黑客正在暗網上出售超過 85000 個 MySQL 數據庫,550 美金一個
在過去的一年裏,黑客一直在入侵 MySQL 數據庫,下載數據表,刪除原庫,並留下贖金說明,告訴服務器所有者聯繫攻擊者以取回他們的數據。如果數據庫所有者在 9 天內沒有迴應並贖回他們的數據,那麼這些數據庫就會被放在一個暗網上拍賣,價格僅爲每個數據庫 550 美元。這說明數據庫入侵和勒索/拍賣網頁都是自動的,攻擊者並沒有分析被黑客入侵的數據庫中可能包含較多的個人或財務信息的數據。
來源:slashdot
拍一拍:要想斬斷這種攻擊和勒索行爲,破除地下市場是根本。
開源貢獻者在安全問題上花費的時間不到 3%,而且幾乎沒有增加這一比例的願望
據 TechRepublic 報道,Linux 基金會對自由和開源軟件社區進行的一項新調查表明,貢獻者在安全問題上花費的時間不到 3%,而且幾乎沒有增加這一比例的願望。
一位受訪者評論說,他們“覺得安全這項事業是一件令人魂牽夢繞的苦差事,是一個最好留給律師和流程狂人的課題”,而另一位受訪者則表示,“我發現安全是一個令人難以忍受的無聊的程序障礙”。
同樣有趣的是:金錢“在開發人員爲開源項目做出貢獻的動機中得分很低,渴望在同行中得到認可也是如此……相反,開發人員表示,他們純粹是對找到他們正在研究的開源項目的功能、修復和解決方案感興趣。其他最主要的動機包括享受和希望回饋他們使用的 FOSS 項目。”
來源:techrepublic
拍一拍:顯然需要爲 FOSS 的安全投入更多的精力,但這個負擔不應該只落在貢獻者身上。開發人員一般不想成爲安全審計人員,他們希望收到審計結果......
谷歌計劃爲開源項目計算“關鍵度”分數
長期以來,開源軟件一直飽受“公地悲劇”問題的困擾。大多數組織,無論大小,每天都在利用開源軟件來構建現代產品,但許多開源軟件項目卻在爲它們所需的時間、資源和關注而苦惱。
因此,爲了解決這個問題,並幫助那些需要資金的項目提供資金,作爲 OpenSSF 項目的一部分,谷歌發佈了關鍵度評分項目。該項目會給開源軟件項目一個關鍵性分數(一個介於 0 和 1 之間的數字),這個分數是由各種項目使用指標得出的,比如一個項目的年齡、參與的個人貢獻者和組織的數量、用戶參與度(以新議題請求和更新爲例),以及使用提交提法對其依賴性的粗略估計。
谷歌也希望社區參與進來完善這個評估模型。
來源:thenewstack
拍一拍:很有意義的一個評估,這對於挽救開源軟件的基礎組成部分很有幫助。
