月摘:2024.04
以下按钮可供你方便地引用本文。URL 中即使域名变化,其后的路径也将始终指向原本的内容。
https://css.celestialy.top/p/481dba525
[月摘:2024.04 | clsty 的网络空间站](https://css.celestialy.top/p/481dba525)
[[https://css.celestialy.top/p/481dba525][月摘:2024.04 | clsty 的网络空间站]]
春暖花开,正是踏青好时节。
本月摘不含任何愚人节要素,请放心阅读。
当大家以为你要整个活时,你没有整个活,这也是一种整活。
xz-utils 事件
三月,在开源圈子里最炸裂的大概就是 xz-utils 事件了(简称 xz 事件)。
对于 Arch Linux,万幸的是最关键的 openssh 并没有受到影响,因此我估计这不会对 Arch 用户造成什么实质威胁。
不过,恶意代码终归是不能留着过年的。
- Arch 的对应软件包
xz已光速更新到不含恶意代码的5.6.1-2版本,只要sudo pacman -Syu即可解决问题。 - 此外,3 月份的 archiso 也受到波及,arCNiso 作为基于 archiso 的项目也未能幸免,无论是 archiso 还是 arCNiso 用户都应当尽快删除 3 月份的版本。
最后,这并不意味着开源软件(相对)不安全。 — — 闭源软件在这方面的问题显然只会更严重,因为它的代码连被公开审查的机会都不会有,开源软件在安全方面仍然具有根本性的优势。
不过,xz-utils 事件,确实就安全问题为开源社区敲响了警钟。或许,未来可以利用人工智能自动扫描所有公开代码。
此外,考虑到事件性质更侧重于供应链投毒,即使在这一特定事件中幸免于难,闭源软件界大概也不会觉得事不关己,比如前文的自动扫描机制如果成为现实,闭源界就可能会参与其中,说不定已经有这样的例子了。
arCNiso 2024.04 版发布
arCNiso 是 clsty 开发维护的自由开源项目,简单点说就是对 Arch Linux 的 Live CD 的一种易用化定制。
此为例行发布,项目本身没有什么大的变化,但构建的镜像随着 sudo pacman -Syu 而自动免除了 xz 事件的影响。
并且,在 3 月 3 日,因为 arCNiso 的 star 数达到 16,clsty(我)首次拿到了 GitHub Starstruck 成就,感谢大家对 arCNiso 项目的支持。
空间站更新汇总
除了本文以外,空间站还更新了以下内容: