和技能，分享来自不同行业的一手干货。

MongoDB中文社区北京大会和台北大会将于9月进行，活动消息敬请关注网站mongoing.com和公众号（mongoing-mongoing）发布。

2.HTTPS 证书有效期被提议缩短至 13 个月

由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体CA/Browser Forum，正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。

关于这样的提案，已经不是第一次提出。在 2017 年时，CA/Browser Forum 就否决了一项将证书有效期从 39 个月缩短至 13 个月的提案。

而早在一年前，证书的最长有效期已经从 39 个月降至 27 个月。

我们都知道，HTTPS 证书用于加密浏览器和站点之间的连接，帮助软件确定没有人篡改或窃听这些连接。

如果减少 TLS/SSL 证书有效的时间，网站必须更频繁地更新其证书。理论上，这样的证书有效期也有助于减少欺诈活动，如果是偷来的证书则很快会失效，被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书，而不是使用不安全算法的老化证书。

不过，本周一时，DigiCert 的 Timothy Hollebeek 却反对将证书有效期缩短至 13 个月，他认为，缩短证书寿命确实带来的好处，但意味着要有更好的方法来确保证书是最新的和安全的，同时也存在一些麻烦，企业不得不每年续签一次付费证书，并且增加其成本。

换句话说，减少有效期可能会促使企业免费使用Let’s Encrypt TLS/SSL，就不会向 Digicert 这样的机构支付费用。Let’s Encrypt 可以免费发放 90 天的 HTTPS 证书，使用提供的软件客户端来自动更新和部署证书，而由于几乎所有浏览器和操作系统都支持 Let’s Encrypt TLS/SSL 证书，导致该服务正给向 HTTPS 证书收费的证书颁发机构带来巨大压力。

3.Suprema的Biostar 2生物识别安全系统的安全漏洞暴露了超过100万人的指纹

据“卫报”报道，在vpnMentor和两名研究人员--Nam Rotem和Ran Locar--揭露了一个暴露超过100万人的生物识别数据的重大缺陷后，Suprema的Biostar 2生物识别安全系统受到严密审查。

Biostar2是一个安全平台，部分利用面部识别和指纹来控制对建筑物和其他安全设施的访问。使潜在的破坏更加严重：Biostar 2最近被整合到Nedap的AEOS安全平台中，该平台被80多个国家的数千家公司和组织用于安全。

研究人员表示，不仅数据库未加密，而且可以通过调整搜索和分析引擎Elasticsearch中的URL搜索条件来访问。它包含了大量数据。

据“卫报”报道，研究人员“可以访问超过2780万条记录和23千兆字节的数据，包括管理面板，仪表板，指纹数据，面部识别数据，用户面部照片，未加密的用户名和密码，设施访问日志，安全级别和许可，以及员工的个人详细信息。“

4.错误的 JIRA 配置导致数百家财富 500 强公司的数据泄露

来自国外的开发者 Avinash Jain 在8月2日时发表了一篇文章，揭露全球范围内使用非常广泛的问题跟踪软件 JIRA由于错误的配置导致成千上万的公司泄露了内部的员工以及项目数据的问题。Jain同时提供了如何去找出这些存在漏洞的 JIRA 系统的方法。

“虽然这是一个错误配置问题，Atlassian（JIRA）必须处理并更明确地明确“任何登录用户”的含义，无论是JIRA的任何登录用户还是仅登录属于特定 JIRA 公司帐户的用户。”详情看链接：

http://hackernews.cc/archives/26786

5.本田汽车云端数据库未设密码全球员工信息险遭泄露

据中国台湾地区科技媒体报道，安全研究人员发现，日本汽车大厂本田汽车（Honda Motor）一个包含全球所有员工信息的数据库，由于未设密码很可能会被人一览无余。在接到通报之后，本田已经修补了相关漏洞。

7月初，安全研究人员Justin Paine在网络上发现本田汽车一个未设密码的ElasticSearch数据库，似乎是本田汽车在全球所有员工电脑的库存管理数据库。这个数据库今年3月中旬才上线，但至今累积的数据量高达40GB，包含约1.34亿份文件。

经过检查，这批陷遭暴露的数据包括几乎所有本田电脑相关信息。其中一个表格包含员工电子邮件、部门名称、本田机器主机名称、MAC位置、内网IP、操作系统版本，另一个表格则有员工姓名、部门、员工编号、帐号、手机号码及最近登录时间。研究人员甚至发现本田CEO的完整电子邮件、全名、MAC位置、Windows操作系统版本、IP及设备类型。

另外，本田公司的电脑用了哪家终端安全软件，哪些机器已安装、哪些有更新版本及哪些没有没有更新版本也一目了然。为避免成为黑客的下手目标，研究人员并未提及厂商名称。

研究人员通知本田后，后者已于当天封闭漏洞。本田表示，经过追查系统日志，未发现有任何遭到第三方人士下载的迹象，目前也没有数据外泄的证据。本田表示已做好相关强化，确保未来不会重蹈覆辙。

6.Verizon将Tumblr卖给WordPress.com的母公司Automattic

Verizon将Tumblr卖给WordPress.com的母公司Automattic。

“Tumblr是网络上最具代表性的品牌之一，”Automattic首席执行官Matt Mullenweg对此消息说。“这是分享新想法，文化和经验，帮助数百万人围绕共同利益创造和建立社区的重要场所。我们很高兴将它添加到我们的阵容中，其中包括WordPress.com，WooCommerce，Jetpack，Simplenote，Longreads等。“

据报道，5月份，Verizon正在为通过收购雅虎购买的网站寻找新的所有者。Tumblr当时是雅虎最大的收购，当时的首席执行官玛丽莎梅耶尔声明“承诺不会搞砸”。

事实证明Tumblr不适合雅虎 - 甚至更不适合Verizon，Verizon将平台推向了其短暂的誓言业务，后来成为Verizon MediaGroup。从表面上看，至少，Automattic似乎是一个更好的匹配。该公司运行WordPress.com，这是互联网上最受欢迎的出版工具之一，以及Jetpack和Simplenote。作为交易的一部分，该公司将接纳200名Tumblr员工。

“加入一支具有类似使命的团队，我们感到非常兴奋。很多人都知道Automattic的旗舰产品WordPress.com。WordPress.com和Tumblr都是博客平台的早期开拓者，“Tumblr在博客文章中恰当地写道。“Automattic分享了我们的愿景，即围绕共同利益建立充满激情的社区，并使出版民主化，以便任何有故事的人都能说出来，特别是当他们来自听不到的声音和边缘社区时。”

Verizon Media首席执行官Guru Gowrappan在一份声明中说：“今天的公告是一个深思熟虑，彻底和战略性的过程的结果。” “Tumblr是一个大型品牌，已开始行动，允许真正的身份开花，成为许多创意社区和同人圈的家。我们为团队所取得的成就感到自豪，并很高兴能够在Automattic找到完美的合作伙伴，他们的专业知识和业绩记录将为Tumblr及其用户带来新的令人兴奋的可能性。”

7.GitHub新增CI / CD服务

8月初，GitHub在其官方博客宣布：GitHub Actions现在支持CI/CD（持续集成/持续部署）了！而且公开库免费。

GitHubActions正式版本将于11月13日发布，现在可以试用Beta版。

传送门：

https://github.com/features/actions

GitHubActions是一个用于GitHub的因果关系的API：:根据任何事件编排任何工作流，而GitHub管理执行，提供丰富的反馈，并保证整个过程中的每一步是安全的。

使用GitHub Actions，工作流和步骤只是存储库中的代码，因此您可以创建、共享、重用和fork您的软件开发实践。

GitHub表示，自从去年推出GitHub Actions以来，反响非常好，开发人员已创建了数以千计的受启发的工作流。但他们也听到了几乎所有人的明确反馈：想要CI / CD！

有了这个更新版本的Actions，开发人员现在可以在任何平台上构建，测试和部署他们的代码，并在容器或虚拟机中运行他们的工作流。由于一个名为“矩阵构建”的新功能，开发人员还可以并行测试其应用程序的多个版本，例如，它可以让您同时在Linux，Windows和MacOS上测试三个不同版本的Node.js. 因为GitHub操作是在基本的YAML文件中定义的，所以进行这些更改只需要在文件中添加几行。

支持的语言和框架包括Node.js，Python，Java，PHP，Ruby，C / C ++，.NET，Android和iOS。Actions还与GitHub Package Registry集成在一起。

在构建应用程序时，您还可以获得流式传输到操作控制台的实时日志，并且可以轻松链接到日志文件中的任何行，以与团队的其他成员讨论问题。

这些新功能在测试期间免费提供，并且对所有公共存储库免费。

GitHubEnterprise Server的操作将于明年推出，并将包含一个混合选项，允许您将代码保存在私有数据中心，并仍然使用GitHub来协调工作流。

8.Salesforce以1.35亿美元收购ClickSoftware

在收到高达157亿美元的Tableau交易后几天，Salesforce再次打开了钱包，这次宣布以13.5亿美元的价格收购了现场服务软件公司ClickSoftware。

该公司在6月的收益报告中报告称Service Cloud首次超过了10亿美元的收入门槛。此次收购旨在保持这些数字的增长。

“我们收购ClickSoftware不仅可以加速服务云的发展，还可以通过Field ServiceLightning推动进一步的创新，以更好地满足客户的需求，”Salesforce Service Cloud的执行副总裁兼总经理Bill Patterson在宣布交易的声明中说道。。

ClickSoftware实际上比Salesforce早在1997年成立。该公司于2000年上市，并在2015年与私募股权公司Francisco Partners达成交易之前一直保持上市，后者以4.38亿美元的价格收购了该公司。弗朗西斯科自己也做得不错，在将公司资金增加一倍以上之前，已经持续了四年。

该交易预计将在秋季结束，并受到正常监管审批程序的约束。

9.随着MapR被收购，Hadoop陷入困境

8月7日，HPE宣布收购MapR 的资产，收购金额未对外公开。两个月前，MapR就已经陷入财务困境，对外表示再没有融资将面临倒闭的命运。此番被HPE收购也算是一个相对圆满的结局。

作为Hadoop三巨头之一，MapR落得今日境地也着实让人唏嘘，而另外两兄弟Cloudera和Hortonworks情况也并不比MapR强太多。去年10月份，Cloudera和Hortonworks已经宣布平等合并，Cloudera以股票方式收购Hortonworks，Cloudera股东最终获得合并公司60%的股份。这笔交易的背后其实是Hadoop市场无法维持两家公司的竞争。

真是此一时彼一时。曾经，旺盛的大数据市场需求让人们非常看好Hadoop的未来。爆发性增长的数据、人们对数据价值的普遍认可，推动着大数据市场的快速增长，建立在开放架构上的Hadoop，大大降低了大数据的门槛，得到了市场的追捧，再加上有Google和Yahoo两大巨头的背书，这促成了众多创业公司的成立。Cloudera、Hortonworks、MapR就是其中最有影响的三个初创公司，也被称为Hadoop三巨头。2008年Cloudera成立于，2009年MapR 成立，2011年Hortonworks 成立。

当时人们普遍看好Hadoop的未来，这些公司的早期融资也非常顺利。特别是2014年，Hadoop行业迎来高光时刻，Hortonworks成功上市，当时Cloudera也是风投正劲，获得Intel 7.5亿美元的投资，Google、Dell公司老总MikeDell的私人投资基金跟投。当时，Cloudera的总估值达到41亿美元，成为当时未上市的那些大数据公司里面最为闪耀的公司。据统计，上市前Cloudera获得了超过10亿美元的融资，Hortonworks 获得了2.48亿美元融资，MapR一直没有上市，先后融资也近3亿美元。

希望很美好，现实很骨干，尽管大数据市场很热，Hadoop的需求看涨，但无论是Cloudera、Hortonworks、MapR都没有如期成长。Hortonworks在2014年的IPO首先IPO成功，但之后一蹶不振。3年后Cloudera上市，市值只有19亿美元，不到高峰时期41亿估值的一半，此后股价也没有太多起色。

IDC曾预测，到2020年大数据和分析的收入预计将达到2030亿美元。市场在为什么经营不利？这几家公司经营困难背后的很大一部分原因在于，市场变化太快，云改变了市场需求。

一个主要原因是企业上云。企业上云之后，数据的分析自然地也会转移到云上，而云服务商纷纷提供了各种经济好用的Hadoop的服务，比如AWS的ElasticMap Reduce(EMR), 这些都是完全集成的产品，具有较低的购置成本并且更便宜，Hadoop产品需求和服务需求被分流在所难免。

另一个原因是开源软件企业经营不容易，需要公司管理者非常高的经营智慧。开源走的是软件免费和服务收费，如果软件好用，意味着服务需求低；而软件太复杂，实施维护成本就高，公司很难做大。到目前为止，也只有红帽把这样的业务模式玩转了。

显然，虽然Cloudera、Hortonworks、MapR所代表的以Hadoop为主营业务的公司经营困难，但并不能认为市场不需要Hadoop了，市场对Hadoop需求仍然存在，比如，对于非结构化的海量数据存在HDFS依然是首要候选，Hadoop仍然是大数据市场的主要工具。对于这个行业的创业者而言，现状最需要思考的是如何在这个行业找到自己的价值定位，而不能光蹭热度。

10.知乎宣布完成 4.34 亿美元 F 轮融资：快手领投、百度跟投

8 月 12 日，知乎宣布完成约 4.34 亿美元 F 轮融资，本轮融资由快手领投，百度跟投，腾讯和今日资本原有投资方继续跟投。这笔投资是是知乎迄今为止金额最大的一轮融资，刷新了之前 2.7 亿美元 E 轮融资的记录。

对于这轮投资，快手方面表示，此轮投资显示出快手对知识分享社区的浓厚兴趣和对知乎发展前景的高度看好。

百度方面表示，将进一步加深双方的合作，并以智能小程序作为新一代的内容连接器，为全网用户提供最优质的内容体验；并表示知乎与百度将展开业务上的合作，知乎全站上亿条问答内容将以智能小程序的形式接入百度 App，并在百度搜索、信息流上通过 AI 技术个性化分发给兴趣不同的用户。

而对于这轮融资，知乎创始人、CEO 周源说：

感谢新老投资方的信赖和支持。资本增添了信心和动力，我们也将肩负更多的责任和期许。知乎初心未改，将继续独立发展，坚定地向着自己的北极星前进。未来，知乎将与快手、百度展开紧密合作，共同致力于优质内容的发现、传播和形态升级，持续加强社区生态建设。”

本次融资距离上一轮融资已有一年之久—— 2018 年 8 月 8 日，知乎创始人兼 CEO 周源宣布，知乎完成了 2.7 亿美元 E 轮融资，E 轮融资的估值接近 25亿美元，领投方为一家新基金，并有多家老股东跟投。

去年年底，据《新京报》报道，知乎在进行全公司范围内的裁员，裁员人数高达 700。一位被裁的知乎员工透露，裁员的原因是缩减预算，架构调整，以及新任 CFO 的到岗有关。虽然知乎回应，裁员 700 人为不实消息，公司的人员优化处在正常范围。但外界猜测，知乎的多种举措旨在为上市做准备。

知乎在 2017 年正式开展商业化，并陆续成立了商业广告和知识服务两大事业部；2018 年上半年，知乎的商业广告营收额相比去年同期增长 340 %，知识服务也在去年 6 月完成了「知乎大学」战略升级，已提供超过 15000 个知识服务产品。

可以想见的是，伴随着本轮融资的完成，知乎将会在商业化道路上越走越远；同时也有消息称，知乎也已经有上市的相关计划。

11.用友与华为签订合作协议，基于GaussDB数据库打造国产化解决方案

用友与华为签订合作协议，双方将基于用友企业云服务和华为GaussDB数据库打造国产化解决方案，这也是双方构建鲲鹏产业生态的重要进展之一。根据协议，华为将提供基于鲲鹏的数据库产品，并协同用友完成大型企业数字化平台NC Cloud等产品对GaussDB的适配。

12.2019年中国互联网企业100强榜单揭晓

8月14日，中国互联网协会、工业和信息化部网络安全产业发展中心（工业和信息化部信息中心）在2019年中国互联网企业100强发布会暨百强企业高峰论坛上联合发布了2019年中国互联网企业100强榜单、互联网成长型企业20强榜单和《2019年中国互联网企业100强发展报告》。阿里巴巴（中国）有限公司、深圳市腾讯计算机系统有限责任公司、百度公司、京东集团、浙江蚂蚁小微金融服务集团股份有限公司、网易集团、美团点评、北京字节跳动科技有限公司、三六零安全科技股份有限公司、新浪公司位列榜单前十名。