整理 | 宋彤彤
责编 | 屠敏
开源吞噬世界的趋势下,借助开源软件,基于开源协议,任何人都可以得到项目的源代码,加以学习、修改,甚至是重新分发。关注「开源日报」,一文速览国内外今日的开源大事件吧!
2022 年,Linux 内核或将正式支持 Rust 开发
2021 年中旬,我们发现 Linux 内核开始引入对 Rust 编程语言的支持,“Rust for Linux” 这一项目也应运而生,Miguel Ojeda 便是参与该项目的首席开发者之一。12 月 6 日,Miguel Ojeda 发布了 Linux 内核中支持 Rust 的“v2”补丁。通过这些更新的软件包,Rust 代码现在依赖于稳定的版本,而不是之前测试版的编译器状态。此外补丁中还增加了新的模块化选项,将以更严格的标准来执行代码,同时还开启了额外的 Rust 编译器诊断功能,为内核使用提供了新的抽象概念,促进了其他低级别代码的改进。目前 RedHat 与 Arm、谷歌和微软等企业共同致力于 Linux 内核项目,对 Linux 内核添加 Rust项目表示支持。预计到 2022 年,我们或将看到 Linux 内核可以在实际应用中实现对 Rust 的支持。(Phoronix)
MongoDB CTO Mark Porter:AWS DocumentDB 与 MongoDB 并不兼容
近日在 AWS re:Invent 大会上,当记者问及 AWS DocumentDB 与 MongoDB 之间差异时,MongoDB CTO Mark Porter 透露道,“AWS DocumentDB 与 MongoDB 其实并不兼容,经过我们的测试,兼容性仅为 34%。”同时 Porter 说到,AWS DocumentDB 采用了他们基于 Apache 2.0 的驱动优势,但亚马逊也通过 Aurora PostgreSQL 为 PostgreSQL 构建了一款插件,但此做法并不能获得 MongoDB 的优势,也没有获得关联型的优势,这只是介于两者之间的产物。然而,在 Amazon DocumentDB 常见问题解答(FAQ)中,却写着此服务兼容 MongoDB。(The Register)
开源诉讼事件发生转折,Vizio 丑态百出
不久前,旨在促进开源软件和维护自由软件的通用公共许可证(GPL)的非营利性组织软件自由保护协会(SFC),起诉了电视供应商 Vizio,指责其滥用 GPL。SFC 指出 Vizio 在其 SmartCast OS 电视固件中未经许可使用了 Linux 的源代码和其他开源软件。于是 SFC 要求 Vizio 按照其许可证的规定向公众提供代码,但 Vizio 置若罔闻。
不仅没有发布源代码,也没有向 SFC 提出完整对应来源(CSS)候选方案,同时 Vizio 还向加利福尼亚州法院(进入美国联邦法院)提出撤回此案的请求。其做法表明 Vizio 认为消费者在 Copyleft 下没有第三方受益权,换句话说,Vizio 对诉讼的回应不是去遵守 Copyleft 的许可,而是暗示软件自由保护协会或者其他可能想根据 GPL 和 LGPL 主张的权利来获得完整的相应源代码的设备购买者,他们根本无权要求获得源代码。更为惊讶的是,Vizio 还要求美国加州中区联邦地方法院同意消费者无权索取源代码的观点,尽管加利福尼亚人根本没权利要求州法院考虑这一问题。 这一举措引起 SFC 的极大不满,表示将会发起“反击”。(ZDNet)
中科院计划每半年升级一次 RISC-V 芯片
据外媒报道,正在开发开源 RISC-V 性能处理器的中国科学院表示,中科院将每六个月发布一次重大设计升级,希望芯片设计的加速发布能够为其开源项目建立动力和支持。中国科学院计算技术研究所包云岗教授在旧金山开的 RISC-V 大会上说:“对我们来说,我们想创办一家商业化的创业公司,但我们希望其他公司可也以做到这一点。”
同时对于今年 7 月中科院发布的第一款“香山”芯片,包云岗发朋友圈表示,“12 月 6 日对于‘香山’来说 是特别的日子,不仅因为‘香山’正式在国际亮相,更因为‘香山’有了新的归属——‘香山’出嫁了”,至于具体去处,包云岗未来适时会公开。
开源论坛软件 NodeBB 中的关键漏洞或将访问管理员账户
12 月 6 日,研究人员发布警告,称开源论坛平台 NodeBB 中的关键漏洞可能允许攻击者窃取私人信息并访问管理员帐户。NodeBB 是一个基于 JavaScript 的论坛软件,在 GitHub 上拥有超过 12,000 颗星。SonarSource 的研究人员在该软件中发现了三个独立的漏洞,如果滥用这些漏洞可能会导致底层服务器上的远程代码执行 (RCE)。
博客文章中确定的三个软件问题是路径遍历错误、跨站点脚本( XSS ) 缺陷和身份验证绕过漏洞。路径遍历错误 ( CVE-2021-43788 ) 允许用户访问预期语言/目录之外的 JSON 文件,并可能允许攻击者泄露潜在的敏感文件;XSS 漏洞 ( CVE-2021-43787 ) 可被攻击者用来接管用户帐户,包括管理员帐户;身份验证绕过漏洞 ( CVE-2021-43786 ) 允许攻击者使用单个请求直接在服务器上执行命令。发现漏洞的研究员 Paul Gerste 解释说,无论 NodeBB 的配置如何,它都可以被滥用,并且不需要攻击者拥有帐户,“这对于未修补的实例来说非常危险”。(The Daily Swig)
Gleam v0.18 发布
Gleam 是一种用于 Erlang 虚拟机(以及 JavaScript)的语言,其类型安全且可扩展。目前Gleam v0.18.0 和期待已久的 Gleam 构建工具已经发布。Gleam 构建工具使用了现有的 Hex 包管理器及其生态系统,同时在构建工具时使用了最先进解析算法版本 Pubgrub(由 Natalie Weizenbaum为 pub 设计的,Dart 语言的包管理器)。官方表示到目前为止,Gleam 项目主要使用标准的 Erlang 构建工具 rebar3,尽管其是一个不错的构建工具,但 rebar3 在设计时并没有考虑到 Gleam,因此新手有时可能会对它的使用感到不适。
具体详情:https://gleam.run/news/gleam-v0.18-released/
Python 3.10.1 发布
12 月 6 日,Python 3.10.1 发布,这是Python 3.10 的第一个维护版本,包括许多新功能和优化。与 Python 3.9 相比,3.10 系列的主要新功能包括弃用并准备删除 PyUnicodeObject 中的 wstr 成员,允许将联合类型写成 X | Y,参数规范变量,在 zip 中增加可选的长度检查功能,废弃 distutils 模块以及明确类别别名等。官方表示有一些在预发行版上的功能由于兼容性的问题未能在 Python3.10 中更新,将会推迟到 Python 3.11 版本。
具体详情:https://www.python.org/downloads/release/python-3101/
Rails 7.0 RC1 发布
12 月 6 日,Rails 7.0 RC1 发布。自第一个 alpha 版本反馈不错后,在此基础上消除了一系列不好的问题,因此官方表示对 RC1 非常有信心,甚至从 alpha 版本直接跳到了候选发布。同时他们在 RC1 中极大地改进了 Rails 和 JavaScript + CSS 捆绑器之间的集成,来满足需要。还在 Active Record 中添加了加密属性,因此除了在用户的应用程序中提供传统的静态和传输中的覆盖之外,还可以提供工作中加密。(Rails)
具体功能详情见:https://weblog.rubyonrails.org/2021/12/6/Rails-7-0-rc-1-released/
GitHub地址:https://github.com/rails/rails/releases/tag/v7.0.0.rc1
Contra:一种轻量级的 Tensorflow 开源替代方案
Contra 是由 Styvio 开发的完全开源的 AI 引擎,是一种轻量级的、可用于生产的 Tensorflow 替代方案,用于通过 AI 解决时间序列预测挑战。Contra 完全用 Python 编写,旨在解决人工智能的复杂问题,且它是专门为解决服务器或客户端的时间序列预测问题而构建的。它可以应用于任何使用 AI 预测分析时间序列数据有意义的地方。Contra 附带 MIT 许可证,用户可以将其用于个人和商业项目,而无需担心许可证费用、信用或诉讼。
GitHub 地址:https://github.com/styvio/Contra
Lazygit:一个简单的终端 UI,用于 Git 命令
Lazygit:一个简单的 Git 命令终端 UI,用 Go 编写,带有 gocui 库。通常,Lazygit 公式可以在 Homebrew 核心中找到,但官方建议点击官网的公式以获取经常更新的公式,它也适用于 Linux。Lazygit 还有一些很酷的功能:轻松添加文件、解决合并冲突、轻松查看最近的分行、滚动浏览日志/分支/提交/存储的差异、快速推/拉以及压扁并重命名提交。如果 Lazygit 缺少某个功能,您也很有可能可以使用自定义命令自己实现它!
更多详情见 GitHub 地址: https://github.com/jesseduffield/lazygit
【欢迎来稿】源码面前,了无秘密。大家还有哪些推荐的开源工具或者开源软件,亦或是想了解的开源资讯,可以投稿至邮箱:tumin@csdn.net。开源世界的一切,由你我共同创造!
你参与开源有多长时间了?是否通过开源获得过收入?对亲身经历的开源世界有什么样的看法?
欢迎参与 CSDN 重磅推出的《2021 中国开源开发者年度有奖大调查》活动,惊喜礼品等你拿!
