Open source *

Вчера специалисты по безопасности из компании Advanced Intelligence (AdvIntel) опубликовали отчёт о действиях хакерской группировки Fxmsp, которая выставила на продажу исходный код трёх антивирусных продуктов. Исходники включают в себя:

• код антивирусных агентов;
  
• модули аналитики, основанные на машинном обучении;
  
• «плагины безопасности» для браузеров.

Спустя два месяца работы Линус Торвальдс представил релиз ядра Linux 5.1. Новинка получила большое количество новых функций и доработок, включая новый интерфейс для асинхронного ввода ввода/вывода io_uring, поддержку масштабируемого мониторинга очень больших ФС через fanotify, решение проблемы 2038 года и др.

По словам Торвальдса, 5.1 получил более 13 тысяч коммитов, что немало. Итоговый список изменений получился очень внушительным.

В ближайшие месяцы Mozilla планирует отказаться от IRC как основной коммуникационной платформы. Серверная инфраструктура IRC.mozilla.org будет закрыта.

На сегодняшний день IRC-чаты — один из самых удобных способов связаться с Mozilla и поговорить о продуктах Mozilla, таких как Firefox. Каналы IRC работают в браузере, но лучше использовать специализированные клиенты, такие как mIRC или XChat.

Несколько дней назад корпорация Microsoft приняла решение открыть исходный код известной всем программы — «Калькулятора» из ОС Windows. Это приложение входило во все дистрибутивы ОС от Microsoft начиная с 1985 года, когда свет увидела Windows 1.0.

Microsoft использует лицензию MIT для своего ПО. Это тот же тип лицензии, что используется в .Net Core, Visual Studio Code, и MS-DOS. По словам представителей корпорации, сейчас они открывают процесс разработки для open-source сообщества. Сторонние разработчики могут предлагать новые функции и сотрудничать с инженерами Microsoft для добавления этих фич.

Вчера была опубликована новая версия командного интерпретатора Bash 5.0, которая разрабатывалась около двух с половиной лет. Кроме того, вышел релиз библиотеки readline 8.0, которая имеет непосредственное отношение к командной строке.

Повышение номера версии Bash обусловлено рядом изменений, которые нарушают обратную совместимость. К таким изменениям относятся переработка кода, связанного с обработкой ссылочных переменных nameref, обновление подхода к использованию переменных readline 8.0. Для того, чтобы установить Bash 5.0, нужна библиотека readline 8.0, в противном случае обновиться не получится.

После решения Линуса Торвальдса о временном уходе из проекта в сентябре 2018 года совет директоров Linux Foundation принял новый кодекс поведения для разработчиков ядра Linux — Code of Conduct (CoC), чтобы «решить проблемы, связанные с дискриминацией, и улучшить эмоциональную обстановку среди разработчиков».

У новых правил было много сторонников, но объявились и недоброжелатели, которых вообще не привлекла идея подобной «доброжелательности». Разгорелись жаркие дебаты. 30 ноября эти споры вышли на новый уровень, потому что что один из авторитетных разработчиков Яркко Саккинен из компании Intel начал применять кодекс поведения на практике — и исправил несколько комментариев в коде ядра, заменив слово fuck (многозначное слово) на hug («обнимашки»).

ProcDump для Linux — реинкарнация классического инструмента ProcDump из комплекта технических средств и утилиты для управления, диагностики, устранения неполадок и мониторинга среды Microsoft Windows.

На имиджборде 4chan выложили исходники нескольких версий файтинга Mortal Kombat, они опубликованы в разделе ретроигр /vr/ — и быстренько сохранены в веб-архиве.

Дамп включает в себя:

• Mortal Kombat 3 для Playstation One и PC (Windows)
• Mortal Kombat Trilogy N64

В архивах все файлы, необходимые для запуска игр в эмуляторе приставки или под Windows.

Разумеется, утечка является незаконной и нарушает закон об авторском праве. Вероятно, из веб-архива файлы могут удалить.

Facebook анонсировал изменение лицензии на будущие версии React, Jest, Flow и Immutable.js. Вместо прежней лицензии BSD+Patents теперь будет использоваться лицензия MIT. Это позволит компаниям включить React в проекты Apache и избежать разногласий в сообществе Open Source.

Благодаря этому действию Facebook компания Automattic изменила своё решение. Неделю назад Мэтт Мулленвег написал, что из-за условий лицензирования они решили переписать Gutenberg (ключевой перспективный проект WordPress) с помощью другой библиотеки. Похоже, это подействовало на Facebook — и они отказались от статьи, касающейся патентов, начиная с версии React 16, которая должна выйти на этой неделе.

Сам Мэтт приветствовал это решение и сказал, что теперь ничто не мешает использовать React.

Что разработчики ПО делают на выходных? Проводят время с семьей и близкими, лежат на диване, занимаются спортом… или продолжают писать код, работая над проектами в чьей-то open source команде, либо развивая собственный проект. Однако энтузиасты выяснили, что их код принципиально отличается от того кода, который они пишут на работе. В чем заключается это отличие?

Оказывается можно проанализировать публично доступную базу ресурса StackOverflow и обнаружить зависимость использования языков программирования или технологий от дней недели. Это и было сделано добросовестным участником сообщества.

Компания Google опубликовала исходный код своего браузера Google Chrome для iOS, сообщается в официальном блоге Chromium.

«Исторически сложилось, что код Google Chrome для iOS был отделен от остальной части проекта Chromium из-за дополнительной сложности в реализации платформы. После нескольких лет тщательного рефакторинга, весь код был воссоединен с проектом Chrome и перемещен в Open source-репозиторий», — говорится в блоге.

Вчера в официальном блоге компании Google, посвященному информационной безопасности, был представлен новый проект компании под названием Wycheproof.

Мы рады объявить о запуске проекта Wycheproof — наборе тестов безопасности, которые проверяют криптографические библиотеки ПО на известные уязвимости. Мы разработали более 80 тестов для разных случаев, благодаря которым обнаружили более 40 ошибок безопасности. Например, мы обнаружили, что могли бы восстановить private-key DSA и ECDHC. Также мы добавили готовые к использованию инструменты для проверки Java Cryptography Architectire, который предлагают, например, Bouncy Castle или OpenJDK.

Компания Microsoft продолжает укреплять свои позиции в Open Source-сообществе. Об этом свидетельствуют многочисленные шаги компании по поддержке проектов с открытым исходным кодом. Теперь заслуги Microsoft были признаны официально: компания получила статус платинового участника консорциума Linux Foundation — некоммерческой организации, которая продвигает, защищает и стандартизует Linux, предоставляет ресурсы и сервисы сообществу открытого ПО. Это же огласили со сцены dev-конференции «Connect(); // 2016» представители компании.

Linux Foundation объявила о масштабном проекте по поддержке JS-сообщества. Новая организация JS Foundation (бывший jQuery Foundation) станет площадкой для сотрудничества и развития открытых проектов, связанных с использованием языка JavaScript. Целью проекта также является продвижение высококачественных стандартов разработки как серверных, так и клиентских JS-проектов.

Руководство нового организации также будет опираться на стандарты W3C, WHATWG, и ECMA TC39, которые приняты разработчиками и вендорами во всем мире.

Более того, JS Foundation запускает программу наставничества (Mentorship Program), которая как раз поможет достичь поставленных целей: она позволит укрепить сообщество и активизировать сотрудничество между JS-разработчиками.

2 августа был взломан сайт FOSShub. Это бесплатный хостинг, на котором разработчики свободного и открытого ПО размещают свои приложения. Самые известные продукты, которые пользователи скачивают с FOSShub, – это Audacity и Classic Shell. Они набрали 25 миллионов и 15 миллионов загрузок соответственно.

После взлома сайт некоторое время распространял зараженные вирусом версии приложений. Злоумышленники модифицировали их исходный код и загрузили на сервер FOSShub. Установщики (для Windows) программ ClassicShell, qBittorent, Audacity и, возможно, некоторых других были заменены на троян, который затирает MBR, оставляя сообщение от хакерской группы PeggleCrew.

После установки зараженного софта и перезагрузки компьютера операционная система переставала загружаться.

Линус Торвальдс представил ядро Linux 4.7. Прошло две недели со времени выхода rc7, и финальный патч не так и велик. Его размер — 34 МБ (изменены 9744 файлов, добавлено 493490 строк кода, а удалено 194974 строк). 50% изменений связана с драйверами устройств, 19% — обновление кода поддержки аппаратных архитектур, 15% — с сетевым стеком, 5% изменений коснулись файловых систем и еще 4% — внутренних подсистем ядра.

Ядро 4.7 поддерживает open-source AMD Polaris (RX 480), новые ARM платформы и платы, контроллер Xbox One Elite Controller, включает несколько улучшений по графике Intel Kabylake. В ядре — 12 тысяч исправлений от 1500+ разработчиков. Есть и вариант свободного ядра 4.7 — Linux-libre 4.7-gnu.

«За много лет мы получили столько жалоб, что решили сделать, наконец, правильный выбор»

Тем пользователям Chrome/Chromium, кто привык нажимать Backspace для возврата на предыдущую страницу, придётся менять привычки. Это стало понятно из обсуждения в баг-трекере Chromium (Issue 608016).

Обсуждение началось с невинного баг-репорта: у пользователя после обновления на последнюю версию Chrome 52.0.2720.0 (Canary) перестала работать кнопка Backspace для навигации. Как выяснилось, это вовсе не баг. Теперь Chrome по умолчанию не возвращается на предыдущую страницу по Backspace. Разработчики предупреждали об изменении ещё в апреле: см. Issue 1854963002, коммит от 11 апреля.

Lavabit — это анонимный почтовый сервис (dark mail), которым пользовался Эдвард Сноуден, находясь в Шереметьево летом 2013 года. Как только американские спецслужбы узнали об этом, они заставили владельца Lavabit Ладара Левисона установить следящее оборудование на сервере. Затем ФБР обнаружило, что почта зашифрована, и потребовала от владельца выдать секретные ключи TLS. Тот отказался. Начался судебный процесс, по результатам которого Левисон предпочёл закрыть Lavabit и уничтожить ключи шифрования.

«Дорогие друзья, меня заставили сделать сложный выбор: стать соучастником преступления против американского народа или отказаться от почти десяти лет тяжелой работы и закрыть Lavabit. После долгих раздумий, я решил прекратить работу», — написал он тогда. Его послание до сих пор висит на главной странице lavabit.com, в то время как Левисон продолжает судиться с американским правительством, требуя снять секретность с его дела.

Как известно, в России с 29 января 2016 года открылся реестр отечественного ПО, который должны закупать госкомпании в приоритетном порядке вместо иностранного софта при условии, что российское ПО не уступает иностранному. 18 февраля утверждён список программ для включения в реестр, а сейчас он насчитывает 87 наименований ПО.

Иностранные разработчики как могут пытаются противодействовать новым законам, чтобы не потерять рынок. Например, компания Oracle разослала российским IT-интеграторам записку с анализом недостатков системы управления базами данных PostgreSQL — продукта с открытым исходным кодом, разработанного сообществом программистов из разных стран.

В официальной версии open source торрент-клиента Transmission 2.90 под Mac обнаружена вредоносная программа OSX.KeRanger.A. Первыми её заметили российские пользователи Mac, которые утром 5 марта подняли тревогу на форуме Transmission.



Наличие зловреда на официальном сайте Transmission подтвердили и другие. Инсталлятор подписан сторонним ключом, что может указывать на взлом сервера Transmission посторонними лицами. При этом злоумышленники использовали валидный сертификат Apple Developer, так что у Gatekeeper в OS X не было причин для показа предупреждающих сообщений. Сейчас сертификат аннулирован.