ZD至顶网软件频道消息: 2016年,Linux二十五岁。Linux开始时只是个学生项目。时至今日,一切的一切都运行Linux。智能手机、超级计算机、网站服务器、云、车辆等等在所有的时间里运行的都是Linux。
锁定Linux不受攻击者侵入已经成了十分重要的工作
连唯一的例外终端用户也开始迁移到Linux里。Android现在是最受欢迎的终端用户操作系统。此外,Chromebook也大受欢迎。事实上,即使是诸如Fedora、openSUSE、Mint、Ubuntu等传统Linux桌面系统也终于渐渐成势。笔者的Linux同事甚至还预测“Linux桌面市场份额最终将突破5%的关口”。
当然,终端用户用Linux也是有年头的事了。只是他们没有意识到几乎所有流行的网站、许多软件即服务(SaaS)应用程序都是在Linux上运行而已。
甚至连微软也终于投到Linux门下。笔者指的是微软去年加入Linux基金会这事。
既然Linux的一切都如此地美好,笔者为什么担心呢?原因是现在每个真正的黑客都会紧跟Linux和其他开源项目的代码,为的是寻找漏洞,干这些事的不再仅仅是玩脚本编程的毛孩子了。
开源领袖Eric S. Raymond数年前在Linus定律里指出,“吸足了眼球的Bug是藏不住的”,确实是这样。Linux现在的成功以及开源软件现在这么强大,其关键之一就是Linus定律。
但Linus定律只有在有足够人手找Bug及修复代码的前提下才会奏效。据估计,每千行代码(KLOC)的错误个数为15到50,而经严格检查和测试过的代码 KLOC错误个数为3。Linux内核本身现在有超过1600万行代码。不妨算一算。
仅仅2016年一年里,我们就见证了两个重大Linux安全漏洞大开。两个漏洞出现在一个调用LUKS磁盘加密和Dirty Cow的脚本程序里。Dirty Cow是个Linux内存问题。另外也出现过一些小的Linux Bug。这些问题几乎一出现就被修复,给Linux点个赞。
在快速修复问题这一点上,Linux过去的表现远远优于苹果、微软或其他专有软件供应商。笔者还是列个数字。发现和修复的Bug不下3000个。
业界有许多顶尖Linux安全开发人员,他们都在忙着追寻这些Bug。如果读者发现了Bug,也可以根据指引报告Bug。但修复Bug的程序员则永远是供不应求。
Linux领领袖人物Jon“Maddog”Hall几年前曾明智地指出,“有些人认为《自由软件》(Free Software)拥有“无限的”资源。而每一个产品或者项目的资源在某个方面总是有限的。能够开发自由软件的人数,尤其是能够开发某个特定软件的人数受到拥有技能、时间和愿意做贡献的人数的限制。《自由软件》的实质为,终端用户能够加快修复‘严重’Bug的速度,如果开发商没有时间和意愿去解决问题,终端用户可以自己找资源来解决它。”
在Hall在2009年写上面一段话时,许多Linux用户仍然是程序员。现在不一样了。是的,很多开发人员使用Linux,但也上亿个Linux“用户”连Java和JavaScript之间的区别也搞不清,就更不用说修复Bug了。
而同时,一众黑客却千方百计地试图破解Linux。爱尔兰开发人士Donncha O'Cearbhaill最近发现两个Ubuntu桌面的Bug,他说有漏洞供应商找他出价10000美元买这些Apport Bug。他表示,“软件变得更加安全了,找Bug更困难了,相应的金融激励因素也在增加。”
10000美元是个小数目。假如有人发现某服务器的Linux加密数据Bug的话,笔者可以想象6位数的勒索软件(Ransomware)肯定有需求,勒索软件是一种恶意软件,可以加密和扰乱数据,黑客可以据此胁迫用户交钱买解密密钥。IBM安全最近的一项研究显示,近70%地的企业受害者为了恢复数据乖乖交钱给勒索软件黑客。
由于巨大的潜在金额,Linux必将受到黑客前所未有的攻击。Linux变得强大了;Linux开发商和供应商现在必须站出来维持Linux的安全和承担由此而来的重大的责任。
好文章,需要你的鼓励
铠侠正在测试最新的UFS v4.1嵌入式闪存芯片,专为智能手机和平板电脑设计,可提供更快的下载速度和更流畅的设备端AI应用性能。该芯片采用218层TLC 3D NAND技术,提供256GB、512GB和1TB容量选择。相比v4.0产品,随机写入性能提升约30%,随机读取性能提升35-45%,同时功耗效率改善15-20%。新标准还增加了主机发起碎片整理、增强异常处理等功能特性。
上海AI实验室团队提出创新的异步拍摄方案,仅用普通相机就能实现高速4D重建。该方法通过错开相机启动时间将有效帧率从25FPS提升至100-200FPS,并结合视频扩散模型修复稀疏视角导致的重建伪影。实验结果显示,新方法在处理快速运动场景时显著优于现有技术,为低成本高质量4D内容创作开辟新路径。
谷歌在伦敦云峰会上发布Firebase Studio更新,新增Gemini命令行界面集成、模型上下文协议支持和"代理模式"。代理模式提供三种AI协作层次:对话式"询问"模式用于头脑风暴,人机协作代理需开发者确认代码变更,以及几乎完全自主的代理模式。尽管谷歌声称已有数百万应用使用该平台,但目前仍需精心设计提示词,非工程师用户还无法直接创建成熟应用。
上海AI实验室联手复旦大学提出了POLAR方法,这是一种革命性的奖励模型训练技术。通过让AI学会识别不同策略间的差异而非死记评分标准,POLAR在多项任务上实现了显著提升,7B参数模型超越72B现有最强基线,为AI对齐问题提供了全新解决思路。