TC分享第 52 期

2021 week 51

你永远会低估你一周可以做的事情，在这里记录一下我这周看到的好东西。有些链接可能需要科学上网。

本周摄影

新闻思考

2021年最后一期！

这周讲讲已经火出圈的log4j漏洞吧。log4j是一个java最常使用的log库，只要用过java的人都知道。log就是记录程序在运行时的日志，一般可能会记录下用户的输入内容。log4j是一个开源项目由apache开源基金会支持，开源的意思就是所有的代码和改动都是公开的。

log4j在log的时候可以同时使用一些函数来自动替换log的内容，而其中jndi:rmi可以用来访问远程的网址来获取信息，这样就导致用户可以让被攻击的主机访问自己想让其访问的地址。

这个漏洞被用来针对惠普基于 AMD 的 EPYC CPU 平台的服务器来挖掘 Raptoreum 加密货币。惠普的 9000 台基于 AMD EPYC CPU 平台的服务器被黑客使用 Log4J 漏洞完成批量入侵。近日，比利时国防部已确认在其网络上发生了涉及 Log4j 漏洞的网络攻击。比利时国防部发言人 Olivier Séverin 表示，不法分子在上周利用 Log4j 漏洞攻击了比利时国防部。该部在周四发现了其上网的计算机网络遭到攻击，之后便迅速采取措施隔离了受影响的部分。“一些活动已经瘫痪了好几天”。比利时国防部成为这次事件中首次公开披露的受害者。

这次事件让我们发现在对于开源软件时需要谨慎。因为维护人员都是没有薪水只是无偿劳动，他们随时可能退出不再更新。即使是log4j如此基础的包也只有3个人在维护，可以说是很多大型软件的一个软肋。

另一件与之相关的新闻就是工信部决定暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位六个月，原因是阿里云近日发现阿帕奇（Apache）Log4j2组件严重安全漏洞隐患后，未及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理。

11月24日，阿里云发现该漏洞后，率先向Apache软件基金会进行了披露，而奥地利和新西兰官方的计算机应急小组也得以率先对这一漏洞进行预警，但中国工信部则是在收到网络安全专业机构报告后，才发现阿帕奇Log4j2组件存在严重安全漏洞。根据工信部、国家网信办、公安部印发的《网络产品安全漏洞管理规定》第七条，网络产品提供者发现漏洞后，“应当在2日内向工信部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。”

这个规定是公布于今年7月，9月1日开始实施。所以阿里没有执行可能就是不知道需要这么做，这次log4j的影响又如此之大，自然被拉出来做一个典型，杀鸡儆猴，让其他厂商知道这个规定的重要性。

科技新闻

【1】Youtube与迪士尼达成协议恢复频道内容

据路透社当地时间19日报道，YouTube发布消息称，公司已与迪士尼重新达成协议，将在其平台上恢复迪士尼的所有频道内容。两天前两家公司谈判破裂，导致迪士尼内容无法观看。

YouTube在推特上表示：“我们已经与迪斯尼达成协议，并开始恢复ESPN和FX等频道的访问。”

Youtube曾表示，如果Youtube TV不再提供迪士尼的频道，订阅月费将降低15美元，从64.99美元降至49.99美元，并称如果无法达成协议，鼓励用户购买迪士尼的流媒体服务。

【2】女子称在元宇宙中被性骚扰

据《纽约邮报》，近日，脸书“元宇宙”的一位测试用户称自己在“元宇宙”中被性骚扰，这么女子称自己在地平线世界被一个陌生人摸了一把。她写道：“昨晚我不仅被人摸了，而且还有其他人支持这种行为，这让我在虚拟世界中感到孤立。” 上周，元宇宙开放了其虚拟现实社交媒体平台Horizon Worlds的访问。在地平线世界中，一次最多可以有20个化身聚在一起，在虚拟空间中探索、玩耍和创造。

【3】北京市网信办约谈处罚知乎网

据北京网信办消息，近日，国家互联网信息办公室指导北京市互联网信息办公室依法约谈知乎网负责人，针对知乎网多次出现法律法规禁止发布或者传输的信息等问题，依据《中华人民共和国网络安全法》，责令其立即整改，严肃处理相关责任人。北京市互联网信息办公室对知乎网违法行为进行行政处罚立案。知乎网负责人表示，将深刻吸取教训，严格落实各项整改要求，在整改期间自行暂停相关功能。

【4】马斯克说：我并不是说Web3是真实存在的。在目前看来，Web3更像是一个营销流行词，而不是什么现实。但可以想象10年、20年或30年后的未来会是什么样子。2051年的未来似乎会很疯狂！

【5】英特尔宣称禁用新疆产品

尽管中国已多次公开强调，所谓新疆存在“强迫劳动”的说法纯属弥天大谎，但有美国公司仍对西方政客偏听偏信。

我们的投资者和客户已询问英特尔是否从中国新疆地区采购产品或服务。多个国家与地区的政府已对来自新疆地区的产品实行限制。因此，英特尔需要确保我们的供应链不使用任何来自新疆地区的劳工、采购产品或服务。

这封信发布于今年12月，是英特尔对供应商的最新要求。而自2015年以来，中国已连续6年成为英特尔最大营收来源地。（观察者网）

关于英特尔的供应商信函的公开声明

声明：即日起，王俊凯先生解除与英特尔品牌一切合作关系。

【6】淘宝拟禁止卖家以好评返现等方式引导买家进行“好评”

12月22日消息，淘宝网宣布将对《淘宝网评价规范》的相关条款进行变更，以提升评价内容真实性，此次规则变更将于2021年12月28日正式生效。其中提到，卖家不得自行或通过第三方要求买家只写好评、修改评价、追加评价等；不得以物质或金钱承诺为条件鼓励、引导买家进行“好评”，包括但不限于：全五星返现、好评返现、好评免单、好评返红包、好评返优惠券；不得通过诱导买家、虚假交易等不正当方式获取不真实的评价；不得自行或通过第三方故意给予同行竞争者与事实不符的评价。

【7】电商平台#蘑菇街计划裁员# ？知情人士：属实

《科创板日报》22日讯，有多名用户在社交平台爆料称，电商平台蘑菇街计划裁员，技术部门裁员比例高达80%，整体大概裁员30%。对此，有接近蘑菇街的知情人士向《科创板日报》记者确认，裁员是属实的，主要为技术团队，具体比例不确定。

【8】阿里云被暂停中国工信部网安威胁信息共享平台合作单位

知情人士透露，中国工信部网络安全管理局通报，阿里云发现严重安全隐患后未及时报告，未有效支撑工信部开展网络安全威胁和漏洞管理，暂停阿里云公司作为工信部网络安全威胁信息共享平台合作单位六个月。

阿里云回应未及时共享漏洞信息：早期未意识到严重性，将提升合规意识

今日，阿里云官方发布公告回应关于开源社区 Apache log4j2 漏洞情况。表示因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

【9】TikTok成2021年全球访问量最多网站

华尔街日报报道，根据追踪互联网流量的云基础设施公司 Cloudflar 的数据，TikTok 是 2021 年世界上访问量最大的互联网网站，超过了去年领头羊 Alphabet 旗下的谷歌。（IT之家）

优秀的项目

【1】gto76/python-cheatsheet

Comprehensive Python Cheatsheet

【2】freeCodeCamp/LearnToCodeRPG

A visual novel video game where you learn to code and get a dev job

【3】cyphar/paperback

Paper backup generator suitable for long-term storage.

【4】Finnhub-Stock-API/finnhub-python

Finnhub Python API Client. Finnhub API provides institutional-grade financial data to investors, fintech startups and investment firms. We support real-time stock price, global fundamentals, global ETFs holdings and alternative data. https://finnhub.io/docs/api