查看原文
其他

Log4j 维护者用爱发电补漏洞,同时还要挨骂;Rust 可能是 Linux 的下一个前沿阵地

↓推荐关注↓

0、Log4j 维护者:为向后兼容没移除导致漏洞的旧功能


Apache Log4j2 近日被公开的远程代码执行漏洞在全球引起了重大影响,Apache Log4j2 是一个基于 Java 的日志组件。该组件被大量用于业务系统开发,用来记录程序输入输出的日志信息,使用极为广泛。大多数情况下,开发者会将用户输入导致的错误信息写入日志中。


此次突然被公开的漏洞不仅导致使用 Log4j2 的开发者需要连夜“补锅”,更是让框架维护者也措手不及。Volkan Yazıcı 是 Apache 软件基金会 Logging Services 的 PMC 成员。据他描述,自漏洞被公开后,维护者一直忙于缓解漏洞,以及修复错误、文档和 CVE,与此同时还要回应他人的询问。但即便如此,他们还是遭受了许多严厉的批评乃至责骂——哪怕这是没有任何酬劳的工作



Volkan 还提到,此次导致漏洞的旧功能其实早已打算移除(此漏洞本质是 Log4j2 的 lookup 方法存在 JNDI 注入),但为了保证向后的兼容性而一直保留。


当然也有人对 Volkan 的「向后兼容」原则有不同看法。他说道,如果开发团队想删除旧功能,不需要犹豫,按照自己的想法去做就行。如果使用它的人认为旧功能很重要,他们可以 fork 项目并自行维护 —— 自行承担时间精力和金钱成本。


作为一个开源的底层组件,Log4j2 的用户有不少是体量极大的互联网公司,诸如谷歌、苹果和亚马逊等。从 Volkan 推文的评论可以看到,不少人表示自己才知道,这些高市值高利润的公司并没有为这个底层基础组件投入任何支持,甚至维护者都是零报酬。



1、微软将改变在 Visual Studio 中对 Python 的支持


Visual Studio 是微软开发的知名 IDE,也是一款被全球各地的开发人员广泛使用的 IDE。在上个月,微软正式发布了新版 Visual Studio 2022,其中包含了一系列针对编程语言、云服务、扩展性、热重载,以及编辑器的改进。近日微软官方发布博客表示,他们将改变 Python 与 Visual Studio 的每个版本捆绑在一起的方式。


在新的策略下,Visual Studio 将以最新的广泛采用的 Python 版本为目标。这表明当 Visual Studio 2022 在之后获得更新时,新版本可能会捆绑 Python 3.10、Python 3.11 或更新版本(取决于届时哪个版本会被广泛采用)。



2、EFF 就 Manifest V3 警告 Chrome 用户


Google 本月初通知扩展开发者,宣布从 2022 年 1 月 17 日起 Chrome Web Store 将停止接受可见性设为 Public 或 Unlisted 的新 Manifest V2 扩展,到 6 月这一限制将扩大到设为 Private 的新扩展。


Google 开始加速推广受争议的 Manifest V3 扩展。在安全、隐私和性能的名义下,Manifest v3 限制了广告和内容屏蔽功能,对扩展规则的数量设置了上限。此举将严重影响广告和内容屏蔽扩展的可用性。


电子前哨基金会 EFF 就此向 Chrome 用户发出警告,称 Manifest V3 将严重损害到隐私保护方面的工作,Manifest V3 将限制广告和内容屏蔽扩展的性能, Google 是最大的网络广告公司,它的跟踪器安装在四分之三的网站上。它的限制“让人不寒而栗”。



3、新的内核补丁表明 Rust 可能是 Linux 的下一个前沿阵地


由于对 C 语言的依赖,Linux 内核一直保持着相当优秀的可移植性,但现在内核团队认真地采用 Rust 威胁着 C 语言的统治地位。Mozilla 十年前研发的技术已经成为一股重要的力量,它提供了与经典编译语言相同的灵活性,同时提供了与 C 语言的互操作性。



内核开发者长期以来一直在讨论将 Rust 引入 Linux 的可能性,而 Linux 内核现在包括一个稳定的 Rust 编译器,这促使内核开发者 Miguel Ojeda 推出一个补丁,使 Rust 成为内核团队事实上的第二种官方语言。


ZDNet 的 Steve J Vaughan-Nichols 采访了 Linux 内核高级开发人员 Greg Kroah-Hartman,后者建议 Rust 代码可以从驱动层面开始渗透到内核中。"驱动程序可能是这样的尝试的第一个地方,这是它们是内核源中依赖关系树的'枝丫',依赖于内核的核心功能的同时没有任何东西依赖于它们。",Hartman 说。


Linus Torvalds 也同意这一看法,说驱动程序是一个"明显的"目标。


这并不意味着现在需要努力用 Rust 重写任何现有的内核源代码,但是如果新的内核开发朝这个方向发展,我们可能会看到 10 年后的一个巨大的 Rust 代码库存在在内核中。


综合整理:技术最前线(ID:TopITNews)
参考:程序员的那些事、开源中国、solidot、cnBeta、腾讯科技等


- EOF -

推荐阅读  点击标题可跳转

1、NVIDIA 称希望显卡降价,但无法控制市场价格

2、大量程序员熬夜补 Log4j2 严重漏洞

3、知乎注册“B乎”商标被驳回


觉得这些资讯有帮助?请转发给更多人

推荐关注 技术最前线看 IT 要闻

点赞和在看就是最大的支持❤️

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存