文章类型: 排序方式:
Golang恶意软件重出江湖 数千台Linux服务器遭攻击
F5 Labs发布的研究报告称,一个加密器组织正使用新的Golang恶意软件攻击基于Linux的服务器。虽然在威胁环境中很难注意到,但Golang恶意软件最初是在2018年中期被发现的,攻击持续了2019年全年。目前,研究人员注意到最新的操作,从6月10日开始攻击已经感染了大约数千台机器。
Golang 到底姓什么?开发者想移除谷歌 logo
前阵子有个 Golang 相关的话题引起了许多人的讨论,那就是“Go 是谷歌的语言,而不是社区的”,该观点认为谷歌作为整个 Go 社区的掌门人,它独自决定了什么东西可以被 Go 语言接受,什么不能被接受。而最近有人就想让谷歌从 Go 官网上移除它自家 logo,以此来稳住军心。
Golang到底姓什么?开发者想移除谷歌Logo
前阵子有个Golang相关的话题引起了许多人的讨论,那就是“Go是谷歌的语言,而不是社区的”,该观点认为谷歌作为整个Go社区的掌门人,它独自决定了什么东西可以被Go语言接受,什么不能被接受。而最近有人就想让谷歌从Go官网上移除它自家logo,以此来稳住军心。关于Golang姓谷歌这一观点,一方面是由于Go核心团队的大部分成员都是谷歌的员工,如果他们不离开谷歌,不去积极确立Go语言未来的发展方向,那很难说Go不是谷歌的;另一方面,谷歌公司真的为Go付出了一些东西,比如提供了大量的基础设施和资源,如域名golang.org。想想Go泛型,开发者一直在苦等谷歌添加这一特性,于是有人就想像Java社区一样,新建一个OpenJDK之类的项目,自己去实现泛型,然而这个想法并没有实现,最大的原因就在于Go本身是属于谷歌一家的,而不是社区的项目,谷歌在Golang上是一言堂。该观点还以一个明显的例子说明这一情况:谷歌Go语言核心团队的一名成员拒绝由外部Go社区开发的一个模块系统,因为它使用了另一种不同的模型,所以该模块系统被放弃。这个观点引起了许多人的讨论,而最近有人就针对这个问题,在Go项目上提交了一个issue,希望从Go官网(https://golang.org)上移除谷歌的logo。他的观点是谷歌并不是唯一一家投资Go的公司,应当把该项目的主要利益相关者都单独放到另一个地方,将谷歌 logo也移过去。Go的核心团队成员以 TypeScript 项目为例回复道:“……同样重要的是要明确表示谷歌支持Go,谷歌付费托管着golang.org运行的基础设施,我们希望目前非常小的logo露出是一种体面的妥协。”随后针对一些认为谷歌既然支持Go,那就应该有logo露出的说法,提交issue的人反驳 Google同样托管并支持Android和Dart,但没有在每个官网页面上都露出logo,而另一边,作为商业产品的google.com和谷歌文档,则都非常突出logo,Golang的做法跟这些商业产品的性质是一样的。issue下还有其他人发表了观点,比如Golang使用“Supported by Google.”之类的表述会更合适。详情查看:https://github.com/golang/go/issues/33021Golang到底姓G(oogle)还是姓社(区)?移除Golang官网上谷歌的logo这做法意义又如何?你怎么看?
Fedora 31稳定版正式发布:停止支持32位内核
经过十分短暂的跳票,在 Fedora 30 发布约五个月后,该项目于今天正式发布了 Fedora 31稳定版。尽管距离上个主要版本的发布才过去了短短的五个月,Fedora 31依然带来了十分大的改进,例如常规的性能改进和更新的软件包,以及对构建过程的更改——体现在提供了较小的RPM和更快的解压速度。Fedora是一个由Red Hat赞助、Fedora项目社区支持的独立Linux发行版。其提供了开箱即用的用户体验,默认搭载GNOME桌面环境。首先说一个值得关注的变化,Fedora 31是停止支持32位内核的首个版本,但它依然保留了对具有32位依赖项的程序和具有32位驱动程序的旧硬件的支持。而为了与WINE兼容,它还需要支持一些32位的库以及一些闭源软件,其中包括通过Steam平台交付的游戏。因此,如果你使用的是旧的且仅支持32位的i686内核,是时候找一个替代方案了。变化Fedora 31 Workstation 使用的桌面环境为 GNOME 3.34,它带来了显著的性能增强,这在功率较低的硬件上尤其明显。除此之外,Fedora 31 Workstation 值得关注的更新内容还包括重新设计的背景选择器和支持自定义应用程序文件夹。▲重新设计的背景选择器让用户可以快速轻松地查看和更改桌面背景和锁定屏幕背景▲自定义应用程序文件夹功能可让用户更好地整理已安装的应用Fedora Server 版本则以易于部署的方式为系统管理员带来了最新的、最先进的开源服务器软件。一些常见更新包括:升级了编译器和语言,包括NodeJS 12, Perl 5.30和Golang 1.13。此外,"python"命令现在将使用 Python 3。支持Cgroupsv2,为cgroups提供最新功能的内核级支持。将RPM的压缩算法切换至 zstd,明显减少了所需的压缩时间,并提高使用二进制RPM的进程的整体性能。支持RPM 4.15(RPM软件包管理器的最新版本),以增强Fedora所有版本的性能和稳定性。除了Fedora Workstation和Fedora Server,现在团队还提供了 Fedora CoreOS, Fedora IoT 和 Fedora Silverblue 版本。对了,Fedora 31也支持备用架构 ARM AArch64, Power和S390x。特别要注意的是,对包括Rock960, RockPro64和Rock64在内的Rockchip片上系统设备的支持得到了改进,另外还初步支持了“panfrost”(一种用于较新的Arm Mali“midgard”GPU的开源3D加速图形驱动程序)GPU。获取Fedora Workstation:https://getfedora.org/en/workstation/download/Fedora Server:https://getfedora.org/en/server/download/Fedora CoreOS:https://getfedora.org/en/coreos/Fedora Silverblue:https://silverblue.fedoraproject.org/Fedora IoT:https://iot.fedoraproject.org/升级查看 https://fedoramagazine.org/upgrading-fedora-30-to-fedora-31/
币圈“转型”记
最近一段时间,区块链话题又站在了风口之上。随着区块链在10月下旬再次被“热议”,有关管理部门近日已经开始表示,将积极参与制定区块链有关国家标准,积极参与区块链国际标准化的发展进程。与此同时,区块链概念股应声而起,相关概念股企业从原来不到50家,增长到1000余家。有媒体统计,超过1/6的A股上市公司公布了其与区块链有直接或间接的关系。这一切,自然被币圈的投机者和发币机构看在眼里,同时希望趁机狂欢一场、再掀波澜。然而,随着央媒对“区块链不等于比特币”的报道出台,监管部门也开始通过备案清单“淘汰”炒币企业。有分析人士指出,央行即将推出法定数字货币,过往民间的各种虚拟货币基本上确定“凉凉”。因此,在一系列区块链利好消息推出后,部分币圈创企、创客则开始为“凉凉”琢磨着转型。从业者逃离“韭菜圈”“各位朋友、同事,本人于今天正式离职原公司,望周知。”11月5日,在发了这一则朋友圈之后,郑勇(化名)似乎松了一口气。他告诉懂懂笔记,自前年年初加入现在这家虚拟币研究机构,成为机构联合创始人兼运营总监后,自己心脏的“振幅”远超过去十年的职场生涯。郑勇坦言,所谓“研究”机构,指的并非钻研虚拟货币的使用场景、应用价值、技术底层。而是像所有的虚拟币创企一样,借助以太坊发一款虚拟货币,并通过发布会、宣讲会的炒作,吸引投资者投资。“如果说,和大多是发币机构有什么不同的话,那就是公司至今还没有跑路。”尽管如此,他心里却跟明镜一样,如今公司的经营全靠“忽悠”在维持,“你想想,既不是能避险的主流虚拟币,又和任何产业没有挂钩,增值?呵呵……”“这行业说是投资回报高,尤其是区块链被扶正后。但最近有媒体说,正规军来了首先就是剿匪。我觉得,尽早离开才是上策。”心知自己从事的工作类似“匪”类,于是郑勇下决心在被监管机构淘汰之前,先自我淘汰。实际上,他所在的机构从今年3月份开始就频遭投资者抛售虚币,资金链已出现了问题。“我辞职前就想了,现在转行应该是最佳时机,我身边有不少币圈的熟人都已经转行了。”郑勇回忆,熟悉的币圈朋友开始离职和转行,早就已经出现了。第一波离职潮是在2017年。当时七部委发布了《关于防范代币发行融资风险的公告》,将ICO定性为“非法公开融资”并被叫停。至此,一部分发币机构开始走入地下,悄悄发币募集资金,并在“捞一笔”之后陆续“跑路”。不少从业者自此陆续转行,“2018年上半年应该是币圈人转行最多的一年,原本朋友圈里都是在说虚拟币、技术,突然间就冒出了好多保险、培训、留学广告,还坚持留在币圈的没几个人了。”如今,币圈人士大多明白,国家开始支持区块链技术的发展,央行有可能会发行法定数字货币,这对于民间“非主流”的虚拟货币来说简直是末日。有从业者为“避险”而彻底出圈,但是也有一小部分从业者想在区块链市场中“再搏一次”。转型区块链培训“目前虚拟币投资业务已经和公司剥离了,我们现在是独立运作。”以求职者身份,懂懂笔记来到位于深圳明田路的上一家区块链技术企业面试。根据网上的资料显示,该企业在今年6月份曾经举办过几场区块链技术沙龙,并推广过ICO公开募资。然而,当问及ICO业务时,人力资源负责人赖小姐却表示该业务已经完全由一家“独立公司”承接运营。耐人寻味的是,她所说的独立公司是今年的九月份才成立的。“肯定是业务发展壮大才独立的呀,现在我们这边主要是做区块链培训为主,你看到的这个职位是培训部推广专员。”她告诉懂懂笔记,从年初开始,公司高层一直看好区块链技术应用前景。尤其是国家支持区块链发展,未来一定会有大量与区块链技术相关的企业诞生。因此,行业对于区块链技术人才的需求也会不断增加,“这也是我们转型区块链技术培训的初衷,人才是基础。”据赖小姐介绍,公司最近开始大量招聘熟练掌握Golang、JAVA、C 等主流开发语言的程序员,用于储备培训师资。同时,计划筛选一部分熟悉主流算法和区块链框架的工程师,近期就开始授课培训。“应该是下月初吧,公司就会正式推出区块链技术培训课程,开始宣传和招生。”交流中赖小姐透露,不少从事区块链金融(发币)的企业都有区块链技术班底。因此,在区块链行业的利好消息之下,有部分企业摩拳擦掌打算涉足培训行业,“所以我们公司管理层一直说宣传要走在别人前面,要做区块链培训行业的北大青鸟。”懂懂笔记在搜索引擎上输入“区块链培训”,一共出现了480余万个相关搜索结果。经过简单的分析后发现,除了专业研发培训机构之外,有不少区块链资讯平台、区块链金融机构也都涉足相关培训领域,争相做起了“链学院”。目前,这里面有多少家曾是发币机构无从知晓,但大量的区块链技术培训机构让人联想起当年的程序员培训。有媒体报道,这股区块链技术培训热似乎已经火热铺开,各类推广和宣传已经在网络、街头广告上蔓延开来。如果说培训还算是“务实”的话,那么有些机构在“务虚”的道路上已经无法回头。比如,第三方行业服务机构。“务虚”的机构继续讲故事“不管(涉足)区块链什么领域,都离不开白皮书和商业路演吧?”小金曾在广州一家区块链金融机构的华南分部从事路演策划、资料编撰工作,他告诉懂懂笔记,他所在的这家机构,曾在过去几年承办过不少ICO发布会、投资者沙龙和募资路演。然而2018年初开始,类似的市场需求便少了许多。他们编撰区块链相关的白皮书,也从过去的每月两、三套,减少到每季度一、两套。“明显感觉区块链企业在减少了。”“很多企业在ICO时,都是打着区块链的旗号,实际上都是资金盘那些套路。”小金表示,他了解到一年多来有不少发币机构都“下沉”了,“都是悄悄地、小范围地ICO,主要是在三、四线城市和下沉市场收割剩余的韭菜。”业务减少,管理层也在计划裁减部分工作岗位,准备开始“过冬”,小金也开始为自己的工作着落发愁。没想到,10月底媒体传来“国家扶持区块链发展”的利好消息,“我当时看到新闻时的第一想法就是,我应该不会失业了,大量需求在路上。”小金告诉懂懂笔记,利好消息一出,不少上市公司都争相与区块链扯上关系,行业热度也随之暴增。在他看来,自己公司的业务也必然会迎来大幅增长。“你想啊,那么多企业想与区块链扯上关系,就必须寻找懂行的团队进行包装,包括撰写商业计划、融资计划。那些从事区块链教育培训的,也要宣传推广以及招生。大家都要讲故事、做包装嘛。”小金猜测,未来半年时间里应该还会有大量投资机构聚焦区块链领域,寻找有潜力、值得投资的区块链项目、初创公司,“一年前创客融资说是做区块链的会被骂骗子,以后估计又要被当成‘祖宗’供起来了。”【结束语】有观点认为,区块链“扶正”会让真正聚焦区块链技术的企业获得新生。但是也有声音警示,在国家真正将区块链作为核心技术自主创新的重要突破口,为各行业切实赋能之前,一大批浑水摸鱼者或将再次借机“兴风作浪”。在此期间,什么是真金白银,什么是套路诡计,你是否能够看得一清二楚?
恶意软件开发者转向冷门编程语言 以躲避安全分析与检测
根据黑莓研究与情报团队周一发布的一份新报告,近期 Go(Golang)、D(DLang)、Nim 和 Rust 编程语言的使用率迎来了较大的增幅。背后的原因,则是恶意软件开发者正试图借助冷门的编程语言来躲避安全社区的分析检测、或解决开发过程中遇到的某些痛点。
VS Code 的 Go 语言插件迁移至由 Go 团队维护
VS Code 的 Go 语言插件已成为由 Go 团队维护的项目,其 GitHub 仓库已经从 https://github.com/microsoft/vscode-go 迁移到 https://github.com/golang/vscode-go,在 VS Code 插件市场中的发布者也已由 "Microsoft" 变更为 "Go Team at Google"。
Deno 1.0 发布
Deno 1.0 发布了。Deno 是作者 Ryan Dahl 在 Node 之后的又一大作,它是一个新的运行时,用于在 Web 浏览器之外执行 JavaScript 和 TypeScript,其采用 Rust 编写而成(最初用的是 Golang)。
可自我传播的新蠕虫会把Windows、Linux服务器变成门罗币矿机
自12月初以来,一种新发现的、基于Golang的自我传播的恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币矿机程序。Intezer安全研究员Avigayil Mechtinger透露,这个多平台的恶意软件还具有蠕虫功能,可以通过用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。
Go 泛型的括号选择:[ ] or ( )?
Go 语言设计者 Robert Griesemer 和 Ian Lance Taylor 近日在 Golang 官方论坛发帖讨论关于泛型及其括号使用的问题。他们提到很多人表达了对泛型语法的担忧,特别是在类型参数声明和函数实例以及泛型的括号选择方面。
谷歌Go团队十二年技术负责人突然退位!微软、华为等表达感谢
近日,领导谷歌Go团队和整个Go项目的Russ Cox,突然宣布卸任技术负责人。Russ Cox管理谷歌Go语言超过12年、工作超18年,还是Go语言初始团队成员。Russ Cox在给"golang-dev"群组的邮件中提到,尽管他不会完全脱离Go项目,但认为现在是进行领导层变动的合适时机。
2020年,GCC项目代码终于从SVN完全切换至Git
经过数月的延误,GCC 计划在刚过去的周末里将项目的大型代码仓库从 SVN 切换至 Git。原本大家都以为这次又将会再次延误,但实际上,经过团队步履不停的工作,他们已完全将 GCC 的代码仓库从 SVN 切换至 Git。此前出现延误的原因包括内存问题(RAM)、兼容性问题(bugs)以及用 Golang 重写了 Reposurgeon 的 Python 代码,据了解,在上周六 GCC 团队通过使用  Eric S Raymond 的 Reposurgeon 程序完成了 GCC 代码仓库从 SVN 到 Git 的切换。Git conversion ... complete. Verification in progress. #GCC pic.twitter.com/bm6GaUYsTA— GCC - GNU Toolchain (@gnutools) January 11, 2020由于刚刚完成迁移,GCC 的代码仓库尚未重新对外开放,目前仍在验证的过程中。该团队表示,如果所有验证都通过并且周一也没有出现严重的问题,那么代码树会再次开放。不过目前看来,官方表示在进行普通的提交(trivially commits )时会出现性能下降的问题。而针对此问题,尚未有来自团队的任何消息。未来,GCC 团队将会通过使用 Git 的工作流程来开发 GCC,就像 LLVM 当初也是从 SVN 转换到 Git 一样。
Linux FreeBSD 12.1跑分测试:在AMD Ryzen线程撕裂者3970X上快得刷新认知
要是你对FreeBSD运行在AMD Ryzen线程撕裂者3960X/3970X TRX40主板上感兴趣的话,我们这篇测试体验绝对会让你感到无比舒爽。事实上,对于开箱即用体验而言,或许就已经比目前Linux的启动时MCE(机器检查异常)解决方案好得多。这篇文章就是FreeBSD 12.1在线程撕裂者3970X上的跑分结果,与之对比的是Linux和Windows,都在相同的高性能平台上测试。这次FreeBSD 12.1运行在32核、64线程的Ryzen线程撕裂者3970X上,使用华硕ROG ZENITH II EXTREME主板,启动、运行都相当流畅,所有核心都正常运作,PCIe 4.0 NVMe SSD硬盘、主板网卡等主板功能一切正常。这套系统插满4条16GB DDR4-3600内存,还有1TB Corsair Force MP600 NVMe SSD和Radeon RX 580显卡。考虑到在这套系统上,Linux甚至出现了无法启动问题,而FreeBSD却能正常运作,真是令人欣喜。虽然FreeBSD 12.1在TRX40主板(ROG Zenith II Extreme)搭配AMD Ryzen线程撕裂者3970X并没有什么问题,但可惜DragonFlyBSD就没那么走运。无论是DragonFlyBSD 5.6.2稳定版还是DragonFlyBSD每日开发快照版(2019年11月最后一周的版本)都无法启动。因此,这次测试略过DragonFlyBSD,只测试FreeBSD。这次测试既使用默认自带的LLVM Clang 8.0.1编译器,也使用ports里的GCC 9.2以作比较。测试平台参数如下所有Linux / BSD / Windows测试都是用Phoronix Test Suite。在线程撕裂者3970X上,FreeBSD的Golang编译性能跟其它Linux发行版基本持平,远好于Windows 10的性能。虽然Golang编译性能不错,但是垃圾回收速度仍然比其它平台慢得多。而对于最常用的部分,由于使用了Open JDK 11,FreeBSD 12.1在AMD线程撕裂者的测试表现跟其它Linux发行版相比,没太大差异。在多线程OpenMP的GraphicsMagick测试里,在FreeBSD 12.1运行图形操控程序的性能还不错。FreeBSD 12.1已经默认附带支持OpenMP的Clang版本,因此默认编译而来的GraphicsMagick运行得相当好,而GCC 9.2就跟Linux平台的表现相似。FreeBSD 12.1的x264编码测试同样使用GCC和Clang两个版本,都比Linux版本快得多,但比Windows 10慢。在线程撕裂者3970X上,7-Zip同样是FreeBSD 12.1的其中一个落后项目。比Windows和Linux都落后太多。在Stockfish测试里,FreeBSD的性能表现排在前列,介于OpenSUSE和CentOS之间。FreeBSD的xz压缩性能表现良好,远优于7-Zip。FLAC音频压缩同样使用了GCC和Clang两个编译版本来测试,Clang编译出来的可执行文件优化不太理想。类似的,GCC版M-Queens在FreeBSD上表现更好。FreeBSD继续在这套AMD Ryzen线程撕裂者3970X系统上表现出强劲的性能。FreeBSD的Python的跑分落后于Linux和Windows,在其它硬件系统上我们发现也是这样的。在FreeBSD上使用Git操作大仓库就跟Linux一样快。跑分总结,可以看到所有测试都在Windows、Linux和FreeBSD上成功运行,FreeBSD 12.1令人刮目相看,尤其是考虑到AMD并未对FreeBSD作出什么优化的情况下。FreeBSD 12.1的性能就跟受测的Linux发行版差不多。如果把编译器从默认的Clang 8.0.1切换成GCC 9.2,在多数情况下确实会对提升性能有帮助,不过由于Clang 8.0.1有OpenMP的支持,两者的性能差距已经缩小了。总地来说,在线程撕裂者3970X运行FreeBSD 12.1竟然没有硬件兼容性问题还真的令人感到惊喜,在这个AMD 32核/64线程的处理器上表现得真是太好了。
黑客团伙利用SSH暴力破解器入侵远程设备 用于挖矿和DDoS攻击
疑似来自罗马尼亚、至少从 2020 年开始活跃的一个黑客团伙正使用此前从未被记录的 SSH 暴力破解器(使用 Golang 编写),对使用 Linux 的设备发起加密劫持活动。在成功入侵之后,就会部署门罗币(Monero)恶意挖矿软件。