黑客正在暗网上出售超过 85000 个 MySQL 数据库,550 美金一个
在已往的一年里,黑客一直在入侵 MySQL 数据库,下载数据表,删除原库,并留下赎金说明,告诉服务器所有者接洽攻击者以取回他们的数据。如果数据库所有者在 9 天内没有回应并赎回他们的数据,那么这些数据库就会被放在一个暗网上拍卖,价格仅为每个数据库 550 美元。这说明数据库入侵和勒索/拍卖网页都是自动的,攻击者并没有分析被黑客入侵的数据库中大概包含较多的个人或财务信息的数据。
来源:slashdot
拍一拍:要想斩断这种攻击和勒索行为,排除地下市场是根本。
开源贡献者在安全问题上耗费的时间不到 3%,而且几乎没有增加这一比例的愿望
据 TechRepublic 报道,Linux 基金会对自由和开源软件社区进行的一项新调查表明,贡献者在安全问题上耗费的时间不到 3%,而且几乎没有增加这一比例的愿望。
一位受访者评论说,他们“觉得安全这项奇迹是一件令人魂牵梦绕的苦差事,是一个最好留给律师和流程狂人的课题”,而另一位受访者则表现,“我发现安全是一个令人难以忍受的无聊的程序障碍”。
同样风趣的是:金钱“在开发职员为开源项目做出贡献的动机中得分很低,渴望在同行中得到认可也是如此……相反,开发职员表现,他们纯粹是对找到他们正在研究的开源项目标功能、修复和解决方案感爱好。其他最主要的动机包括享受和希望回馈他们利用的 FOSS 项目。”
来源:techrepublic
拍一拍:显然需要为 FOSS 的安全投入更多的精神,但这个负担不应该只落在贡献者身上。开发职员一般不想成为安全审计职员,他们希望收到审计效果......
谷歌计划为开源项目盘算“关键度”分数
长期以来,开源软件一直饱受“公地悲剧”问题的困扰。大多数构造,无论大小,天天都在利用开源软件来构建当代产物,但很多开源软件项目却在为它们所需的时间、资源和关注而苦恼。
因此,为了解决这个问题,并帮助那些需要资金的项目提供资金,作为 OpenSSF 项目标一部分,谷歌发布了关键度评分项目。该项目会给开源软件项目一个关键性分数(一个介于 0 和 1 之间的数字),这个分数是由各种项目利用指标得出的,比如一个项目标年龄、参与的个人贡献者和构造的数目、用户参与度(以新议题哀求和更新为例),以及利用提交提法对其依赖性的粗略估计。
谷歌也希望社区参与进来完善这个评估模型。
来源:thenewstack
拍一拍:很有意义的一个评估,这对于挽救开源软件的底子组成部分很有帮助。
|