以下为您奉上今天的开源领域要闻。
谷歌提前发布Android 11首个开发者预览版
谷歌通常会在三月推出即将发布的Android预览版本。但谷歌今年更早实现了该功能,现已发布了Android 11首个开发者预览版,目前仅支持部分Pixel手机。今年的重点是开发人员部分,因为在早期的迭代中应当不会有重大的UI或UX更改(这些预计将在5月份的谷歌I/O会议上公布)。开发者需要手动将整个系统映像刷入Pixel 2、3、3A或4上,以便进行测试。
Orange Egypt 通过 Red Hat 云平台继续数字化进程
开源解决方案商Red Hat已与Orange Egypt开展了一个项目,以提供一个水平云平台来支持该电信公司的虚拟网络功能(VNF),从而帮助Orange Egypt加快其数字化进程。
建立在Red Hat OpenStack Platform和Red Hat Ceph Storage的基础上,Orange Egypt是Orange的第一家分支机构,它通过一个基于软件的平台来管理其100%的实时客户流量,该平台跨越该地区的多个站点。
“我们决定引领数字服务创新,并提供出色的客户体验。开源驱动着下一代云原生平台的开发,而红帽则通过增强的安全性,稳定性和支持来增强这一功能,使我们能够创建最能满足客户独特需求的解决方案。借助我们基于Red Hat技术的水平电信云,我们可以更加动态地应对业务挑战和机遇,并为社会数字发展做出更大贡献。” Orange Egypt首席技术官Ayman Amiri说。
为了继续其数字化发展,Orange Egypt委托Red Hat提供最新的混合云和网络功能虚拟化(NFV)创新,以使其能够实时响应市场动态和网络状况,从而最好地为30多个国家/地区提供服务百万客户。
作为该计划的一部分,Orange Egypt将对其移动分组核心进行虚拟化,该核心一直在专用设备上运行独立功能。
“Egypt正在朝着网络转型的方向发展,红帽正在通过一个多供应商,多应用网络来帮助其实现这一目标,该网络可以充分利用云计算所提供的规模和敏捷性。信任Red Hat的开放式混合云技术作为其水平平台方法的骨干,Orange Egypt获得了更大的灵活性和自由度,可以优化网络性能,支出和服务交付,从而为客户带来利益。”全球Darrell Jordan-Smith说红帽垂直行业和客户副总裁。
Arista Networks并购多云软件定义厂商Big Switch Networks
Arista Networks对外宣布,已经收购了多云软件定义厂商Big Switch Networks,不过,这项并购细节没有对外揭露。
Arista在Gartner去年的资料中心网络魔力象限中,位居领导者象限,而Big Switch则在具远见者象限。
Arista提到,并购Big Switch可强化Arista软件平台CloudVision和资料分析工具DANZ的监控能力。Big Switch是软件定义网络市场的早期投资者,推出完整的云端网络套件产品,提供园区、资料中心和公有云必要的功能。
Arista则是企业网络市场的主要厂商之一,销售网络交换器、无线存取点(Wi-Fi Access Point)以及相关硬件,还有用来管理这些硬件的软件。Arista锁定Big Switch,便是看上了其拥有的监控技术,Big Switch销售的产品包括一监控平台,可以让管理员集中监控公司网络,并且发现潜在的问题,另外还有管理工具Big Cloud Fabric,内建了监控与分析仪表板。Big Switch这两个监控与管理工具,都可以部署在公有云或是企业就地部署的硬件中。
Arista将会利用这些技术,强化其网络交换机的EOS操作系统,扩展其软件CloudVision和DANZ的网络监控功能。Arista CEO Anshul Sadana提到,Big Switch产品可增加Arista软件平台的分析能力与可见性,让用户监控其云端网络。
StackRox报告显示容器和Kubernetes安全问题正在抑制业务创新
Kubernetes和容器安全厂商 StackRox 近日发布了2020年冬季版的《容器和Kubernetes安全状态报告》。调查结果显示,容器安全性问题抑制了业务创新,近一半(44%)的受访者推迟了将云本机应用程序部署到生产中。这些延迟损害了受访者在推动向微服务和容器的迁移中获得的最大利益,即更快地开发和发布应用程序的能力。
451 Research首席分析师Fernando Montenegro表示:“我们对DevOps和云原生安全技术的调查得出的最一致的结果之一就是安全对这些环境的重要性。“有趣的是,这种观察如何与StackRox的研究相吻合,突显了工程和安全专业人员必须具有可见性,然后为容器和Kubernetes环境正确部署安全控制和实践。”
过去12个月中,几乎所有受访者(94%)在其容器环境中都经历了安全事件
由于人为错误(例如配置不当的容器和Kubernetes部署)造成的数据泄露和暴露已变得非常普遍。在报告安全事件的那些人中,大多数人(69%)经历了配置错误事件,而27%的人报告了运行时发生的安全事件,还有24%的人报告了严重的可补救漏洞(响应者可以选择所需要的回复)。
配置错误导致的其他安全问题
在StackRox报告的第三版中,受访者再次将由于配置错误而引起的暴露视为其容器和Kubernetes环境最令人担忧的安全风险,其中61%的受访者表示了这一担忧。只有27%的人将漏洞作为主要关注点,只有12%的人最担心运行时的攻击。这些数据说明了配置管理在保护容器和Kubernetes环境中的重要性–这些强大平台的灵活性带来了自己的挑战。
托管的Kubernetes服务取得了长足的发展
在运行容器化应用程序的受访者中,Kubernetes的使用率为86%-与2019年春季的调查相同。但是,使用Kubernetes的方式已经发生了巨大变化。自我管理不再是运行Kubernetes的最主要方式-37%的受访者表示使用Amazon EKS,而管理自己的Kubernetes的比例为35%,低于2019年春季的44%。AzureAKS和Google GKE的使用率也在上升,每个被21%的受访者引用。
混合部署下降,而单云环境却在增长
混合部署仍然比单云部署更受欢迎,分别为46%和40%。但是混合部署比六个月前的调查大幅度下降,占了受访者的53%。在仅云的部署中,多云的势头从9%增长到13%,但是单云的使用仍然占主导地位,仅云计算的使用率为27%,另外在Prem和单个云提供商中运行的云计算的使用率为24%。自2018年秋季进行首次调查以来,仅本地部署的部署已大幅下降,从31%下降到今天的14%。
有关Linux v5.4安全性那些事儿
内核锁定
经过大约8年的努力,Linux现在可以在“ ring 0”(内核内存)和“ uid 0”(用户空间中的最高特权级别)之间划清界限。“内核锁定”功能已在大多数Linux发行版中使用了近几年了,这是一个荒唐的补丁系列,它试图枚举用户空间可能能够读取或修改内核的所有故意方式(即,界面而非缺陷)。内存(或在内核空间中执行),并禁用它们。尽管Matthew Garrett使内部细节的粒度可控,但基本锁定LSM可以设置为“禁用”,“完整性”(可以读取但不能写入内核内存)或“机密性”(不读取或写入内核内存)。除了弥补用户空间和内核之间的许多漏洞之外,如果将新的接口添加到内核中可能会破坏内核的完整性或机密性,那么现在还有一个放置访问控制的地方,它可以使每个人都满意,并且不需要在“但root拥有完全的内核访问权限”与“在某些系统配置中没有”之间的古老斗争中进行重新整理。
轻松调用ABI
Andrey Konovalov(与Catalin Marinas等人一起)介绍了一种在内核中启用“松弛”标记的内存系统调用ABI的方法。这意味着,在指针地址的高(非VMA)位中支持内存标签(或“版本”或“着色”)的硬件上运行的程序可以将这些地址与内核一起使用,而不会发疯。这有效地教导了内核在它们没有意义的地方(即数学比较)忽略这些高位,并将它们保留在它们有意义的地方(即指针取消引用)。
例如,如果用户空间内存分配器返回了地址0x0f00000010000000(VMA地址0x10000000,带有“高位”标记为0x0f),并且程序在系统调用期间使用了该范围,最终在其上调用了copy_from_user() ,如果将标记位保留在原位,则初始范围检查将失败:“这不是用户空间地址;它大于TASK_SIZE(0x0000800000000000)!”,因此将其剥离以进行检查。在实际复制到内核内存的过程中,标记保留在原位,以便在硬件取消引用指针时,可以对照分配给参考内存区域的预期标记检查指针标记。如果不匹配,则硬件将触发内存标记保护。
现在,运行于具有ADI(应用程序数据完整性)的Sparc M7 CPU上的程序可以将其用于硬件标记的存储器,ARMv8 CPU可以使用TBI(最高字节忽略)进行软件存储器标记,最终将有ARMv8.5-A CPU具有MTE(内存标签扩展)。
引导熵改善
因为厌倦了糟糕的启动时间熵,所以提出了一种合理的方法,以利用时序噪声,周期计数器抖动甚至推测执行的可变性,在现代CPU上增加熵。这意味着当某些系统的熵不足以服务于systemd之类的getrandom()系统调用时,启动时不应挂起几秒钟(或几分钟)的神秘死机。
用户空间写入交换文件被阻止
Darrick J. Wong在“这么久以来没有引起人们注意的地方”一文中修复了内核,不允许内核从用户空间写入活动的交换文件。否则,对交换文件具有写访问权的用户(通常是root)可能会修改其内容,从而一旦返回页面就可以更改进程的内存内容。而root通常只能使用CAP_PTRACE来修改运行中的文件。直接进行处理,这是一个漏洞,允许特权较低的用户(例如,“磁盘”组中的任何人)没有所需的功能来绕过ptrace限制。
将strscpy()的大小限制为INT_MAX
一般来说,如果大小变量最终大于INT_MAX,则某些地方的计算已溢出。即使不是这样,也可能会在附近的某个地方命中代码,从而无法很好地处理结果。正如在VFS核心和vsprintf()中所做的那样,我在strscpy()中添加了一个检查以拒绝大于INT_MAX的大小。
ld.gold支持已删除
Thomas Gleixner删除了对黄金链接器的支持。尽管这并不能带来直接的安全利益,但ld.gold一直是奇怪漏洞的源头。特别是在我注意到的地方,开发KASLR一直很痛苦,最近在稳定用Clang编译内核时又引起了问题。删除此链接器支持将使事情变得更加容易。在Clang和ld.lld中有足够多的怪异错误可以修复。
禁用英特尔TSX
考虑到攻击者使用英特尔的事务处理同步扩展(TSX)CPU功能来利用推测漏洞,默认情况下在支持禁用TSX的CPU上禁用了该功能。
Dell以近21亿美元出售RSA
为简化产品线,Dell宣布将旗下网络安全、加密及身份控管等产品业务RSA,以将近21亿美元价格,出售给私募基金业者。
Dell以总价20.75亿美元全现金方式,将RSA卖给Symphony科技集团(STG)、Ontario Teachers’ Pension Plan Board及 AlpInvest Partners。这桩交易涵括RSA产品像是RSA Archer、RSA NetWitness 平台、RSA SecurID、RSA诈欺和风险情报(Fraud and Risk Intelligence)及RSA大会,预计6到9 个月完成。双方并未公开交易内容。
RSA是老牌信息安全产品及服务供应商,产品涵括威胁侦测与回应、身份存取管理、风险管理和诈欺防御,全球有12,500多家企业客户。而RSA大会也是全球最大资安大会,今年预定在2月24日到28日举行。
RSA于2006年被EMC以21亿美元收购,之后2015年再随同Dell收购EMC,而加入这家伺服器及电脑大厂。然而这也让Dell的产品愈来愈庞杂。
Dell营运长Jeff Clarke解释,RSA和Dell 已演化出不同的产品及策略,来解决不同的业务目标,这项交易有助于简化公司业务和产品线,也让Dell得以专注为核心网络基础架构、云端平台及装置,内建自动化与智慧化安全功能。对Dell、RSA及双方客户、伙伴都有长期好处。
Dell收购EMC后为了清理其产品线或筹措资金,陆续将服务部门卖给NTT Data、软件部门卖给基金公司,2018年也出清了云端备份业务Mozy。
卖掉RSA之后,Dell的安全产品线将只剩安全代管及服务部门Secureworks,及端点侦测及回应产品Carbon Black。
同时这项交易也是近来安全产业版图最新变动。2019年中,网络晶片商博通(Broadcom)花了109亿美元,买下赛门铁克企业部门。此外本周又有媒体报导,思科可能近日会正式提议收购FireEye。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
