microsoft - 微软拟禁用 JavaScript JIT 来提高 Edge 安全性；GoLand 2021.2 稳定版发布 | 思否周刊 - SegmentFault 行业快讯

40s 新闻速递

微软宣布成为 Eclipse 基金会的战略成员
NASA 拟派探测器登陆水星
快手称将于 8 月份关闭 TIKTOK 竞争对手 ZYNN 应用
小米高端手机 11 系列出现问题，维权群人数超 1800
谷歌被控与 Facebook 合谋操纵广告价格
英国或干预英伟达收购 ARM 交易，引发国家安全顾虑
2021 年 Q2 手机市场，苹果营收占四成，小米跃升第二大品牌
时隔 13 年，Linux Mint 将重新设计官网，并公布下一版本时间表
谷歌呼吁企业将更多工程师投入到上游 Linux 和工具链
微软拟禁用 JavaScript JIT来提高 Edge 安全性
Visual Studio Code 1.59 发布
Elastic 限制 Elasticsearch 客户端连接到 OpenSearch
统信服务器操作系统 V20（1020e）发布：面向多场景，安全高性能
GoLand 2021.2 稳定版发布
4MLinux 37.0 稳定版发布，不止"4M"的 Linux 发行版
Nvidia 和 Mozilla 公布新版 Common Voice 数据集，已支持 76 种语言

行业资讯

微软宣布成为 Eclipse 基金会的战略成员

微软宣布将成为 Eclipse 基金会的战略成员，并且加入其董事会，以推进对 Eclipse 基金会 AISBL 的支持。

早在 2016 年，微软就以解决方案成员的身份加入 Eclipse 基金会，并在当时提供了一套开发工具和服务。现在，为了与 Eclipse 社区进行更密切的合作，微软宣布将其参与范围扩大到战略成员，而首席技术官 Azure 办公室首席项目经理 Stephen Walli 则将加入基金会的董事会，并在文中解释了此举的原因：

Eclipse 基金会在供应商中立治理、基础设施、营销、社区建设和开发人员倡导工作方面拥有深厚的专业知识。该团队表现出主动性和远见卓识，并转向成为一家总部位于欧洲的国际非营利组织，以与其成员保持一致。Eclipse 基金会是 Microsoft 与欧洲合作伙伴合作开展新计划的自然场所。
Eclipse 基金会仍然是 Java 生态系统的重要基石。微软致力于 Java 开发人员和 Java 生态系统的健康，积极参与 Eclipse Adoptium（前身为 AdoptOpenJDK）等项目。作为战略成员扩大对基金会的参与将有助于本着开源精神推进现代 Java 计划。
Eclipse 基金会也与 Java 社区的核心部分有着密切的联系，Eclipse IDE、Jakarta EE（Java EE 的后继者）和 MicroProfile 项目均由其主持。对于微软及其合作伙伴来说，Eclipse 基金会是 AdoptOpenJDK 的合理选择。作为供应商中立的多供应商计划，Eclipse Adoptium 将继续成为基于 OpenJDK 源代码的完全兼容、高质量的 Java 运行时发布的领先供应商。
Eclipse 基金会正在通过工作组扩大其作用，其中许多工作组对 Microsoft 及其合作伙伴很重要。最近围绕 Eclipse 数据空间连接器和 Eclipse Tractus-X 的工作是 Eclipse 基金会在 Microsoft 有兴趣参与的工作组中开始的新工作的示例。

最后，微软表示开源非营利组织在社区中至关重要，因为其提供了使项目能够实现继续发展机会的结构。通过支持此类非营利组织，将有助于支持整个开发者社区。

NASA 拟派探测器登陆水星

据美国《福布斯》双周刊网站近日报道，水星是太阳系中最小的行星，美国国家航空航天局（NASA）的“水星着陆器”（Mercury Lander）任务计划于2035年发射，10年后到达目的地，对水星的内部结构、磁场及大气层展开调查。

快手称将于 8 月份关闭 TIKTOK 竞争对手 ZYNN 应用

据报道，快手科技将关闭其视频分享应用 Zynn，此举标志着该公司在美国挑战字节跳动旗下产品 TikTok 的尝试以失败告终。、快手在一份通知中告诉用户，Zynn 服务将于 8 月 20 日终止。该通知称，这款类似 TikTok 的应用于去年在北美市场推出，在宣布关闭后的 45 天宽限期之后，将删除所有用户数据。该公司在一份声明中证实了这一消息，并补充表示其其他海外产品将不会受到影响。快手方面回应称，此次停止服务的是快手美国市场的一款产品 Zynn，快手海外市场战略不变。

小米高端手机 11 系列出现问题，维权群人数超 1800

8 月 4 日，据了解，用户自发组建的小米 11 手机维权群，目前已有 1800 余人，问题手机基本都是小米 11、小米 11ultra 以及小米 11PRO，均属小米的高端机型，售价 3999 元起。

出现问题后，部分地区的小米售后表示可以更换新机，但还有不少用户无法退款或更换新机，仍在艰难维权中。有用户认为，这是小米 11 产品设计缺陷，应该给所有出现问题的小米 11 系列的用户无条件退货或保修，同时给出手机主板损坏如何保护手机内资料的方案。

谷歌被控与 Facebook 合谋操纵广告价格

据报道，谷歌在一起反垄断诉讼中被控与 Facebook 达成互惠交易，使这家社交网络在决定谁的广告出现在哪里的虚拟拍卖占据优势。

两家马萨诸塞州企业在一场拟议的集体诉讼中表示，该交易让谷歌可以保持在线广告市场的主导地位，排挤其他广告主，并限制网络内容发布商的收入。

起诉书显示，这套标题竞价系统是在 2014 年设计的，可以让出版商引导用户的浏览器从多个拍卖平台获取实时竞价，而不仅仅使用谷歌的竞价系统。

Facebook 最初接受了这套系统，但在 2018 年与谷歌达成协议后，该公司同意限制该程序，以换取谷歌的优待。

起诉书称：“当谷歌的市场地位受到威胁时，它便通过与 Facebook 达成的协议来削弱创新和竞争。”

起诉书认为，这项协议“限制了标题竞价系统的创新，使之仅对他们自己有利，同时也妨碍了竞争”，此举违反了反垄断法。

马萨诸塞州的两家公司认为，谷歌应当为广告主遭受的所有损失负责。

英国或干预英伟达收购 ARM 交易，引发国家安全顾虑

据报道，知情人士透露，英国政府出于对国家安全潜在风险的考虑，或将阻止英伟达斥资 400 亿美元收购芯片设计公司 ARM 的交易。按照市值计算，英伟达已超越英特尔成为美国最大的芯片公司。

作为扩大其在激增的半导体市场影响力的努力的一部分，该公司在去年 9 月宣布，将斥资 400 亿美元收购归属于软银集团的 ARM。

早在今年4月，英国文化大臣 Oliver Dowden 要求竞争和市场管理局(CMA)准备一份有关该交易是否可被视为反竞争的报告，并汇总第三方提出的任何国家安全关切。

2021 年 Q2 手机市场，苹果营收占四成，小米跃升第二大品牌

全球智能手机出货量在 2021 年第二季度同比增长 19%，但环比下降 7%，出货量为 3.29 亿部，三星居首，小米首次成为第二大手机品牌 … 2021 年第二季度全球智能手机收入同比增长 25%，达到 960 亿美元，苹果以创纪录 41% 市场收入份额拔得头筹。

时隔 13 年，Linux Mint 将重新设计官网，并公布下一版本时间表

Linux Mint 近日在官网发布一篇博客，在博客中分享了一些 Linux Mint 的未来更新计划，在今年的剩余时间里，Linux Mint 将会对官网设计进行全面改进和升级，并公布了 Linux Mint 20.3 的发布日期。

Linux Mint 上一次对官网进行大幅改动还是 2008 年，距今已有 13 年之久。虽然网站的性能仍然不错，但是人们访问网站后的第一印象肯定是“这个网站看起来很老旧、很过时”，甚至会给人一种这个项目已经停止维护的错觉。

此前，新网站的开发工作被 Linux Mint 20.2 的发布所打断，现在新网站的开发工作将会继续进行。

新网站将有一个新的外观，也将有一个自适应的布局，届时在任何设备上都能很好地运作，以现代方式展示信息，并将在显著位置放置大多数访问者在第一次浏览时期望找到的东西——下载链接。在更新网站之后，Linux Mint 还将对图标主题、GTK 主题、标题栏和 Linux Mint 桌面的总体外观进行改善。

当 Linux Mint 20.2 在 7 月发布之后，受到了社区和用户的一致好评，尤其是搜索功能和批量重命名功能。但 Linux Mint 不会止步于此，下一个版本的开发周期现在已经开启，并计划于 2021 年圣诞节期间推出 20.3 版本。

受到全球疫情的影响，Linux Mint 20.3 能否在圣诞节期间正式发布也很难进行保证。话虽如此，但按照此前 Linux Mint 公布的路线图来看，在准时准点完工方面还是相当可靠的。

谷歌呼吁企业将更多工程师投入到上游 Linux 和工具链

谷歌安全团队的长期内核开发人员 Kees Cook 发布了一篇博客，呼吁各组织尽快将更多的工程师投入到上游 Linux 内核中，以提高开源安全。“与其只从每次一个 bug 的角度出发，先发制人的行动可以阻止 bug 产生不良影响。鉴于 Linux 是用 C 语言编写的，它将继续有一长串的相关问题。Linux 必须被设计成采取积极主动的措施来抵御它自己的风险。”

博客内容指出，稳定的 Linux 内核版本每周都有近 100 个新的修复。面对如此高的变化率，供应商并不总是能够获得最新的修复，或者在某些情况下只是试图挑选"重要"的修复。

很明显，忽视所有修复是一个错误的"解决方案"，但这却是供应商非常普遍的立场；他们认为他们的设备只是一个物理产品，而不是一个必须定期更新的混合产品/服务。对此，除了承认需要更多的上游内核开发人员外；谷歌方面还鼓励供应商走上追逐最新的 Linux 稳定版或 LTS 版内核的路线，以便整合所有修复程序。

谷歌呼吁称，希望可以有更多的工程师能更早地修复错误、进行代码审查、从事测试和围绕内核的基础设施工作、以及从事安全和编译器工具链开发。

“根据我们最保守的估计，Linux 内核及其工具链目前至少有 100 名工程师投资不足，因此每个人都应该将他们的开发人员人才聚集到上游。这是唯一能以合理的长期成本确保安全平衡的解决方案。”

微软拟禁用 JavaScript JIT 来提高 Edge 安全性

Microsoft Edge 漏洞研究负责人 Johnathan Norman 透露，该团队正在 Edge 中试验一项新功能，拟禁用 JavaScript JIT 编译器以启用一些额外的安全保护。他们还给这项实验取了一个有趣且略带挑衅性的名字，为“Super Duper Secure Mode（SDSM）”。

Norman 称，JIT 编译是一个“非常复杂的过程，很少有人理解，而且误差很小”。然而虽然 JIT 能够改进浏览器的性能，但其同时也引入了一些漏洞，“性能和复杂性通常是有代价的，我们通常以安全漏洞和后续补丁的形式承担这种代价。”

2019 年之后的 CVE 数据表明，为 V8 发布的 CVE 中约有 45% 与 JIT 引擎相关。此外，攻击者也会武器化和滥用这些漏洞；Mozilla 的一项分析表明，超过一半的“野外”Chrome 漏洞利用了 JIT 漏洞。

Norman 指出，在简单的禁用 JIT 后，这种攻击面的减少有可能显著提高用户的安全性；它将消除大约一半的必须修复的 V8 漏洞。对于用户来说，这意味着更少的安全更新和更少的紧急补丁需要。同时，通过禁用 JIT，还可以启用两种缓解措施，并使利用任何渲染器进程组件中的安全漏洞变得更加困难。

“攻击面的减少消除了我们在漏洞利用中看到的一半漏洞，还使得每个剩余的漏洞都变得更加难以利用。换句话说，我们降低了用户的成本，但增加了攻击者的成本。”

性能影响方面，Norman 称，在测试禁用 JIT 的 Edge 时，用户很少会注意到日常浏览的差别；但在基准测试中，没有 JIT 的 Edge 性能则大幅下降了 58%。

目前，SDSM 禁用 JIT（TurboFan/Sparkplug）并启用 CET，但暂不与 WebAssembly 兼容。该团队计划在接下来的几个月里，慢慢地启用新的缓解措施并增加对 Web Assembly 的支持。用户现下可以在 Edge Canary、Dev 和 Beta 中的 edge://flags 下找到该功能。

Norman 还透露，其正计划将该功能引入 MacOS 和 Android。