(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、CUDA 10.1 发布，NVIDIA 推出的并行计算架构

CUDA 10.1 发布了。CUDA（Compute Unified Device Architecture），是显卡厂商 NVIDIA 推出的运算平台。作为一种通用并行计算架构，CUDA 使 GPU 能够解决复杂的计算问题。 它包含了 CUDA 指令集架构（ISA）以及 GPU 内部的并行计算引擎。

CUAD 10.1 包含了一个新的 GEMM 轻量级库、一些实用和性能方面的提升、以及 CUDA Graphs APIs 的改进。

新版本的更新亮点有：

• cuBLASLt，一个新的轻量级 GEMM 库，具有灵活的API和张量核心，支持 INT8 输入和 FP16 CGEMM split-complex 矩阵乘法

• CuSOLVER 中新增了可选的 eigensolvers SYEVDX 和 SYGVDX，使 eigensolvers 全光谱（full spectrum）的性能提升高达1.5倍

• nvJPEG 中新的编码和批量解码功能

• cuRAND 中大量的随机数生成器性能提高了4倍

• 改进 CUDA Graphs APIs 中 fork/join 内核的性能和支持

1、研究称黑客可通过漏洞劫持裸金属服务器，IBM 将修复

据美国科技媒体ZDNet援引一份报告内容显示，当裸金属（bare-metal）云服务器重新分配给其他客户之后，黑客依然可以通过修改固件来重新接入该服务器。裸金属服务器是云计算行业使用的一个术语，指的是一次只租给一名客户的物理服务器（硬件）。

租用裸金属服务器的客户可以获得完全访问权。他们可以随意进行各种调整，并将服务器用于各种目的，而不必担心服务器上的信息会被秘密共享给其他客户——这与采用虚拟化技术的云计算托管方案有所不同。

这种理念认为，一旦客户使用完服务器，便可将其交还给云计算公司，而云计算公司则会删除服务器上的所有软件和客户数据，之后再提供给其他客户使用。

但在硬件安全公司Eclypsium进行的实验中，该公司的安全研究人员却发现，云计算服务提供商可能没有彻底清除裸金属服务器上的配置。

该公司的团队表示，只要对服务器的BMC固件进行修改，便可在服务器被删除并重新分配给其他客户之后，重新接入该服务器。

BMC是“基板管理控制器”的缩写，这是一种电脑/服务器组件，包含自己的CPU、存储系统和上网接口，可以让远程管理员接入PC/服务器，并发送指令，执行各种任务，包括修改系统设置、重新安装系统或者更新驱动。

Eclypsium团队之前也曾经发现过BMC固件的各种漏洞，例如，他们的研究人员去年曾经发现过Super Micro主板的BMC固件漏洞。

他们在最新的实验中使用Super Micro BMC固件漏洞展示了黑客如何以更危险的方式滥用该漏洞，最终入侵网络并窃取数据。

他们通过这次名为Cloudborne的测试成功将一台裸金属服务器的BMC固件更新为他们事先准备的固件。

这个新的固件只包含一个位反转，所以之后可以识别出来，但实际上，任何恶意代码都可以包含在BMC固件中。

Eclypsium建议云计算提供商应该在重置裸金属服务器时刷新BMC固件，并根据不同客户使用不同的BMC根密码。

IBM似乎已经采纳了Eclypsium的建议。该公司在昨天的博文中表示将会把所有的BMC刷新为出厂设置。不过，IBM认为这只能算“轻微问题”，但Eclypsium却认为该问题“非常严重”。

2、2019 年开源安全现状调查报告发布

Snyk 今天发布了2019年开源安全现状调查报告，这是一家针对开源项目提供安全服务的知名公司。

前言

为了更好地了解开源领域的安全现状，以及我们该如何让开源世界的安全性变得更好，Snyk 公司通过对大量的数据进行统计和分析，得到了2019年开源安全现状调查报告，其中数据来源包括：

• 由 Snyk 发起和分析的来自500多名开源项目维护者和用户填写的调查问卷

• 来自 Snyk 漏洞数据库的内部数据，以及由 Snyk 监控和保护的数十万个项目

• 从各个供应商发布的外部资源中获取到的研究报告

• 通过扫描数百万个公开 GitHub 仓库和包而收集到的数据

开源安全现状

先看一看报告提供的关键数据，总共包括六个方面。

1.开源项目被采用情况

数据显示，78％ 的漏洞存在于间接依赖关系中。而在2017到2018年期间，工具包平台的增长情况如下：

• Maven Central – 102%

• PyPI – 40%

• npm – 37%

• NuGet – 26%

• RubyGems – 5.6%

• npm 报告2018年的下载量为3040亿次

各大工具包平台的增长情况

明显可以看到，开源项目的采用率正在持续加速增长。仅是2018年，Java 工具包翻了一番，而 npm 增加了大约 250000 个新的工具包。

PyPI 在2018年拥有超过140亿的下载量，较2017年增加了一倍，当时的下载次数约为63亿次。

PyPI 工具包在2018年的下载次数

npm 工具包在2018年的下载次数

npm 称得上是整个 JavaScript 生态系统的核心。多年来，其软件包数量和下载数量一直在稳步增长，仅2018年12月的单月下载量就超过了300亿次，而2018年全年的下载次数更是达到令人难以置信的3170亿次。

2.漏洞识别状况

• 37％ 的开源开发者在持续集成(CI)期间没有实施任何类型的安全测试，54％ 的开发者没有对 Docker 镜像进行任何安全测试

• 从漏洞添加至开源软件包到修复漏洞的时间中位数超过2年

持续集成期间的安全测试情况

3.已知的漏洞

• 两年内应用程序的漏洞数量增长了 88％

• 在2018年，npm 的漏洞数量增长了 47％

• 根据 Maven Central 和 PHP Packagist 披露的数据，它们的漏洞数量分别增长了 27％ 和 56％

• 2018年与2017年相比，Snyk 在 RHEL, Debian 和 Ubuntu 中追踪发现的漏洞数量增加了4倍多

每种语言其生态系统的新漏洞增长情况

今天，Snyk 目睹了其跟踪的许多生态系统中报告的漏洞数量的增加，包括 PHP Packagist, Maven Central Repository, Golang, npm, NuGet, RubyGems 和 PyPI。其中在研究五种不同的语言生态系统时：PHP, Java, JavaScript, Python 和 Go 时，Snyk 发现自2014年以来，所有这些生态系统中披露的漏洞数量呈上升趋势。尤其是 npm 和 Maven 中央仓库，毕竟这两者也是工具包数量增长最多的平台。

完整报告下载地址：

https://bit.ly/SoOSS2019

【业界资讯】

0、第 15 届谷歌编程夏令营导师机构公布：包括 Fedora 和 Debian

谷歌的编程夏令营（Google Summer of Code，简称GSoC）已经走到了第15个年头。今天谷歌宣布所有被接纳为GSoC导师的组织，以及Linux社区清单，今年活动还吸引了Fedora和Debian两大热门Linux发行版本的加入。此外知名Linux桌面环境GNOME、KDE和Linux基金会也加入其中，带来了丰富的开源项目。

Google Open Source的Stephanie Taylor表示：“我们非常激动地宣布了被Google Summer of Code (GSoC) 2019接纳的开源项目和组织，这也是该活动的第15个年头。和往常一样，我们收到了比去年更多的申请，项目数量是此前的两倍。通过仔细审查，我们今年选择了207个开源项目作为导师阻止，其中28个是加入到该活动的新组织。”

Google编程夏令营官方页面写道过去14年期间参与学生数量超过14000名，覆盖全球109个国家和地区，651个开源机构，共编写了35,000,000行以上代码。如果你是一名学生，想要参与到开源项目中，那么可以在3月25日至4月9日之间提交申请。

1、发力社交后 “头条系”再向腾讯游戏宣战

抖音首款小游戏《音跃球球》的上线，又一次掀起了人们对于字节跳动（今日头条母公司）发力游戏业务的讨论。去年9月，今日头条首批小游戏上线，标志着字节跳动正式进军游戏业务。不过对此，头条内部颇为低调，迄今未做过任何营销造势。

作为一家拥有5亿用户量，年收入约500亿的巨头，字节跳动并不满足于当下成绩。过去的一年多，字节跳动开始把触角伸向各个领域试探，从电商、教育到金融，再到智能硬件，如今游戏成为了新的发力点。

1月16日，据国外媒体引援知情人士称，由于国内广告增长下滑超过预期，目前字节跳动只勉强达到2018年的预期营收水平（500亿人民币），且营收高度依赖广告业务。

相比之下，腾讯营收结构更加健康，形成了三驾马车：游戏、广告和其他，在腾讯2018年发布的Q3财报中，网络游戏收入占到总营收的32%，网络广告业务收入则占到的20.16%。

在外界看来，面对着如今不算景气的经济环境，头条进军游戏业务，有助于缓解其过度依赖广告创收而带来的压力，也能够为“头腾大战”的后续添加砝码。

从目前来看，字节跳动在游戏上的布局主要有“今日头条小游戏”、“抖音小游戏”以及“游戏联运”业务（网络游戏研发厂商，以合作分成的方式将产品嫁接到其他合作平台之上运营），在原创游戏研发以及海外游戏业务上还暂未涉及。

2、微软 Build 2019 开发者大会现开放注册

本月早些时候，微软宣布Build 2019开发者大会将于5月6日（周一）至5月8日（周三），在西雅图市中心的华盛顿州会议中心举行。今年开发者大会的注册已经于今天正式开放，注册价格为2395美元，不包含酒店住宿。但针对注册用户，微软将会提供附近酒店的折扣优惠。

同时，Build与Google I / O者大会再次撞车，后者定于5月7日至9日举行。目前尚不知晓会议清单，微软通常会在接近会议开始时发布。在今年的Build大会上，微软可能会讨论人工智能、Azure、Microsoft 365等与开发人员有关的议题。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「好看」呗~