保护记者的私有 VPN
Digital Ocean 官方博客介绍了 Google Jigsaw 开发的私有开源 VPN 软件 Outline。Outline 是基于开源的 socks5 代理 ShadowSocks,将私有的 VPN 伪装成普通的加密流量。Outline 的更新很频繁,每天都会释出一个版本。创建私人的 Outline 服务非常简单,官方推荐 Digital Ocean,Digital Ocean 的月费是 5 美元,用户可以三步创建自己的服务,选择一个服务器位置,安装 Docker 导入镜像, 安装 Watchtower 确保软件保持更新。它比用户自己安装 ShadowSocks 更简单且直观。Media
https://www.solidot.org/story?sid=58714
Digital Ocean 官方博客介绍了 Google Jigsaw 开发的私有开源 VPN 软件 Outline。Outline 是基于开源的 socks5 代理 ShadowSocks,将私有的 VPN 伪装成普通的加密流量。Outline 的更新很频繁,每天都会释出一个版本。创建私人的 Outline 服务非常简单,官方推荐 Digital Ocean,Digital Ocean 的月费是 5 美元,用户可以三步创建自己的服务,选择一个服务器位置,安装 Docker 导入镜像, 安装 Watchtower 确保软件保持更新。它比用户自己安装 ShadowSocks 更简单且直观。Media
https://www.solidot.org/story?sid=58714
NSO Group 向沙特提供手机间谍软件
以色列国土报报道(付费墙),在沙特王储清洗竞争对手前,以色列公司 NSO Group 与沙特磋商价值 5500 万美元的交易,出售手机间谍软件 Pegasus 3,允许沙特政府入侵公民的手机和监听通话。NSO Group 声称它遵守了法律,其产品是用于打击罪犯和恐怖主义的。报道称,NSO 与沙特代表 2017 年在欧洲举行了多次会谈,其中一次 NSO 拒绝了沙特的请求去识别一名反政府 Twitter 账号的身份,另一次 NSO 演示了在获得手机号码之后如何入侵一部全新的 iPhone 手机。报道称双方的交易最终搁置了。Media
https://www.solidot.org/story?sid=58715
以色列国土报报道(付费墙),在沙特王储清洗竞争对手前,以色列公司 NSO Group 与沙特磋商价值 5500 万美元的交易,出售手机间谍软件 Pegasus 3,允许沙特政府入侵公民的手机和监听通话。NSO Group 声称它遵守了法律,其产品是用于打击罪犯和恐怖主义的。报道称,NSO 与沙特代表 2017 年在欧洲举行了多次会谈,其中一次 NSO 拒绝了沙特的请求去识别一名反政府 Twitter 账号的身份,另一次 NSO 演示了在获得手机号码之后如何入侵一部全新的 iPhone 手机。报道称双方的交易最终搁置了。Media
https://www.solidot.org/story?sid=58715
中国建立 50 万扫黄打非基层网格
扫黄打非办发表了一份新闻稿,透露了一些有意思的信息:四川城乡划分了 6 万余个网格,已配备网格员近 7.2 万名——这些网格应该不只是为了扫黄打非,否则就是有点小题大作了——农村的机顶盒嵌入了 “扫黄打非”一键报警;河南、广东、山西、北京、辽宁、宁夏等地区也都建立了基层网格,监视辖区内的企业、学校、书店等重点场所和车站、闹市广场、旅游景点等人口密集、流动性大的重点部位;浙江、甘肃等地还将“扫黄打非”管理模块嵌入综治监管网络平台,实现基层“扫黄打非”线索发现、上报、处置、反馈网上全流程跟踪,借助大数据实现基层“扫黄打非”管理全覆盖、自动化、科学化...Media
https://www.solidot.org/story?sid=58716
扫黄打非办发表了一份新闻稿,透露了一些有意思的信息:四川城乡划分了 6 万余个网格,已配备网格员近 7.2 万名——这些网格应该不只是为了扫黄打非,否则就是有点小题大作了——农村的机顶盒嵌入了 “扫黄打非”一键报警;河南、广东、山西、北京、辽宁、宁夏等地区也都建立了基层网格,监视辖区内的企业、学校、书店等重点场所和车站、闹市广场、旅游景点等人口密集、流动性大的重点部位;浙江、甘肃等地还将“扫黄打非”管理模块嵌入综治监管网络平台,实现基层“扫黄打非”线索发现、上报、处置、反馈网上全流程跟踪,借助大数据实现基层“扫黄打非”管理全覆盖、自动化、科学化...Media
https://www.solidot.org/story?sid=58716
中国诞生免疫艾滋病的基因编辑婴儿
官媒人民网报道,来自深圳的贺建奎宣布一对名为露露和娜娜的基因编辑婴儿于 11 月在中国健康诞生。这对双胞胎的一个基因经过修改,使她们出生后即能天然抵抗艾滋病。这是世界首例免疫艾滋病的基因编辑婴儿,也意味着中国在基因编辑技术用于疾病预防领域实现历史性突破。据贺建奎介绍,基因编辑手术比起常规试管婴儿多一个步骤,即在受精卵时期,把 Cas9 蛋白和特定的引导序列,用 5 微米、约头发二十分之一细的针注射到还处于单细胞的受精卵里。他的团队采用“CRISPR/Cas9”基因编辑技术修改 CCR5 基因,而 CCR5 基因是HIV 病毒入侵机体细胞的主要辅助受体之一。此前资料显示,在北欧人群里面有约 10% 的人天然存在CCR5 基因缺失。拥有这种突变的人,能够关闭致病力最强的 HIV 病毒感染大门,使病毒无法入侵人体细胞,即能天然免疫 HIV 病毒。Media
https://www.solidot.org/story?sid=58717
官媒人民网报道,来自深圳的贺建奎宣布一对名为露露和娜娜的基因编辑婴儿于 11 月在中国健康诞生。这对双胞胎的一个基因经过修改,使她们出生后即能天然抵抗艾滋病。这是世界首例免疫艾滋病的基因编辑婴儿,也意味着中国在基因编辑技术用于疾病预防领域实现历史性突破。据贺建奎介绍,基因编辑手术比起常规试管婴儿多一个步骤,即在受精卵时期,把 Cas9 蛋白和特定的引导序列,用 5 微米、约头发二十分之一细的针注射到还处于单细胞的受精卵里。他的团队采用“CRISPR/Cas9”基因编辑技术修改 CCR5 基因,而 CCR5 基因是HIV 病毒入侵机体细胞的主要辅助受体之一。此前资料显示,在北欧人群里面有约 10% 的人天然存在CCR5 基因缺失。拥有这种突变的人,能够关闭致病力最强的 HIV 病毒感染大门,使病毒无法入侵人体细胞,即能天然免疫 HIV 病毒。Media
https://www.solidot.org/story?sid=58717
Linux 稳定版内核撤回严重影响性能的 Spectre 补丁
Linux 4.20 合并的 Spectre 补丁(Single Thread Indirect Branch Predictors 或缩写 STIBP)被发现对英特尔处理器的性能有严重影响,而这个补丁已经向后移植到了 Linux 4.14 和 4.19 LTS 版本,测试显示补丁对各种应用的性能确实产生了显著影响,这就引发了争论,Linux 稳定内核是否应该包含会导致性能下降的补丁?上周五,稳定内核维护者 Greg Kroah-Hartman 释出了 Linux kernel 4.19.4、4.14.83 和 4.9.139,其中 4.19.4 和 4.14.83 主要是撤回 STIBP 补丁。Linus Torvalds 在开发者邮件列表上指出,STIPB 补丁付出的代价比人们以为的更昂贵,当某些负荷的性能下降 50%,那么人们可能就需要扪心自问这个代价是否值得付出。还不如完全禁用超线程的好。当真正关心安全的人已经禁用了超线程那么为什么还要默认启用 STIBP?也许在 STIBP 补丁更可靠之后稳定版内核可能会再次移植代码。Media
https://www.solidot.org/story?sid=58718
Linux 4.20 合并的 Spectre 补丁(Single Thread Indirect Branch Predictors 或缩写 STIBP)被发现对英特尔处理器的性能有严重影响,而这个补丁已经向后移植到了 Linux 4.14 和 4.19 LTS 版本,测试显示补丁对各种应用的性能确实产生了显著影响,这就引发了争论,Linux 稳定内核是否应该包含会导致性能下降的补丁?上周五,稳定内核维护者 Greg Kroah-Hartman 释出了 Linux kernel 4.19.4、4.14.83 和 4.9.139,其中 4.19.4 和 4.14.83 主要是撤回 STIBP 补丁。Linus Torvalds 在开发者邮件列表上指出,STIPB 补丁付出的代价比人们以为的更昂贵,当某些负荷的性能下降 50%,那么人们可能就需要扪心自问这个代价是否值得付出。还不如完全禁用超线程的好。当真正关心安全的人已经禁用了超线程那么为什么还要默认启用 STIBP?也许在 STIBP 补丁更可靠之后稳定版内核可能会再次移植代码。Media
https://www.solidot.org/story?sid=58718
为了科学六个人自愿吞下乐高
在假季里考虑给孩子买乐高的父母可能担心孩子会吞下几个乐高积木,根据一项科学研究,好消息是吞下的积木会在几天后排出来,因为研究者自愿吞下乐高并监视了其排出的时间。研究报告发表在知名期刊《Journal of Pediatrics and Child Health》上。研究者将乐高通过人体排出的时间称为 Found and Retrieved Time (FART)。六名志愿者中的五名的 FART 时间为 1.14 天到 3.04 天,平均时间 1.71 天,还有一个人没有分数是因为他没有发现乐高排出。这位可怜的人监视了他的排泄物两周时间但却一无所获。他是论文合作者 Damien Roland。Media
https://www.solidot.org/story?sid=58719
在假季里考虑给孩子买乐高的父母可能担心孩子会吞下几个乐高积木,根据一项科学研究,好消息是吞下的积木会在几天后排出来,因为研究者自愿吞下乐高并监视了其排出的时间。研究报告发表在知名期刊《Journal of Pediatrics and Child Health》上。研究者将乐高通过人体排出的时间称为 Found and Retrieved Time (FART)。六名志愿者中的五名的 FART 时间为 1.14 天到 3.04 天,平均时间 1.71 天,还有一个人没有分数是因为他没有发现乐高排出。这位可怜的人监视了他的排泄物两周时间但却一无所获。他是论文合作者 Damien Roland。Media
https://www.solidot.org/story?sid=58719
微软的 TypeScript 最受 JavaScript 开发者青睐
对 153 个国家的 2 万多名 JavaScript 开发者的调查发现,微软开发的 JavaScript 超集 TypeScript 最受开发者青睐。使用并将继续使用 TypeScript 的开发者比例从 2016 年的 20.08% 增加到了 2018 年的 46.7%,在某些国家其比例甚至超过五成。为什么喜欢 TypeScript? 7000 多名开发者回应说是它鲁棒、不易出错的代码,另外 5500 名开发者表示是其优雅的编程风格和编程模式。JavaScript 框架有高满意度和高用户基数的只有 React,另一个值得一提的框架是 Vue,Angular 有很多用户但满意度不高。94% 的开发者是男性,27.8% 有 2-5 经验,28% 有 5-10 年经验,24% 有 10-20 经验。Media
https://www.solidot.org/story?sid=58720
对 153 个国家的 2 万多名 JavaScript 开发者的调查发现,微软开发的 JavaScript 超集 TypeScript 最受开发者青睐。使用并将继续使用 TypeScript 的开发者比例从 2016 年的 20.08% 增加到了 2018 年的 46.7%,在某些国家其比例甚至超过五成。为什么喜欢 TypeScript? 7000 多名开发者回应说是它鲁棒、不易出错的代码,另外 5500 名开发者表示是其优雅的编程风格和编程模式。JavaScript 框架有高满意度和高用户基数的只有 React,另一个值得一提的框架是 Vue,Angular 有很多用户但满意度不高。94% 的开发者是男性,27.8% 有 2-5 经验,28% 有 5-10 年经验,24% 有 10-20 经验。Media
https://www.solidot.org/story?sid=58720
AI 错误将广告里的董明珠识别为乱穿马路的人
中国各地开始部署面部识别技术去识别乱穿马路的人,然后通过安装在路边的显示屏进行曝光。但 AI 的智能其实有限,误报率很高,格力董事长董明珠可能对此就有深刻体验。她的肖像上周出现在了浙江宁波的曝光显示屏上,但显示的却是她在公交巴士上的广告图像。宁波交警很快认识到了错误,删除了显示屏上的快照,表示将全面升级监控系统以减少误报。格力没有表现出丝毫的不满,而是感谢了交警的辛勤工作,它还呼吁人们遵守规则以确保交通安全。Media
https://www.solidot.org/story?sid=58721
中国各地开始部署面部识别技术去识别乱穿马路的人,然后通过安装在路边的显示屏进行曝光。但 AI 的智能其实有限,误报率很高,格力董事长董明珠可能对此就有深刻体验。她的肖像上周出现在了浙江宁波的曝光显示屏上,但显示的却是她在公交巴士上的广告图像。宁波交警很快认识到了错误,删除了显示屏上的快照,表示将全面升级监控系统以减少误报。格力没有表现出丝毫的不满,而是感谢了交警的辛勤工作,它还呼吁人们遵守规则以确保交通安全。Media
https://www.solidot.org/story?sid=58721
俄罗斯计划对违反规定的科技公司加大处罚
路透社援引据知情人士的消息报道,俄罗斯计划对未能遵守俄罗斯法律的科技公司处以更严厉罚款,从而令克里姆林宫与 Facebook 和 Google 等全球科技巨擘的争端升级。过去五年,俄罗斯推出了更严的网络法,要求搜索引擎删除一些搜索结果,要求即时通讯服务与安全服务分享加密密钥,并要求社交网络将俄罗斯用户的个人数据存储在俄罗斯国内的服务器上。目前俄罗斯执行数据规定的唯一工具是罚款,而罚款通常只有几千美元,要么就是屏蔽违规的在线服务,而后者是个充满技术困难的选项。新提议给出的罚金为科技公司在俄罗斯年营收的 1%。Media
https://www.solidot.org/story?sid=58722
路透社援引据知情人士的消息报道,俄罗斯计划对未能遵守俄罗斯法律的科技公司处以更严厉罚款,从而令克里姆林宫与 Facebook 和 Google 等全球科技巨擘的争端升级。过去五年,俄罗斯推出了更严的网络法,要求搜索引擎删除一些搜索结果,要求即时通讯服务与安全服务分享加密密钥,并要求社交网络将俄罗斯用户的个人数据存储在俄罗斯国内的服务器上。目前俄罗斯执行数据规定的唯一工具是罚款,而罚款通常只有几千美元,要么就是屏蔽违规的在线服务,而后者是个充满技术困难的选项。新提议给出的罚金为科技公司在俄罗斯年营收的 1%。Media
https://www.solidot.org/story?sid=58722
RMS 批评比特币,力推替代 GNU Taler
自由软件基金会主席 RMS 接受 CoinDesk 采访,谈论比特币及其 GNU 替代 Taler,他再次指出美国的自由意志论者其实是反社会主义者,而他亲自由的观点更趋向于自由意志论。RMS 认为比特币不适合数字支付,因为它的隐私保护欠佳,不具有真正的匿名性,他本人从未使用过。名叫 Taler 的 GNU 项目是更好的替代。Taler 项目维护者 Christian Grothoff 称,Taler 是为后区块链世界设计的。它是基于盲签名,能抵御政府和企业的监视,但并没有绕过中央权威机构,中央机构仍然可以征税。Taler 赋予了用户交易的匿名性,也就是你无法区分 Taler 数字令牌是客户 A 还是 B 还是 C 持有的,而它的支付是通过一个中心化的交易平台处理的,不是矿工们的 P2P 网络,不存在洗钱的风险。RMS 称他不想要完美的匿名性,因为这将无法调查犯罪,而这是国家的任务之一。国家需要做很多重要的工作,如资助研究、教育和医保建设基础设施,维持次序和正义。Media
https://www.solidot.org/story?sid=58723
自由软件基金会主席 RMS 接受 CoinDesk 采访,谈论比特币及其 GNU 替代 Taler,他再次指出美国的自由意志论者其实是反社会主义者,而他亲自由的观点更趋向于自由意志论。RMS 认为比特币不适合数字支付,因为它的隐私保护欠佳,不具有真正的匿名性,他本人从未使用过。名叫 Taler 的 GNU 项目是更好的替代。Taler 项目维护者 Christian Grothoff 称,Taler 是为后区块链世界设计的。它是基于盲签名,能抵御政府和企业的监视,但并没有绕过中央权威机构,中央机构仍然可以征税。Taler 赋予了用户交易的匿名性,也就是你无法区分 Taler 数字令牌是客户 A 还是 B 还是 C 持有的,而它的支付是通过一个中心化的交易平台处理的,不是矿工们的 P2P 网络,不存在洗钱的风险。RMS 称他不想要完美的匿名性,因为这将无法调查犯罪,而这是国家的任务之一。国家需要做很多重要的工作,如资助研究、教育和医保建设基础设施,维持次序和正义。Media
https://www.solidot.org/story?sid=58723
基因编辑婴儿引发广泛争议
贺建奎创造基因编辑婴儿的消息引发了广泛争议,官媒甚至删除了它们的报道。有关各方也都纷纷撇清关系。贺建奎任职的南方科技大学发表声明称他已经停薪留职,学校对其实验并不知情,认为这严重违背了学术伦理和学术规范,将组建独立委员会展开调查。被认为与贺建奎有合作的莆田系深圳和美妇儿科医院也发表声明,否认与贺建奎有合作。根据公布在中国临床试验注册中心的《HIV免疫基因CCR5胚胎基因编辑安全性和有效性评估》,贺建奎的合作医院就是深圳和美妇儿医院。看起来没人想与基因编辑婴儿这一伦理灾难扯上关系。Media
https://www.solidot.org/story?sid=58724
贺建奎创造基因编辑婴儿的消息引发了广泛争议,官媒甚至删除了它们的报道。有关各方也都纷纷撇清关系。贺建奎任职的南方科技大学发表声明称他已经停薪留职,学校对其实验并不知情,认为这严重违背了学术伦理和学术规范,将组建独立委员会展开调查。被认为与贺建奎有合作的莆田系深圳和美妇儿科医院也发表声明,否认与贺建奎有合作。根据公布在中国临床试验注册中心的《HIV免疫基因CCR5胚胎基因编辑安全性和有效性评估》,贺建奎的合作医院就是深圳和美妇儿医院。看起来没人想与基因编辑婴儿这一伦理灾难扯上关系。Media
https://www.solidot.org/story?sid=58724
空间站微生物可能会威胁到宇航员健康
根据发表在《BMC Microbiology》期刊上的一项研究,科学家在国际空间站内发现了一些肠杆菌菌株,这些细菌与在一些医院中发现的传染性病菌相似。太空中的这些菌株对人类而言并非致病菌,但研究者认为应研究其对未来的航天任务承担者可能造成的健康影响。加州理工 JPL 的科学家研究了 2015 年 3月 从国际空间站的马桶和运动台上收集分离的 5 个肠杆菌菌株,以便更好地鉴定空间站内各种表面上的细菌群落。研究人员将国际空间站内的菌株与地球上收集到的所有 1291 种肠杆菌的公开基因组信息进行了对比,发现它们与新近在地球上发现的 3 种菌株在基因组成上最相似。这 3 种菌株均属同一品种的细菌 Enterobacter bugandensis,这种细菌会导致新生儿和缺乏抵抗力的病人患病。虽然国际空间站菌株对人类不具有致病性,但研究者通过电脑分析预测,它们致病的潜在可能性为 79%。Media
https://www.solidot.org/story?sid=58725
根据发表在《BMC Microbiology》期刊上的一项研究,科学家在国际空间站内发现了一些肠杆菌菌株,这些细菌与在一些医院中发现的传染性病菌相似。太空中的这些菌株对人类而言并非致病菌,但研究者认为应研究其对未来的航天任务承担者可能造成的健康影响。加州理工 JPL 的科学家研究了 2015 年 3月 从国际空间站的马桶和运动台上收集分离的 5 个肠杆菌菌株,以便更好地鉴定空间站内各种表面上的细菌群落。研究人员将国际空间站内的菌株与地球上收集到的所有 1291 种肠杆菌的公开基因组信息进行了对比,发现它们与新近在地球上发现的 3 种菌株在基因组成上最相似。这 3 种菌株均属同一品种的细菌 Enterobacter bugandensis,这种细菌会导致新生儿和缺乏抵抗力的病人患病。虽然国际空间站菌株对人类不具有致病性,但研究者通过电脑分析预测,它们致病的潜在可能性为 79%。Media
https://www.solidot.org/story?sid=58725
AI 发展背后的廉价数据工厂
推进 AI 发展的一些最关键工作是在与北京和深圳那些向往成为硅谷的地方相距十万八千里进行的。虽然人工智能机器是超快的学习者,擅长处理复杂的运算,但它们缺乏就连 5 岁的孩子都具备的认知能力。人工智能需要被教导。它必须消化大量带有标签的照片和视频,然后才能意识到,黑猫和白猫都是猫。这就是数据工厂及其工作人员起作用的地方。数据工厂开始在远离大城市的地区涌现,通常是在相对偏远的地区,劳动力和办公空间都很便宜。许多数据工厂的工人都曾在大城市的流水线和建筑工地工作。但是那些工作正在枯竭,工资增长放缓,而且许多中国人更喜欢住在离家较近的地方。Media
https://www.solidot.org/story?sid=58726
推进 AI 发展的一些最关键工作是在与北京和深圳那些向往成为硅谷的地方相距十万八千里进行的。虽然人工智能机器是超快的学习者,擅长处理复杂的运算,但它们缺乏就连 5 岁的孩子都具备的认知能力。人工智能需要被教导。它必须消化大量带有标签的照片和视频,然后才能意识到,黑猫和白猫都是猫。这就是数据工厂及其工作人员起作用的地方。数据工厂开始在远离大城市的地区涌现,通常是在相对偏远的地区,劳动力和办公空间都很便宜。许多数据工厂的工人都曾在大城市的流水线和建筑工地工作。但是那些工作正在枯竭,工资增长放缓,而且许多中国人更喜欢住在离家较近的地方。Media
https://www.solidot.org/story?sid=58726
运动如何影响大脑
日本研究人员让小鼠每天运动 1 小时,每周训练 5 天,以了解锻炼对哺乳动物大脑有什么影响。研究人员找到了驱动体育锻炼给机体带来神经学变化的机制。他们发现,每周进行跑步训练的小鼠大脑海马区组蛋白的乙酰化水平比其他小鼠高,海马被认为是学习和记忆的所在地。这种表观遗传标记导致一种名为大脑驱动神经营养因子基因(BDNF)的大量表达。通过支持新神经细胞生长和成熟,BDNF 被认为可以促进大脑健康,提高该基因表达水平可以改善小鼠和人类认知相关性能。Media
https://www.solidot.org/story?sid=58727
日本研究人员让小鼠每天运动 1 小时,每周训练 5 天,以了解锻炼对哺乳动物大脑有什么影响。研究人员找到了驱动体育锻炼给机体带来神经学变化的机制。他们发现,每周进行跑步训练的小鼠大脑海马区组蛋白的乙酰化水平比其他小鼠高,海马被认为是学习和记忆的所在地。这种表观遗传标记导致一种名为大脑驱动神经营养因子基因(BDNF)的大量表达。通过支持新神经细胞生长和成熟,BDNF 被认为可以促进大脑健康,提高该基因表达水平可以改善小鼠和人类认知相关性能。Media
https://www.solidot.org/story?sid=58727
广泛使用的 NPM 库被发现植入窃取比特币的后门
广泛使用的 NPM 库 event-stream 在被转让给新维护者之后被发现植入了窃取比特币的后门。这个库有 200 万下载量,被包括财富五百强在内的大小企业使用。它在 9 月 8 日释出的更新中加入了叫 flatmap-stream 的模块,当时这个模块没有恶意功能,但在 10 月 5 日释出的更新中该模块加入了窃取比特币钱包并转移出余额的功能。上周二 Github 用户 Ayrton Sparling 报告了后门,本周一 NPM 才正式发出警告。恶意代码针对的是 Copay 钱包用户。Copay 开发的钱包应用在其代码中使用了 event-stream 依赖库。该公司一开始否认但最后承认它释出的应用包含了后门版本的 event-stream。该公司称使用 versions 5.0.2 到 5.1.0 的用户受到了后门影响。使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽可能快的升级到 5.2.0 版本。过去几年,此类的软件供应链攻击已经日益常见。Media
https://www.solidot.org/story?sid=58728
广泛使用的 NPM 库 event-stream 在被转让给新维护者之后被发现植入了窃取比特币的后门。这个库有 200 万下载量,被包括财富五百强在内的大小企业使用。它在 9 月 8 日释出的更新中加入了叫 flatmap-stream 的模块,当时这个模块没有恶意功能,但在 10 月 5 日释出的更新中该模块加入了窃取比特币钱包并转移出余额的功能。上周二 Github 用户 Ayrton Sparling 报告了后门,本周一 NPM 才正式发出警告。恶意代码针对的是 Copay 钱包用户。Copay 开发的钱包应用在其代码中使用了 event-stream 依赖库。该公司一开始否认但最后承认它释出的应用包含了后门版本的 event-stream。该公司称使用 versions 5.0.2 到 5.1.0 的用户受到了后门影响。使用这些版本的用户应该假定他们的私钥已经被窃取了,需要尽可能快的升级到 5.2.0 版本。过去几年,此类的软件供应链攻击已经日益常见。Media
https://www.solidot.org/story?sid=58728
监管导致中国流感疫苗短缺
针对中国疫苗制造商的更严格检查导致流感疫苗短缺,增加了大面积感染的风险,并突显出中国最高医药监管机构人手不足。在两家企业被曝销售了数十万支不合格的狂犬病以及百日咳、白喉、破伤风三合一疫苗后,国家药品监督管理局要求疫苗制造商接受生产现场检查。处于丑闻中心的长生生物科技公司去年生产的流感疫苗约占中国流感疫苗产量的 15%,现已被勒令停产。据分析师和业内人士透露,由于缺乏能够对其他生产商进行生产现场检查的人员,审批已被延迟。今年获准销售的流感疫苗数量已较去年同期下降 43%,至 1440 万支。Media
https://www.solidot.org/story?sid=58729
针对中国疫苗制造商的更严格检查导致流感疫苗短缺,增加了大面积感染的风险,并突显出中国最高医药监管机构人手不足。在两家企业被曝销售了数十万支不合格的狂犬病以及百日咳、白喉、破伤风三合一疫苗后,国家药品监督管理局要求疫苗制造商接受生产现场检查。处于丑闻中心的长生生物科技公司去年生产的流感疫苗约占中国流感疫苗产量的 15%,现已被勒令停产。据分析师和业内人士透露,由于缺乏能够对其他生产商进行生产现场检查的人员,审批已被延迟。今年获准销售的流感疫苗数量已较去年同期下降 43%,至 1440 万支。Media
https://www.solidot.org/story?sid=58729
event-stream 作者谈库的维护
广泛使用的依赖库 event-stream 在被原维护者 Dominic Tarr 转让给 right9ctrl 之后被植入了窃取比特币的后门,原维护者因此遭到了谴责,他在 GitHub 上发表声明做出了回应。他说,使用者将维护的负担压在作者身上,而他开发这个库不是出于利他动机,是因为好玩。从开发中学习并获得乐趣,将维护交给另一个人是因为分享也是一种学习。为什么要把这个软件包项目交给一个陌生人?因为当它不再有趣,你从维护中得不到任何东西。一开始他并没有从 right9ctrl 身上感受到恶意,他以为这是一位真心想帮助他的人。与其他贡献者分享 commit access/publish 权力在 node/npm 社区是很流行的。他认为有两种方法解决这个问题:给维护者钱,或者使用者也应该承担部分维护的责任。Media
https://www.solidot.org/story?sid=58730
广泛使用的依赖库 event-stream 在被原维护者 Dominic Tarr 转让给 right9ctrl 之后被植入了窃取比特币的后门,原维护者因此遭到了谴责,他在 GitHub 上发表声明做出了回应。他说,使用者将维护的负担压在作者身上,而他开发这个库不是出于利他动机,是因为好玩。从开发中学习并获得乐趣,将维护交给另一个人是因为分享也是一种学习。为什么要把这个软件包项目交给一个陌生人?因为当它不再有趣,你从维护中得不到任何东西。一开始他并没有从 right9ctrl 身上感受到恶意,他以为这是一位真心想帮助他的人。与其他贡献者分享 commit access/publish 权力在 node/npm 社区是很流行的。他认为有两种方法解决这个问题:给维护者钱,或者使用者也应该承担部分维护的责任。Media
https://www.solidot.org/story?sid=58730
NASA InSight 在火星成功着陆
NASA InSight 探测器在近 7 个月的飞行之后在火星表面成功着陆。InSight 代表 Interior Exploration using Seismic Investigations, Geodesy and Heat Transport,通过测量热传输和地震活动探索红色星球的内部秘密,更深入的了解包括地球和月球在内的天体如何形成岩石表面。InSight 于今年 5 月 5 日在范登堡空军基地发射升空,11 月 26 日 15:01 EST 在 Elysium 平原着陆。探测器进入火星大气层时的时速 19,800 公里,通过一系列制动和减速历时 6 分半钟在火星着陆,它的任务将持续两年。Media
https://www.solidot.org/story?sid=58731
NASA InSight 探测器在近 7 个月的飞行之后在火星表面成功着陆。InSight 代表 Interior Exploration using Seismic Investigations, Geodesy and Heat Transport,通过测量热传输和地震活动探索红色星球的内部秘密,更深入的了解包括地球和月球在内的天体如何形成岩石表面。InSight 于今年 5 月 5 日在范登堡空军基地发射升空,11 月 26 日 15:01 EST 在 Elysium 平原着陆。探测器进入火星大气层时的时速 19,800 公里,通过一系列制动和减速历时 6 分半钟在火星着陆,它的任务将持续两年。Media
https://www.solidot.org/story?sid=58731
华为在其手机上测试 Google 的 Fuchsia
Google 正在开发替代 Android 的新操作系统 Fuchsia,它没有使用 Linux 内核,而是使用名叫 Zircon 的微内核,它设计能运行在手机和 PC 上。暂时还不清楚 Google 对 Fuchsia 究竟有何计划。Fuchsia 是一种开源操作系统,因此通过跟踪代码的变化我们能了解其开发进度和观察谁对该项目感兴趣。过去一年,华为的工程师向 Fuchsia 项目递交了一系列 commits,但没有迹象显示该公司计划使用 Fuchsia。但在上周,华为的工程师透露该公司正在其手机上测试运行 Fuchsia。华为的 Honor Play 是首批测试 Fuchsia 的消费者智能手机。Media
https://www.solidot.org/story?sid=58732
Google 正在开发替代 Android 的新操作系统 Fuchsia,它没有使用 Linux 内核,而是使用名叫 Zircon 的微内核,它设计能运行在手机和 PC 上。暂时还不清楚 Google 对 Fuchsia 究竟有何计划。Fuchsia 是一种开源操作系统,因此通过跟踪代码的变化我们能了解其开发进度和观察谁对该项目感兴趣。过去一年,华为的工程师向 Fuchsia 项目递交了一系列 commits,但没有迹象显示该公司计划使用 Fuchsia。但在上周,华为的工程师透露该公司正在其手机上测试运行 Fuchsia。华为的 Honor Play 是首批测试 Fuchsia 的消费者智能手机。Media
https://www.solidot.org/story?sid=58732
Windows 10 最新更新发现更多 bug
Windows 10 最新更新 October 2018 Update 经历了一个月的延期,但延期并没有修复所有 bug,事实上用户发现了更多 bug:Windows Media Player 在播放特定文件时拖动条失效,部分 Win32 应用无法被设置为特定文件类型的默认打开应用,比如你想用笔记本应用打开特定类型文件,你现在没办法做到。微软的 Windows 即服务策略最近受到了越来越多的批评,批评者呼吁软件巨人放慢脚步,花更多时间测试系统。Media
https://www.solidot.org/story?sid=58733
Windows 10 最新更新 October 2018 Update 经历了一个月的延期,但延期并没有修复所有 bug,事实上用户发现了更多 bug:Windows Media Player 在播放特定文件时拖动条失效,部分 Win32 应用无法被设置为特定文件类型的默认打开应用,比如你想用笔记本应用打开特定类型文件,你现在没办法做到。微软的 Windows 即服务策略最近受到了越来越多的批评,批评者呼吁软件巨人放慢脚步,花更多时间测试系统。Media
https://www.solidot.org/story?sid=58733
特朗普预计对来自中国的 iPhone 和笔记本等产品加征 10% 关税
美国总统特朗普接受华尔街日报采访(付费墙)时表示准备对来自中国的 iPhone 和笔记本等产品加征关税。特朗普称他预计将 2,000 亿美元中国输美商品关税税率由目前的 10% 上调至 25%,并重申将对其余所有中国商品加征关税的威胁。特朗普称他接受北京要求推迟上调关税的可能性“非常低”。美国定于 1 月 1 日将 2,000 亿美元中国输美商品关税税率由 10% 上调至 25%。特朗普说,下一轮还可能对进口自中国的笔记本电脑和苹果的 iPhone 加征关税,这些商品在尚未被加征关税的 2,670 亿美元的中国输美商品之列。特朗普说,“我是说,税率可以定在 10%,这样大家就很容易承受。”Media
https://www.solidot.org/story?sid=58734
美国总统特朗普接受华尔街日报采访(付费墙)时表示准备对来自中国的 iPhone 和笔记本等产品加征关税。特朗普称他预计将 2,000 亿美元中国输美商品关税税率由目前的 10% 上调至 25%,并重申将对其余所有中国商品加征关税的威胁。特朗普称他接受北京要求推迟上调关税的可能性“非常低”。美国定于 1 月 1 日将 2,000 亿美元中国输美商品关税税率由 10% 上调至 25%。特朗普说,下一轮还可能对进口自中国的笔记本电脑和苹果的 iPhone 加征关税,这些商品在尚未被加征关税的 2,670 亿美元的中国输美商品之列。特朗普说,“我是说,税率可以定在 10%,这样大家就很容易承受。”Media
https://www.solidot.org/story?sid=58734