微软 Azure CTO 称 C/C++ 应该被废弃
他在 Twitter 发表了个人观点:“是时候停止用 C/C++ 启动任何新项目了,在那些需要非 GC 语言的场景中使用 Rust。为了安全和可靠性,行业应该宣布这些语言被废弃。”这并不是微软第一次倡导将 Rust 作为提高软件安全的一种手段。三年前,微软安全响应中心(MSRC)表示,“我们认为 Rust 代表了目前 C 和 C++ 的最佳替代品。……MSRC 分配了 CVE 编号的安全问题中,大约有 70% 是内存安全问题。这意味着,如果该软件是用 Rust 编写的,这些内存安全问题很可能已经被消除了。”
老王点评:Rust 是一个很有希望,但是仍然不够成熟和完善的语言,不过,C/C++ 程序员们可以开始学了。
Mozilla 发布报告指责操作系统与浏览器的锁定
浏览器市场份额已经急剧减少的 Mozilla 最近发布研究报告,整篇报告并未有什么新的证据和观点。在报告中,Mozilla 警告说,“浏览器市场的竞争对于确保创新和消费者的选择至关重要,更广泛地说,保护开放网络的活力,防止商业巨头试图封锁它。”并称,“相比之下,来自独立浏览器的竞争可以帮助推动新的功能,以及在隐私和安全等领域的创新”。
老王点评:首先,请把 Firefox 做好,而不是指责别人借助优势扩大份额吧。
被忽视 15 年的 Python 漏洞导致 35 万项目陷入风险
早在 2007 年,就已经有安全研究人员披露了一个 Python 的安全风险,并得到了编号 CVE-2007-4559。遗憾的是,它一直没有获得正式的修复补丁。唯一的缓解措施,也只是在更新后的开发者文档中提示了相关风险。今年早些时候,一位安全研究人员在调查另一个安全问题时,再次发现该漏洞可用于代码执行。该漏洞位于 Python tarfile 包中,预估有超过 35 万个存储库易受该漏洞攻击的影响,且其中不乏重要项目,如 GitHub Copilot。
老王点评:又一个开源供应链安全漏洞。任何一个不起眼的小漏洞都可能引起大坝崩溃。
发表回复