安卓模拟器支持 Fuchsia 内核；全球 41.5 万路由器受到挖矿感染

2018 年 12 月 9 日 技术最前线

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

0、Android 模拟器增加对 Fuchsia 新操作系统内核 Zircon 的支持

最新消息，发现来自 Android Studio 的官方Android模拟器，可以启动 Fuchsia 操作系统的 Zircon 内核。Google 似乎已准备好让开发人员快速启动并运行。Fuchsia 开发者们，你们准备好了吗？

随着 Flutter 1.0 的正式发布，普遍已经知道 Flutter 是创建 Fuchsia OS App 的主要方式之一，谷歌更加接近推出这个可能的开发中的操作系统。最新消息，另一个意想不到的意外发现是来自 Android Studio 的官方Android模拟器，可以启动 Fuchsia 的 Zircon 内核。

在过去的几年里，Google一直在努力开发 Fuchsia，以便让它能在各种设备上运行，包括 Pixelbook，Google Home Hub和各种其他原型。最近，华为甚至加入了该支持，Zircon 可在其流行机型 Honor Play上运行。这些努力虽然受到赞赏和鼓舞，但还不足以让一些软件开发人员加入 Fuchsia 开发者的行列的并开始为这个新平台开发应用程序。

1、研究发现全球有 41.5 万多台路由器受到秘密挖矿软件感染

据外媒报道，研究人员发现，全球超41.5万台路由器感染了旨在窃取路由器计算能力并偷偷挖掘加密货币的恶意软件。这些仍在继续的网络攻击尤其影响最严重的则是MikroTik路由器。有记录显示，针对该品牌的一系列加密攻击始于今年8月，当时安全专家发现有20多万台设备被感染。从那以后，这个数字又增加一倍多。

虽然大多数受影响的设备最初都集中在巴西，但数据显示，在全球范围内也有大量设备受到了影响。

值得指出的是，被入侵设备的数量可能略有下降，但遭到攻击的路由器总数仍相当高。

安全研究员VriesHD指出：“如果实际被感染的路由器总数在35万到40万台左右，对此我也不会感到惊讶。”

有趣的是，尽管攻击者过去倾向于使用CoinHive--一种用于面向隐私加密货币Monero (XMR)的挖掘软件--但研究人员注意到，攻击者已经开始转向了其他挖掘软件。“CoinHive、Omine和CoinImp是使用最多的服务，”VriesHD表示，“过去80%到90%用的都是CoinHive，但最近几个月已经转向了Omine。”

今年8月，研究人员报告称巴西有20多万台设备在遭到劫持后被用于秘密开采加密货币。等到9月，易受攻击设备的总数已经增加到了惊人的28万台。

好在一些受害者可以做一些事情来保护自己。来自Bad Packets Report的安全专家Troy Mursch建议受影响的MikroTik设备的用户立即下载他们设备可用的最新固件版本。VriesHD则表示ISP可以通过强制对路由器进行无线更新来帮助对抗这些恶意软件的传播。此外他还补充称：“针对这个特殊问题的补丁已经发布了好几个月了，我已经看到成千上万的ISP从名单上消失了。然而不幸的是，似乎仍有大量的ISP根本不打算采取行动来减轻攻击。”

2、Linux 基金会推出 ACT 项目，帮助开发者遵守开源许可证

Linux 基金会正致力于通过组建新项目来改善开源的合规性，他们近日推出了一个 Automated Compliance Tooling（ACT）项目，旨在整合对推进开源合规性工具的投入，提高互操作性和可用性，从而帮助组织管理合规性义务。

根据 Linux 基金会的说法，虽然开源代码的使用变得越来越流行，但使用开源代码有责任遵守该代码许可的条款，这会给用户和组织的管理带来挑战。

Linux 基金会战略高级主管 Kate Stewart 表示：“推进开源合规性的工具或项目有很多，但大多没有资金，构建强大可用性或高级功能的范围有限。我们从许多组织那里听说，目前存在的工具无法满足当前的需求。在 Linux 基金会下成立一个中立机构来处理这些问题，将使我们能够增加对合规工具开发社区的资助和支持。”

据悉，目前已确定将成为 ACT 的一部分的四个项目为：

FOSSology：开源许可证合规性软件系统和工具包，允许用户从命令行运行许可证，版权和导出控制扫描。
QMSTR：该工具创建了一个集成的开源工具链，可实现许可证合规性管理的行业最佳实践。QMSTR 集成到构建系统中，以了解软件产品及其来源和依赖性。开发者可在本地运行 QMSTR 以验证结果，查看问题并生成合规性报告。
SPDX Tools：软件包数据交换（SPDX）是用于传达软件物料清单信息的开放标准，包括组件、许可证、版权和安全参考。
Tern：这是一款检查工具，用于查找容器映像中安装的软件包的元数据。它可以更深入地了解容器的物料清单，从而可以更好地决定基于容器的基础架构、集成和部署策略。