以下為您奉上今天的開源領域要聞。

谷歌提前發(fā)布Android 11首個開發(fā)者預覽版

谷歌通常會在三月推出即將發(fā)布的Android預覽版本。但谷歌今年更早實現(xiàn)了該功能，現(xiàn)已發(fā)布了Android 11首個開發(fā)者預覽版，目前僅支持部分Pixel手機。今年的重點是開發(fā)人員部分，因為在早期的迭代中應當不會有重大的UI或UX更改（這些預計將在5月份的谷歌I/O會議上公布）。開發(fā)者需要手動將整個系統(tǒng)映像刷入Pixel 2、3、3A或4上，以便進行測試。

Orange Egypt 通過 Red Hat 云平臺繼續(xù)數(shù)字化進程

開源解決方案商Red Hat已與Orange Egypt開展了一個項目，以提供一個水平云平臺來支持該電信公司的虛擬網(wǎng)絡功能（VNF），從而幫助Orange Egypt加快其數(shù)字化進程。

建立在Red Hat OpenStack Platform和Red Hat Ceph Storage的基礎上，Orange Egypt是Orange的第一家分支機構(gòu)，它通過一個基于軟件的平臺來管理其100％的實時客戶流量，該平臺跨越該地區(qū)的多個站點。

“我們決定引領數(shù)字服務創(chuàng)新，并提供出色的客戶體驗。開源驅(qū)動著下一代云原生平臺的開發(fā)，而紅帽則通過增強的安全性，穩(wěn)定性和支持來增強這一功能，使我們能夠創(chuàng)建最能滿足客戶獨特需求的解決方案。借助我們基于Red Hat技術(shù)的水平電信云，我們可以更加動態(tài)地應對業(yè)務挑戰(zhàn)和機遇，并為社會數(shù)字發(fā)展做出更大貢獻。” Orange Egypt首席技術(shù)官Ayman Amiri說。

為了繼續(xù)其數(shù)字化發(fā)展，Orange Egypt委托Red Hat提供最新的混合云和網(wǎng)絡功能虛擬化（NFV）創(chuàng)新，以使其能夠?qū)崟r響應市場動態(tài)和網(wǎng)絡狀況，從而最好地為30多個國家/地區(qū)提供服務百萬客戶。

作為該計劃的一部分，Orange Egypt將對其移動分組核心進行虛擬化，該核心一直在專用設備上運行獨立功能。

“Egypt正在朝著網(wǎng)絡轉(zhuǎn)型的方向發(fā)展，紅帽正在通過一個多供應商，多應用網(wǎng)絡來幫助其實現(xiàn)這一目標，該網(wǎng)絡可以充分利用云計算所提供的規(guī)模和敏捷性。信任Red Hat的開放式混合云技術(shù)作為其水平平臺方法的骨干，Orange Egypt獲得了更大的靈活性和自由度，可以優(yōu)化網(wǎng)絡性能，支出和服務交付，從而為客戶帶來利益。”全球Darrell Jordan-Smith說紅帽垂直行業(yè)和客戶副總裁。

Arista Networks并購多云軟件定義廠商Big Switch Networks

Arista Networks對外宣布，已經(jīng)收購了多云軟件定義廠商Big Switch Networks，不過，這項并購細節(jié)沒有對外揭露。?

Arista在Gartner去年的資料中心網(wǎng)絡魔力象限中，位居領導者象限，而Big Switch則在具遠見者象限。

Arista提到，并購Big Switch可強化Arista軟件平臺CloudVision和資料分析工具DANZ的監(jiān)控能力。Big Switch是軟件定義網(wǎng)絡市場的早期投資者，推出完整的云端網(wǎng)絡套件產(chǎn)品，提供園區(qū)、資料中心和公有云必要的功能。

Arista則是企業(yè)網(wǎng)絡市場的主要廠商之一，銷售網(wǎng)絡交換器、無線存取點（Wi-Fi Access Point）以及相關(guān)硬件，還有用來管理這些硬件的軟件。Arista鎖定Big Switch，便是看上了其擁有的監(jiān)控技術(shù)，Big Switch銷售的產(chǎn)品包括一監(jiān)控平臺，可以讓管理員集中監(jiān)控公司網(wǎng)絡，并且發(fā)現(xiàn)潛在的問題，另外還有管理工具Big Cloud Fabric，內(nèi)建了監(jiān)控與分析儀表板。Big Switch這兩個監(jiān)控與管理工具，都可以部署在公有云或是企業(yè)就地部署的硬件中。

Arista將會利用這些技術(shù)，強化其網(wǎng)絡交換機的EOS操作系統(tǒng)，擴展其軟件CloudVision和DANZ的網(wǎng)絡監(jiān)控功能。Arista CEO Anshul Sadana提到，Big Switch產(chǎn)品可增加Arista軟件平臺的分析能力與可見性，讓用戶監(jiān)控其云端網(wǎng)絡。

StackRox報告顯示容器和Kubernetes安全問題正在抑制業(yè)務創(chuàng)新

Kubernetes和容器安全廠商 StackRox 近日發(fā)布了2020年冬季版的《容器和Kubernetes安全狀態(tài)報告》。調(diào)查結(jié)果顯示，容器安全性問題抑制了業(yè)務創(chuàng)新，近一半（44％）的受訪者推遲了將云本機應用程序部署到生產(chǎn)中。這些延遲損害了受訪者在推動向微服務和容器的遷移中獲得的最大利益，即更快地開發(fā)和發(fā)布應用程序的能力。

451 Research首席分析師Fernando Montenegro表示：“我們對DevOps和云原生安全技術(shù)的調(diào)查得出的最一致的結(jié)果之一就是安全對這些環(huán)境的重要性。“有趣的是，這種觀察如何與StackRox的研究相吻合，突顯了工程和安全專業(yè)人員必須具有可見性，然后為容器和Kubernetes環(huán)境正確部署安全控制和實踐。”

過去12個月中，幾乎所有受訪者（94％）在其容器環(huán)境中都經(jīng)歷了安全事件
由于人為錯誤（例如配置不當?shù)娜萜骱蚄ubernetes部署）造成的數(shù)據(jù)泄露和暴露已變得非常普遍。在報告安全事件的那些人中，大多數(shù)人（69％）經(jīng)歷了配置錯誤事件，而27％的人報告了運行時發(fā)生的安全事件，還有24％的人報告了嚴重的可補救漏洞（響應者可以選擇所需要的回復）。

配置錯誤導致的其他安全問題

在StackRox報告的第三版中，受訪者再次將由于配置錯誤而引起的暴露視為其容器和Kubernetes環(huán)境最令人擔憂的安全風險，其中61％的受訪者表示了這一擔憂。只有27％的人將漏洞作為主要關(guān)注點，只有12％的人最擔心運行時的攻擊。這些數(shù)據(jù)說明了配置管理在保護容器和Kubernetes環(huán)境中的重要性–這些強大平臺的靈活性帶來了自己的挑戰(zhàn)。

托管的Kubernetes服務取得了長足的發(fā)展

在運行容器化應用程序的受訪者中，Kubernetes的使用率為86％-與2019年春季的調(diào)查相同。但是，使用Kubernetes的方式已經(jīng)發(fā)生了巨大變化。自我管理不再是運行Kubernetes的最主要方式-37％的受訪者表示使用Amazon EKS，而管理自己的Kubernetes的比例為35％，低于2019年春季的44％。AzureAKS和Google GKE的使用率也在上升，每個被21％的受訪者引用。

混合部署下降，而單云環(huán)境卻在增長

混合部署仍然比單云部署更受歡迎，分別為46％和40％。但是混合部署比六個月前的調(diào)查大幅度下降，占了受訪者的53％。在僅云的部署中，多云的勢頭從9％增長到13％，但是單云的使用仍然占主導地位，僅云計算的使用率為27％，另外在Prem和單個云提供商中運行的云計算的使用率為24％。自2018年秋季進行首次調(diào)查以來，僅本地部署的部署已大幅下降，從31％下降到今天的14％。

有關(guān)Linux v5.4安全性那些事兒

內(nèi)核鎖定

經(jīng)過大約8年的努力，Linux現(xiàn)在可以在“ ring 0”（內(nèi)核內(nèi)存）和“ uid 0”（用戶空間中的最高特權(quán)級別）之間劃清界限。“內(nèi)核鎖定”功能已在大多數(shù)Linux發(fā)行版中使用了近幾年了，這是一個荒唐的補丁系列，它試圖枚舉用戶空間可能能夠讀取或修改內(nèi)核的所有故意方式（即，界面而非缺陷）。內(nèi)存（或在內(nèi)核空間中執(zhí)行），并禁用它們。盡管Matthew Garrett使內(nèi)部細節(jié)的粒度可控，但基本鎖定LSM可以設置為“禁用”，“完整性”（可以讀取但不能寫入內(nèi)核內(nèi)存）或“機密性”（不讀取或?qū)懭雰?nèi)核內(nèi)存）。除了彌補用戶空間和內(nèi)核之間的許多漏洞之外，如果將新的接口添加到內(nèi)核中可能會破壞內(nèi)核的完整性或機密性，那么現(xiàn)在還有一個放置訪問控制的地方，它可以使每個人都滿意，并且不需要在“但root擁有完全的內(nèi)核訪問權(quán)限”與“在某些系統(tǒng)配置中沒有”之間的古老斗爭中進行重新整理。

輕松調(diào)用ABI

Andrey Konovalov（與Catalin Marinas等人一起）介紹了一種在內(nèi)核中啟用“松弛”標記的內(nèi)存系統(tǒng)調(diào)用ABI的方法。這意味著，在指針地址的高（非VMA）位中支持內(nèi)存標簽（或“版本”或“著色”）的硬件上運行的程序可以將這些地址與內(nèi)核一起使用，而不會發(fā)瘋。這有效地教導了內(nèi)核在它們沒有意義的地方（即數(shù)學比較）忽略這些高位，并將它們保留在它們有意義的地方（即指針取消引用）。

例如，如果用戶空間內(nèi)存分配器返回了地址0x0f00000010000000（VMA地址0x10000000，帶有“高位”標記為0x0f），并且程序在系統(tǒng)調(diào)用期間使用了該范圍，最終在其上調(diào)用了copy_from_user（） ，如果將標記位保留在原位，則初始范圍檢查將失敗：“這不是用戶空間地址；它大于TASK_SIZE（0x0000800000000000）！”，因此將其剝離以進行檢查。在實際復制到內(nèi)核內(nèi)存的過程中，標記保留在原位，以便在硬件取消引用指針時，可以對照分配給參考內(nèi)存區(qū)域的預期標記檢查指針標記。如果不匹配，則硬件將觸發(fā)內(nèi)存標記保護。

現(xiàn)在，運行于具有ADI（應用程序數(shù)據(jù)完整性）的Sparc M7 CPU上的程序可以將其用于硬件標記的存儲器，ARMv8 CPU可以使用TBI（最高字節(jié)忽略）進行軟件存儲器標記，最終將有ARMv8.5-A CPU具有MTE（內(nèi)存標簽擴展）。

引導熵改善

因為厭倦了糟糕的啟動時間熵，所以提出了一種合理的方法，以利用時序噪聲，周期計數(shù)器抖動甚至推測執(zhí)行的可變性，在現(xiàn)代CPU上增加熵。這意味著當某些系統(tǒng)的熵不足以服務于systemd之類的getrandom（）系統(tǒng)調(diào)用時，啟動時不應掛起幾秒鐘（或幾分鐘）的神秘死機。

用戶空間寫入交換文件被阻止

Darrick J. Wong在“這么久以來沒有引起人們注意的地方”一文中修復了內(nèi)核，不允許內(nèi)核從用戶空間寫入活動的交換文件。否則，對交換文件具有寫訪問權(quán)的用戶（通常是root）可能會修改其內(nèi)容，從而一旦返回頁面就可以更改進程的內(nèi)存內(nèi)容。而root通常只能使用CAP_PTRACE來修改運行中的文件。直接進行處理，這是一個漏洞，允許特權(quán)較低的用戶（例如，“磁盤”組中的任何人）沒有所需的功能來繞過ptrace限制。

將strscpy（）的大小限制為INT_MAX

一般來說，如果大小變量最終大于INT_MAX，則某些地方的計算已溢出。即使不是這樣，也可能會在附近的某個地方命中代碼，從而無法很好地處理結(jié)果。正如在VFS核心和vsprintf（）中所做的那樣，我在strscpy（）中添加了一個檢查以拒絕大于INT_MAX的大小。

ld.gold支持已刪除

Thomas Gleixner刪除了對黃金鏈接器的支持。盡管這并不能帶來直接的安全利益，但ld.gold一直是奇怪漏洞的源頭。特別是在我注意到的地方，開發(fā)KASLR一直很痛苦，最近在穩(wěn)定用Clang編譯內(nèi)核時又引起了問題。刪除此鏈接器支持將使事情變得更加容易。在Clang和ld.lld中有足夠多的怪異錯誤可以修復。

禁用英特爾TSX

考慮到攻擊者使用英特爾的事務處理同步擴展（TSX）CPU功能來利用推測漏洞，默認情況下在支持禁用TSX的CPU上禁用了該功能。

Dell以近21億美元出售RSA

為簡化產(chǎn)品線，Dell宣布將旗下網(wǎng)絡安全、加密及身份控管等產(chǎn)品業(yè)務RSA，以將近21億美元價格，出售給私募基金業(yè)者。

Dell以總價20.75億美元全現(xiàn)金方式，將RSA賣給Symphony科技集團（STG）、Ontario Teachers’ Pension Plan Board及 AlpInvest Partners。這樁交易涵括RSA產(chǎn)品像是RSA Archer、RSA NetWitness 平臺、RSA SecurID、RSA詐欺和風險情報（Fraud and Risk Intelligence）及RSA大會，預計6到9 個月完成。雙方并未公開交易內(nèi)容。

RSA是老牌信息安全產(chǎn)品及服務供應商，產(chǎn)品涵括威脅偵測與回應、身份存取管理、風險管理和詐欺防御，全球有12，500多家企業(yè)客戶。而RSA大會也是全球最大資安大會，今年預定在2月24日到28日舉行。

RSA于2006年被EMC以21億美元收購，之后2015年再隨同Dell收購EMC，而加入這家伺服器及電腦大廠。然而這也讓Dell的產(chǎn)品愈來愈龐雜。

Dell營運長Jeff Clarke解釋，RSA和Dell 已演化出不同的產(chǎn)品及策略，來解決不同的業(yè)務目標，這項交易有助于簡化公司業(yè)務和產(chǎn)品線，也讓Dell得以專注為核心網(wǎng)絡基礎架構(gòu)、云端平臺及裝置，內(nèi)建自動化與智慧化安全功能。對Dell、RSA及雙方客戶、伙伴都有長期好處。

Dell收購EMC后為了清理其產(chǎn)品線或籌措資金，陸續(xù)將服務部門賣給NTT Data、軟件部門賣給基金公司，2018年也出清了云端備份業(yè)務Mozy。

賣掉RSA之后，Dell的安全產(chǎn)品線將只剩安全代管及服務部門Secureworks，及端點偵測及回應產(chǎn)品Carbon Black。

同時這項交易也是近來安全產(chǎn)業(yè)版圖最新變動。2019年中，網(wǎng)絡晶片商博通（Broadcom）花了109億美元，買下賽門鐵克企業(yè)部門。此外本周又有媒體報導，思科可能近日會正式提議收購FireEye。

總結(jié)

以上是生活随笔為你收集整理的【要闻】Kubernetes安全问题严峻、Linux v5.4安全性浅谈的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。