以下為您奉上今天的開源領(lǐng)域要聞。

谷歌提前發(fā)布Android 11首個開發(fā)者預(yù)覽版

谷歌通常會在三月推出即將發(fā)布的Android預(yù)覽版本。但谷歌今年更早實(shí)現(xiàn)了該功能，現(xiàn)已發(fā)布了Android 11首個開發(fā)者預(yù)覽版，目前僅支持部分Pixel手機(jī)。今年的重點(diǎn)是開發(fā)人員部分，因?yàn)樵谠缙诘牡袘?yīng)當(dāng)不會有重大的UI或UX更改（這些預(yù)計(jì)將在5月份的谷歌I/O會議上公布）。開發(fā)者需要手動將整個系統(tǒng)映像刷入Pixel 2、3、3A或4上，以便進(jìn)行測試。

Orange Egypt 通過 Red Hat 云平臺繼續(xù)數(shù)字化進(jìn)程

開源解決方案商Red Hat已與Orange Egypt開展了一個項(xiàng)目，以提供一個水平云平臺來支持該電信公司的虛擬網(wǎng)絡(luò)功能（VNF），從而幫助Orange Egypt加快其數(shù)字化進(jìn)程。

建立在Red Hat OpenStack Platform和Red Hat Ceph Storage的基礎(chǔ)上，Orange Egypt是Orange的第一家分支機(jī)構(gòu)，它通過一個基于軟件的平臺來管理其100％的實(shí)時客戶流量，該平臺跨越該地區(qū)的多個站點(diǎn)。

“我們決定引領(lǐng)數(shù)字服務(wù)創(chuàng)新，并提供出色的客戶體驗(yàn)。開源驅(qū)動著下一代云原生平臺的開發(fā)，而紅帽則通過增強(qiáng)的安全性，穩(wěn)定性和支持來增強(qiáng)這一功能，使我們能夠創(chuàng)建最能滿足客戶獨(dú)特需求的解決方案。借助我們基于Red Hat技術(shù)的水平電信云，我們可以更加動態(tài)地應(yīng)對業(yè)務(wù)挑戰(zhàn)和機(jī)遇，并為社會數(shù)字發(fā)展做出更大貢獻(xiàn)。” Orange Egypt首席技術(shù)官Ayman Amiri說。

為了繼續(xù)其數(shù)字化發(fā)展，Orange Egypt委托Red Hat提供最新的混合云和網(wǎng)絡(luò)功能虛擬化（NFV）創(chuàng)新，以使其能夠?qū)崟r響應(yīng)市場動態(tài)和網(wǎng)絡(luò)狀況，從而最好地為30多個國家/地區(qū)提供服務(wù)百萬客戶。

作為該計(jì)劃的一部分，Orange Egypt將對其移動分組核心進(jìn)行虛擬化，該核心一直在專用設(shè)備上運(yùn)行獨(dú)立功能。

“Egypt正在朝著網(wǎng)絡(luò)轉(zhuǎn)型的方向發(fā)展，紅帽正在通過一個多供應(yīng)商，多應(yīng)用網(wǎng)絡(luò)來幫助其實(shí)現(xiàn)這一目標(biāo)，該網(wǎng)絡(luò)可以充分利用云計(jì)算所提供的規(guī)模和敏捷性。信任Red Hat的開放式混合云技術(shù)作為其水平平臺方法的骨干，Orange Egypt獲得了更大的靈活性和自由度，可以優(yōu)化網(wǎng)絡(luò)性能，支出和服務(wù)交付，從而為客戶帶來利益。”全球Darrell Jordan-Smith說紅帽垂直行業(yè)和客戶副總裁。

Arista Networks并購多云軟件定義廠商Big Switch Networks

Arista Networks對外宣布，已經(jīng)收購了多云軟件定義廠商Big Switch Networks，不過，這項(xiàng)并購細(xì)節(jié)沒有對外揭露。?

Arista在Gartner去年的資料中心網(wǎng)絡(luò)魔力象限中，位居領(lǐng)導(dǎo)者象限，而Big Switch則在具遠(yuǎn)見者象限。

Arista提到，并購Big Switch可強(qiáng)化Arista軟件平臺CloudVision和資料分析工具DANZ的監(jiān)控能力。Big Switch是軟件定義網(wǎng)絡(luò)市場的早期投資者，推出完整的云端網(wǎng)絡(luò)套件產(chǎn)品，提供園區(qū)、資料中心和公有云必要的功能。

Arista則是企業(yè)網(wǎng)絡(luò)市場的主要廠商之一，銷售網(wǎng)絡(luò)交換器、無線存取點(diǎn)（Wi-Fi Access Point）以及相關(guān)硬件，還有用來管理這些硬件的軟件。Arista鎖定Big Switch，便是看上了其擁有的監(jiān)控技術(shù)，Big Switch銷售的產(chǎn)品包括一監(jiān)控平臺，可以讓管理員集中監(jiān)控公司網(wǎng)絡(luò)，并且發(fā)現(xiàn)潛在的問題，另外還有管理工具Big Cloud Fabric，內(nèi)建了監(jiān)控與分析儀表板。Big Switch這兩個監(jiān)控與管理工具，都可以部署在公有云或是企業(yè)就地部署的硬件中。

Arista將會利用這些技術(shù)，強(qiáng)化其網(wǎng)絡(luò)交換機(jī)的EOS操作系統(tǒng)，擴(kuò)展其軟件CloudVision和DANZ的網(wǎng)絡(luò)監(jiān)控功能。Arista CEO Anshul Sadana提到，Big Switch產(chǎn)品可增加Arista軟件平臺的分析能力與可見性，讓用戶監(jiān)控其云端網(wǎng)絡(luò)。

StackRox報(bào)告顯示容器和Kubernetes安全問題正在抑制業(yè)務(wù)創(chuàng)新

Kubernetes和容器安全廠商 StackRox 近日發(fā)布了2020年冬季版的《容器和Kubernetes安全狀態(tài)報(bào)告》。調(diào)查結(jié)果顯示，容器安全性問題抑制了業(yè)務(wù)創(chuàng)新，近一半（44％）的受訪者推遲了將云本機(jī)應(yīng)用程序部署到生產(chǎn)中。這些延遲損害了受訪者在推動向微服務(wù)和容器的遷移中獲得的最大利益，即更快地開發(fā)和發(fā)布應(yīng)用程序的能力。

451 Research首席分析師Fernando Montenegro表示：“我們對DevOps和云原生安全技術(shù)的調(diào)查得出的最一致的結(jié)果之一就是安全對這些環(huán)境的重要性。“有趣的是，這種觀察如何與StackRox的研究相吻合，突顯了工程和安全專業(yè)人員必須具有可見性，然后為容器和Kubernetes環(huán)境正確部署安全控制和實(shí)踐。”

過去12個月中，幾乎所有受訪者（94％）在其容器環(huán)境中都經(jīng)歷了安全事件
由于人為錯誤（例如配置不當(dāng)?shù)娜萜骱蚄ubernetes部署）造成的數(shù)據(jù)泄露和暴露已變得非常普遍。在報(bào)告安全事件的那些人中，大多數(shù)人（69％）經(jīng)歷了配置錯誤事件，而27％的人報(bào)告了運(yùn)行時發(fā)生的安全事件，還有24％的人報(bào)告了嚴(yán)重的可補(bǔ)救漏洞（響應(yīng)者可以選擇所需要的回復(fù)）。

配置錯誤導(dǎo)致的其他安全問題

在StackRox報(bào)告的第三版中，受訪者再次將由于配置錯誤而引起的暴露視為其容器和Kubernetes環(huán)境最令人擔(dān)憂的安全風(fēng)險，其中61％的受訪者表示了這一擔(dān)憂。只有27％的人將漏洞作為主要關(guān)注點(diǎn)，只有12％的人最擔(dān)心運(yùn)行時的攻擊。這些數(shù)據(jù)說明了配置管理在保護(hù)容器和Kubernetes環(huán)境中的重要性–這些強(qiáng)大平臺的靈活性帶來了自己的挑戰(zhàn)。

托管的Kubernetes服務(wù)取得了長足的發(fā)展

在運(yùn)行容器化應(yīng)用程序的受訪者中，Kubernetes的使用率為86％-與2019年春季的調(diào)查相同。但是，使用Kubernetes的方式已經(jīng)發(fā)生了巨大變化。自我管理不再是運(yùn)行Kubernetes的最主要方式-37％的受訪者表示使用Amazon EKS，而管理自己的Kubernetes的比例為35％，低于2019年春季的44％。AzureAKS和Google GKE的使用率也在上升，每個被21％的受訪者引用。

混合部署下降，而單云環(huán)境卻在增長

混合部署仍然比單云部署更受歡迎，分別為46％和40％。但是混合部署比六個月前的調(diào)查大幅度下降，占了受訪者的53％。在僅云的部署中，多云的勢頭從9％增長到13％，但是單云的使用仍然占主導(dǎo)地位，僅云計(jì)算的使用率為27％，另外在Prem和單個云提供商中運(yùn)行的云計(jì)算的使用率為24％。自2018年秋季進(jìn)行首次調(diào)查以來，僅本地部署的部署已大幅下降，從31％下降到今天的14％。

有關(guān)Linux v5.4安全性那些事兒

內(nèi)核鎖定

經(jīng)過大約8年的努力，Linux現(xiàn)在可以在“ ring 0”（內(nèi)核內(nèi)存）和“ uid 0”（用戶空間中的最高特權(quán)級別）之間劃清界限。“內(nèi)核鎖定”功能已在大多數(shù)Linux發(fā)行版中使用了近幾年了，這是一個荒唐的補(bǔ)丁系列，它試圖枚舉用戶空間可能能夠讀取或修改內(nèi)核的所有故意方式（即，界面而非缺陷）。內(nèi)存（或在內(nèi)核空間中執(zhí)行），并禁用它們。盡管Matthew Garrett使內(nèi)部細(xì)節(jié)的粒度可控，但基本鎖定LSM可以設(shè)置為“禁用”，“完整性”（可以讀取但不能寫入內(nèi)核內(nèi)存）或“機(jī)密性”（不讀取或?qū)懭雰?nèi)核內(nèi)存）。除了彌補(bǔ)用戶空間和內(nèi)核之間的許多漏洞之外，如果將新的接口添加到內(nèi)核中可能會破壞內(nèi)核的完整性或機(jī)密性，那么現(xiàn)在還有一個放置訪問控制的地方，它可以使每個人都滿意，并且不需要在“但root擁有完全的內(nèi)核訪問權(quán)限”與“在某些系統(tǒng)配置中沒有”之間的古老斗爭中進(jìn)行重新整理。

輕松調(diào)用ABI

Andrey Konovalov（與Catalin Marinas等人一起）介紹了一種在內(nèi)核中啟用“松弛”標(biāo)記的內(nèi)存系統(tǒng)調(diào)用ABI的方法。這意味著，在指針地址的高（非VMA）位中支持內(nèi)存標(biāo)簽（或“版本”或“著色”）的硬件上運(yùn)行的程序可以將這些地址與內(nèi)核一起使用，而不會發(fā)瘋。這有效地教導(dǎo)了內(nèi)核在它們沒有意義的地方（即數(shù)學(xué)比較）忽略這些高位，并將它們保留在它們有意義的地方（即指針取消引用）。

例如，如果用戶空間內(nèi)存分配器返回了地址0x0f00000010000000（VMA地址0x10000000，帶有“高位”標(biāo)記為0x0f），并且程序在系統(tǒng)調(diào)用期間使用了該范圍，最終在其上調(diào)用了copy_from_user（） ，如果將標(biāo)記位保留在原位，則初始范圍檢查將失敗：“這不是用戶空間地址；它大于TASK_SIZE（0x0000800000000000）！”，因此將其剝離以進(jìn)行檢查。在實(shí)際復(fù)制到內(nèi)核內(nèi)存的過程中，標(biāo)記保留在原位，以便在硬件取消引用指針時，可以對照分配給參考內(nèi)存區(qū)域的預(yù)期標(biāo)記檢查指針標(biāo)記。如果不匹配，則硬件將觸發(fā)內(nèi)存標(biāo)記保護(hù)。

現(xiàn)在，運(yùn)行于具有ADI（應(yīng)用程序數(shù)據(jù)完整性）的Sparc M7 CPU上的程序可以將其用于硬件標(biāo)記的存儲器，ARMv8 CPU可以使用TBI（最高字節(jié)忽略）進(jìn)行軟件存儲器標(biāo)記，最終將有ARMv8.5-A CPU具有MTE（內(nèi)存標(biāo)簽擴(kuò)展）。

引導(dǎo)熵改善

因?yàn)閰捑肓嗽愀獾膯訒r間熵，所以提出了一種合理的方法，以利用時序噪聲，周期計(jì)數(shù)器抖動甚至推測執(zhí)行的可變性，在現(xiàn)代CPU上增加熵。這意味著當(dāng)某些系統(tǒng)的熵不足以服務(wù)于systemd之類的getrandom（）系統(tǒng)調(diào)用時，啟動時不應(yīng)掛起幾秒鐘（或幾分鐘）的神秘死機(jī)。

用戶空間寫入交換文件被阻止

Darrick J. Wong在“這么久以來沒有引起人們注意的地方”一文中修復(fù)了內(nèi)核，不允許內(nèi)核從用戶空間寫入活動的交換文件。否則，對交換文件具有寫訪問權(quán)的用戶（通常是root）可能會修改其內(nèi)容，從而一旦返回頁面就可以更改進(jìn)程的內(nèi)存內(nèi)容。而root通常只能使用CAP_PTRACE來修改運(yùn)行中的文件。直接進(jìn)行處理，這是一個漏洞，允許特權(quán)較低的用戶（例如，“磁盤”組中的任何人）沒有所需的功能來繞過ptrace限制。

將strscpy（）的大小限制為INT_MAX

一般來說，如果大小變量最終大于INT_MAX，則某些地方的計(jì)算已溢出。即使不是這樣，也可能會在附近的某個地方命中代碼，從而無法很好地處理結(jié)果。正如在VFS核心和vsprintf（）中所做的那樣，我在strscpy（）中添加了一個檢查以拒絕大于INT_MAX的大小。

ld.gold支持已刪除

Thomas Gleixner刪除了對黃金鏈接器的支持。盡管這并不能帶來直接的安全利益，但ld.gold一直是奇怪漏洞的源頭。特別是在我注意到的地方，開發(fā)KASLR一直很痛苦，最近在穩(wěn)定用Clang編譯內(nèi)核時又引起了問題。刪除此鏈接器支持將使事情變得更加容易。在Clang和ld.lld中有足夠多的怪異錯誤可以修復(fù)。

禁用英特爾TSX

考慮到攻擊者使用英特爾的事務(wù)處理同步擴(kuò)展（TSX）CPU功能來利用推測漏洞，默認(rèn)情況下在支持禁用TSX的CPU上禁用了該功能。

Dell以近21億美元出售RSA

為簡化產(chǎn)品線，Dell宣布將旗下網(wǎng)絡(luò)安全、加密及身份控管等產(chǎn)品業(yè)務(wù)RSA，以將近21億美元價格，出售給私募基金業(yè)者。

Dell以總價20.75億美元全現(xiàn)金方式，將RSA賣給Symphony科技集團(tuán)（STG）、Ontario Teachers’ Pension Plan Board及 AlpInvest Partners。這樁交易涵括RSA產(chǎn)品像是RSA Archer、RSA NetWitness 平臺、RSA SecurID、RSA詐欺和風(fēng)險情報(bào)（Fraud and Risk Intelligence）及RSA大會，預(yù)計(jì)6到9 個月完成。雙方并未公開交易內(nèi)容。

RSA是老牌信息安全產(chǎn)品及服務(wù)供應(yīng)商，產(chǎn)品涵括威脅偵測與回應(yīng)、身份存取管理、風(fēng)險管理和詐欺防御，全球有12，500多家企業(yè)客戶。而RSA大會也是全球最大資安大會，今年預(yù)定在2月24日到28日舉行。

RSA于2006年被EMC以21億美元收購，之后2015年再隨同Dell收購EMC，而加入這家伺服器及電腦大廠。然而這也讓Dell的產(chǎn)品愈來愈龐雜。

Dell營運(yùn)長Jeff Clarke解釋，RSA和Dell 已演化出不同的產(chǎn)品及策略，來解決不同的業(yè)務(wù)目標(biāo)，這項(xiàng)交易有助于簡化公司業(yè)務(wù)和產(chǎn)品線，也讓Dell得以專注為核心網(wǎng)絡(luò)基礎(chǔ)架構(gòu)、云端平臺及裝置，內(nèi)建自動化與智慧化安全功能。對Dell、RSA及雙方客戶、伙伴都有長期好處。

Dell收購EMC后為了清理其產(chǎn)品線或籌措資金，陸續(xù)將服務(wù)部門賣給NTT Data、軟件部門賣給基金公司，2018年也出清了云端備份業(yè)務(wù)Mozy。

賣掉RSA之后，Dell的安全產(chǎn)品線將只剩安全代管及服務(wù)部門Secureworks，及端點(diǎn)偵測及回應(yīng)產(chǎn)品Carbon Black。

同時這項(xiàng)交易也是近來安全產(chǎn)業(yè)版圖最新變動。2019年中，網(wǎng)絡(luò)晶片商博通（Broadcom）花了109億美元，買下賽門鐵克企業(yè)部門。此外本周又有媒體報(bào)導(dǎo)，思科可能近日會正式提議收購FireEye。

總結(jié)

以上是生活随笔為你收集整理的【要闻】Kubernetes安全问题严峻、Linux v5.4安全性浅谈的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。