以下為您奉上今天的開源領域要聞。

谷歌提前發布Android 11首個開發者預覽版

谷歌通常會在三月推出即將發布的Android預覽版本。但谷歌今年更早實現了該功能，現已發布了Android 11首個開發者預覽版，目前僅支持部分Pixel手機。今年的重點是開發人員部分，因為在早期的迭代中應當不會有重大的UI或UX更改（這些預計將在5月份的谷歌I/O會議上公布）。開發者需要手動將整個系統映像刷入Pixel 2、3、3A或4上，以便進行測試。

Orange Egypt 通過 Red Hat 云平臺繼續數字化進程

開源解決方案商Red Hat已與Orange Egypt開展了一個項目，以提供一個水平云平臺來支持該電信公司的虛擬網絡功能（VNF），從而幫助Orange Egypt加快其數字化進程。

建立在Red Hat OpenStack Platform和Red Hat Ceph Storage的基礎上，Orange Egypt是Orange的第一家分支機構，它通過一個基于軟件的平臺來管理其100％的實時客戶流量，該平臺跨越該地區的多個站點。

“我們決定引領數字服務創新，并提供出色的客戶體驗。開源驅動著下一代云原生平臺的開發，而紅帽則通過增強的安全性，穩定性和支持來增強這一功能，使我們能夠創建最能滿足客戶獨特需求的解決方案。借助我們基于Red Hat技術的水平電信云，我們可以更加動態地應對業務挑戰和機遇，并為社會數字發展做出更大貢獻。” Orange Egypt首席技術官Ayman Amiri說。

為了繼續其數字化發展，Orange Egypt委托Red Hat提供最新的混合云和網絡功能虛擬化（NFV）創新，以使其能夠實時響應市場動態和網絡狀況，從而最好地為30多個國家/地區提供服務百萬客戶。

作為該計劃的一部分，Orange Egypt將對其移動分組核心進行虛擬化，該核心一直在專用設備上運行獨立功能。

“Egypt正在朝著網絡轉型的方向發展，紅帽正在通過一個多供應商，多應用網絡來幫助其實現這一目標，該網絡可以充分利用云計算所提供的規模和敏捷性。信任Red Hat的開放式混合云技術作為其水平平臺方法的骨干，Orange Egypt獲得了更大的靈活性和自由度，可以優化網絡性能，支出和服務交付，從而為客戶帶來利益。”全球Darrell Jordan-Smith說紅帽垂直行業和客戶副總裁。

Arista Networks并購多云軟件定義廠商Big Switch Networks

Arista Networks對外宣布，已經收購了多云軟件定義廠商Big Switch Networks，不過，這項并購細節沒有對外揭露。?

Arista在Gartner去年的資料中心網絡魔力象限中，位居領導者象限，而Big Switch則在具遠見者象限。

Arista提到，并購Big Switch可強化Arista軟件平臺CloudVision和資料分析工具DANZ的監控能力。Big Switch是軟件定義網絡市場的早期投資者，推出完整的云端網絡套件產品，提供園區、資料中心和公有云必要的功能。

Arista則是企業網絡市場的主要廠商之一，銷售網絡交換器、無線存取點（Wi-Fi Access Point）以及相關硬件，還有用來管理這些硬件的軟件。Arista鎖定Big Switch，便是看上了其擁有的監控技術，Big Switch銷售的產品包括一監控平臺，可以讓管理員集中監控公司網絡，并且發現潛在的問題，另外還有管理工具Big Cloud Fabric，內建了監控與分析儀表板。Big Switch這兩個監控與管理工具，都可以部署在公有云或是企業就地部署的硬件中。

Arista將會利用這些技術，強化其網絡交換機的EOS操作系統，擴展其軟件CloudVision和DANZ的網絡監控功能。Arista CEO Anshul Sadana提到，Big Switch產品可增加Arista軟件平臺的分析能力與可見性，讓用戶監控其云端網絡。

StackRox報告顯示容器和Kubernetes安全問題正在抑制業務創新

Kubernetes和容器安全廠商 StackRox 近日發布了2020年冬季版的《容器和Kubernetes安全狀態報告》。調查結果顯示，容器安全性問題抑制了業務創新，近一半（44％）的受訪者推遲了將云本機應用程序部署到生產中。這些延遲損害了受訪者在推動向微服務和容器的遷移中獲得的最大利益，即更快地開發和發布應用程序的能力。

451 Research首席分析師Fernando Montenegro表示：“我們對DevOps和云原生安全技術的調查得出的最一致的結果之一就是安全對這些環境的重要性。“有趣的是，這種觀察如何與StackRox的研究相吻合，突顯了工程和安全專業人員必須具有可見性，然后為容器和Kubernetes環境正確部署安全控制和實踐。”

過去12個月中，幾乎所有受訪者（94％）在其容器環境中都經歷了安全事件
由于人為錯誤（例如配置不當的容器和Kubernetes部署）造成的數據泄露和暴露已變得非常普遍。在報告安全事件的那些人中，大多數人（69％）經歷了配置錯誤事件，而27％的人報告了運行時發生的安全事件，還有24％的人報告了嚴重的可補救漏洞（響應者可以選擇所需要的回復）。

配置錯誤導致的其他安全問題

在StackRox報告的第三版中，受訪者再次將由于配置錯誤而引起的暴露視為其容器和Kubernetes環境最令人擔憂的安全風險，其中61％的受訪者表示了這一擔憂。只有27％的人將漏洞作為主要關注點，只有12％的人最擔心運行時的攻擊。這些數據說明了配置管理在保護容器和Kubernetes環境中的重要性–這些強大平臺的靈活性帶來了自己的挑戰。

托管的Kubernetes服務取得了長足的發展

在運行容器化應用程序的受訪者中，Kubernetes的使用率為86％-與2019年春季的調查相同。但是，使用Kubernetes的方式已經發生了巨大變化。自我管理不再是運行Kubernetes的最主要方式-37％的受訪者表示使用Amazon EKS，而管理自己的Kubernetes的比例為35％，低于2019年春季的44％。AzureAKS和Google GKE的使用率也在上升，每個被21％的受訪者引用。

混合部署下降，而單云環境卻在增長

混合部署仍然比單云部署更受歡迎，分別為46％和40％。但是混合部署比六個月前的調查大幅度下降，占了受訪者的53％。在僅云的部署中，多云的勢頭從9％增長到13％，但是單云的使用仍然占主導地位，僅云計算的使用率為27％，另外在Prem和單個云提供商中運行的云計算的使用率為24％。自2018年秋季進行首次調查以來，僅本地部署的部署已大幅下降，從31％下降到今天的14％。

有關Linux v5.4安全性那些事兒

內核鎖定

經過大約8年的努力，Linux現在可以在“ ring 0”（內核內存）和“ uid 0”（用戶空間中的最高特權級別）之間劃清界限。“內核鎖定”功能已在大多數Linux發行版中使用了近幾年了，這是一個荒唐的補丁系列，它試圖枚舉用戶空間可能能夠讀取或修改內核的所有故意方式（即，界面而非缺陷）。內存（或在內核空間中執行），并禁用它們。盡管Matthew Garrett使內部細節的粒度可控，但基本鎖定LSM可以設置為“禁用”，“完整性”（可以讀取但不能寫入內核內存）或“機密性”（不讀取或寫入內核內存）。除了彌補用戶空間和內核之間的許多漏洞之外，如果將新的接口添加到內核中可能會破壞內核的完整性或機密性，那么現在還有一個放置訪問控制的地方，它可以使每個人都滿意，并且不需要在“但root擁有完全的內核訪問權限”與“在某些系統配置中沒有”之間的古老斗爭中進行重新整理。

輕松調用ABI

Andrey Konovalov（與Catalin Marinas等人一起）介紹了一種在內核中啟用“松弛”標記的內存系統調用ABI的方法。這意味著，在指針地址的高（非VMA）位中支持內存標簽（或“版本”或“著色”）的硬件上運行的程序可以將這些地址與內核一起使用，而不會發瘋。這有效地教導了內核在它們沒有意義的地方（即數學比較）忽略這些高位，并將它們保留在它們有意義的地方（即指針取消引用）。

例如，如果用戶空間內存分配器返回了地址0x0f00000010000000（VMA地址0x10000000，帶有“高位”標記為0x0f），并且程序在系統調用期間使用了該范圍，最終在其上調用了copy_from_user（） ，如果將標記位保留在原位，則初始范圍檢查將失敗：“這不是用戶空間地址；它大于TASK_SIZE（0x0000800000000000）！”，因此將其剝離以進行檢查。在實際復制到內核內存的過程中，標記保留在原位，以便在硬件取消引用指針時，可以對照分配給參考內存區域的預期標記檢查指針標記。如果不匹配，則硬件將觸發內存標記保護。

現在，運行于具有ADI（應用程序數據完整性）的Sparc M7 CPU上的程序可以將其用于硬件標記的存儲器，ARMv8 CPU可以使用TBI（最高字節忽略）進行軟件存儲器標記，最終將有ARMv8.5-A CPU具有MTE（內存標簽擴展）。

引導熵改善

因為厭倦了糟糕的啟動時間熵，所以提出了一種合理的方法，以利用時序噪聲，周期計數器抖動甚至推測執行的可變性，在現代CPU上增加熵。這意味著當某些系統的熵不足以服務于systemd之類的getrandom（）系統調用時，啟動時不應掛起幾秒鐘（或幾分鐘）的神秘死機。

用戶空間寫入交換文件被阻止

Darrick J. Wong在“這么久以來沒有引起人們注意的地方”一文中修復了內核，不允許內核從用戶空間寫入活動的交換文件。否則，對交換文件具有寫訪問權的用戶（通常是root）可能會修改其內容，從而一旦返回頁面就可以更改進程的內存內容。而root通常只能使用CAP_PTRACE來修改運行中的文件。直接進行處理，這是一個漏洞，允許特權較低的用戶（例如，“磁盤”組中的任何人）沒有所需的功能來繞過ptrace限制。

將strscpy（）的大小限制為INT_MAX

一般來說，如果大小變量最終大于INT_MAX，則某些地方的計算已溢出。即使不是這樣，也可能會在附近的某個地方命中代碼，從而無法很好地處理結果。正如在VFS核心和vsprintf（）中所做的那樣，我在strscpy（）中添加了一個檢查以拒絕大于INT_MAX的大小。

ld.gold支持已刪除

Thomas Gleixner刪除了對黃金鏈接器的支持。盡管這并不能帶來直接的安全利益，但ld.gold一直是奇怪漏洞的源頭。特別是在我注意到的地方，開發KASLR一直很痛苦，最近在穩定用Clang編譯內核時又引起了問題。刪除此鏈接器支持將使事情變得更加容易。在Clang和ld.lld中有足夠多的怪異錯誤可以修復。

禁用英特爾TSX

考慮到攻擊者使用英特爾的事務處理同步擴展（TSX）CPU功能來利用推測漏洞，默認情況下在支持禁用TSX的CPU上禁用了該功能。

Dell以近21億美元出售RSA

為簡化產品線，Dell宣布將旗下網絡安全、加密及身份控管等產品業務RSA，以將近21億美元價格，出售給私募基金業者。

Dell以總價20.75億美元全現金方式，將RSA賣給Symphony科技集團（STG）、Ontario Teachers’ Pension Plan Board及 AlpInvest Partners。這樁交易涵括RSA產品像是RSA Archer、RSA NetWitness 平臺、RSA SecurID、RSA詐欺和風險情報（Fraud and Risk Intelligence）及RSA大會，預計6到9 個月完成。雙方并未公開交易內容。

RSA是老牌信息安全產品及服務供應商，產品涵括威脅偵測與回應、身份存取管理、風險管理和詐欺防御，全球有12，500多家企業客戶。而RSA大會也是全球最大資安大會，今年預定在2月24日到28日舉行。

RSA于2006年被EMC以21億美元收購，之后2015年再隨同Dell收購EMC，而加入這家伺服器及電腦大廠。然而這也讓Dell的產品愈來愈龐雜。

Dell營運長Jeff Clarke解釋，RSA和Dell 已演化出不同的產品及策略，來解決不同的業務目標，這項交易有助于簡化公司業務和產品線，也讓Dell得以專注為核心網絡基礎架構、云端平臺及裝置，內建自動化與智慧化安全功能。對Dell、RSA及雙方客戶、伙伴都有長期好處。

Dell收購EMC后為了清理其產品線或籌措資金，陸續將服務部門賣給NTT Data、軟件部門賣給基金公司，2018年也出清了云端備份業務Mozy。

賣掉RSA之后，Dell的安全產品線將只剩安全代管及服務部門Secureworks，及端點偵測及回應產品Carbon Black。

同時這項交易也是近來安全產業版圖最新變動。2019年中，網絡晶片商博通（Broadcom）花了109億美元，買下賽門鐵克企業部門。此外本周又有媒體報導，思科可能近日會正式提議收購FireEye。

總結

以上是生活随笔為你收集整理的【要闻】Kubernetes安全问题严峻、Linux v5.4安全性浅谈的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。