山巅周刊第94期:软件供应链

周刊 2022-02-06 952 次浏览 次点赞

山巅周刊,定期分享科技、商业、医学及人文资讯,每周日发布。欢迎投稿或推荐线索。

大家好!今天是2022农历春节公共假期的最后一天。祝您在新的一年里更多新的收获!


封面主题:软件供应链


什么是软件供应链

软件供应链(Software Supply Chain)类似于其他活动或行业。一些资源被消耗,然后通过一系列步骤和过程进行转化,最后作为产品或服务提供给客户。

SupplyChain-03.webp

在软件中,原材料是通用库、代码、硬件和将代码转换为最终可交付成果的工具。此可交付成果可以部署为面向用户的应用程序、服务(从相同的供应链循环开始)或作为依赖项包含的另一个包工件(不同产品的一部分)。

安全的软件供应链》关注最常见的软件供应链攻击(Software supply chain attacks)有两种形式,一是起一个跟依赖库或域名很容易混淆的名字,二是向依赖库注入恶意代码。

2024年9月,黎巴嫩真主党骨干们使用的传呼机和对讲机发生大规模爆炸,如果是近来批量采用的随身通讯设备被置入了炸药,那么这是一种少有针对硬件的供应链攻击。

“互联网着火了”

Log4Shell是流行的Java日志记录框架Log4j中的零日漏洞,涉及任意代码执行。该漏洞自2013年以来一直不为人知,由阿里云安全团队的Chen Zhaojun于2021年11月24日私下向Apache软件基金会提交,并于2021年12月9日公开。

Log4Shell 漏洞的核心:它利用 Log4j 这个日志记录员看似不起眼、实则功能和权限都不少的模块,通过诱使其对外连接攻击者控制的服务器,达到收集隐私信息、执行恶意代码的目的。

有记录的利用 Log4Shell 漏洞发起的攻击开始于 12 月 9 日,最初是针对微软的 Minecraft 游戏 Java 版。但人们很快发现 Log4Shell 的波及范围远不止于此。根据 GitHub 仓库 YfryTchsGD/Log4jAttackSurface 中的攻击案例截图,Apple iCloud、QQ 邮箱、Steam 商店、Twitter、百度搜索等一系列国内外主流服务或平台均存在该漏洞。

2022年 1 月 13 日,白宫召开开源软件安全峰会,本次讨论主要集中在三个主题:防止代码和开源包中的安全缺陷和漏洞,改进发现缺陷和修复的过程,以及缩短发布和实施修复程序的响应时间。

“结束游戏”

开源库作者Marak Squires在2022 年 1 月 5日主动删除了faker.js项目仓库(包括npm和GitHub)的所有代码,并于8日向colors.js项目提交了死循环的恶意代码,让正在使用这两个开源项目的近千万开发者直接崩溃,使用这两个项目开发的工具包括 Amazon 云开发工具包(aws-cdk)等近 2 万个项目。

4755a830bc07469.jpeg

148632459-55f818b0-1ee4-4ddf-b53a-defe656c1d81.png

Node.js是基于Chrome JavaScript运行时建立的一个平台,npm 是Node.js 官方提供的包管理工具,已经成了Node.js 包的标准发布平台,colors.js 是一个用于处理颜色的 Java 库,而 faker.js 是一个用于生成假数据的 Java 库,它们在npm上的每周下载量分别为2000多万及200多万次。

Squires 声称原因是抗议财富 500 强(及其它小企业)使用他的代码,却不付钱支持。

“妖魔鬼怪”

So-called modern web developers are the culprits》是一篇充满愤怒的博客,直指所谓“现代 Web 开发”,都是些什么妖魔鬼怪?——塞入了过多臃肿且毫无必要的 JavaScript 搭建网站;不适用的服务器框架(如 Rails 和 Django);低效前端框架(Laravel、Symfony、Codelgniter 或者 Yii);更多不必要的元素还包括 JSON、字体、广告、CDN、统计脚本和社交媒体;以及不应该被用于 Web 开发的编程语言(如 Ruby 和 Python)。

实际上,这些“妖魔鬼怪”除了带来无意义的消耗,的确还有软件供应链方面的安全隐患。


人物:瑞·达利欧


瑞·达利欧(Ray Dalio)是美国亿万富翁投资者和对冲基金经理,自 1985 年起担任 Bridgewater Associates(桥水)的联席首席投资官,桥水在2005年成为世界规模最大的对冲基金。

2018_Forum.jpg

12岁的达利欧在林克斯高尔夫球场打工并受到那些雇主(包括包括华尔街老将George Leib)的耳濡目染下开始把赚来的钱拿来炒股,并先后就读于长岛大学和哈佛大学,并取得金融学本科学位和工商管理硕士学位。毕业后进入纽约证券交易所,从事期货交易。达利欧发明了改变行业的投资方法,其中包括风险平价(Risk parity)、货币叠加(Currency overlay)和可携阿尔法(Portable alpha)等策略和全球通胀指数债券(Global inflation-indexed bonds)管理。

1975 年,达利欧在他位于纽约市的两居室公寓中创立了一家投资公司桥水。四十多年后,根据《财富》杂志的报道,桥水已成长为美国第五大最重要的私营公司,而达利欧本人也入选了《时代》杂志的全球 100 位最具影响力人物名单。

20-200543_ray-dalio-principles-life-and-work-hd-png.png

在此过程中,达利欧发现了一系列独特的原则,这些原则导致了桥水异常有效的文化,他将其描述为“一种通过彻底的透明度努力实现有意义的工作和有意义的关系的精英管理理念。”这个公司管理理念框架详见达利欧关于投资和企业管理理念的著作《原则:生活与工作》(Principles: Life & Work,2017年),这本书被称为“激进透明的福音”,强调其决策过程的透明度和公开性。

我能够成功的唯一途径将是:

1.找到与我观点不同的最聪明的人,以便自己能够努力理解他们的推理。
2.知道自己在什么时候不能有明确的意见,不急于下结论。
3.逐步归纳永恒和普适的原则,对其进行测试,将其系统化。
4.通过平衡风险来保持较大的回报,并降低下行波动。

——《原则》第一部分 我的历程 - 3 我的低谷(1979—1982年)- 找到一种方法,克服我顽固难治的投资问题

maxresdefault.jpg

principles.com网站还提供8集《原则》视频,总计30分钟,用以快速了解决作者的做事方法和原则。

达利欧的其他作品:《经济机器如何运作》(How the Economic Machine Works,2007年)、《应对大债务危机的原则》(Principles for Navigating Big Debt Crises,2018年)和《不断变化的世界秩序》(The Changing World Order,2021年)。

桥水最初是一家财富咨询公司,主要领域是货币和利率,包括发布付费订阅研究报告《每日观察》分析全球市场趋势,该报告启发了麦当劳公司及其主要供应商在 1980 年代初成为客户。桥水帮助雷恩加工利用一种谷物期货和豆粕期货的组合锁定成本,并向麦当劳提出一个鸡肉的固定报价,以降低麦当劳采购鸡肉的价格风险,进而推出新产品麦乐鸡。

桥水随后发展为资产管理公司,1987 年,该公司的第一个账户是世界银行的前首席投资官 Hilda Ochoa-Brillembourg,为其 500 万美元资金提供固定收益投资。截至 2021 年 3 月,它管理的资产约为 1400 亿美元,为包括养老基金、捐赠基金、基金会、外国政府和中央银行等机构客户提供服务。

达利欧的投资理念是将市场洞察力转化为算法,策略主要集中在货币和固定收益市场,这与沃伦·巴菲特(Warren Buffett)、彼得·林奇(Peter Lynch)等投资者购买公司的股票形成鲜明对比。达利欧对算法的热衷,他称为“设计机器化的市场模型”,起源于在惠普HP–67计算器上做回归分析。随着计算机飞速增长的处理能力,达利欧将其视为“诸神不断赐予我们的一件件宝物”。在投资决策上,“计算机比我的大脑有效多了,而且计算机做起来更精确、更快、更不易受情绪干扰”。

达利欧被 AICIO 杂志(aiCIO Magazine)和连线杂志(Wired Magazine)称为“投资界的史蒂夫·乔布斯”。在2022年1月8日发布的彭博亿万富翁指数(Bloomberg Billionaires Index)中,达利欧排名122位,净值157亿美元。

2017年,两位联席 CEO 大卫·麦考米克(David McCormick)和艾琳.默里(Eileen Murray)从达利欧手中接下桥水的指挥棒。2022年伊始,改由尼尔·巴迪(Nir Bar Dea)和马克·贝托里尼(Mark Bertolini)担任联席CEO,而桥水日常运营由一个运营董事会(operating board of directors)掌舵,这一董事会由公司高管、独立董事、职工代表董事等组成,达利欧占据一席。当然,除了联席首席投资官,达利欧也是桥水控股公司桥水联合控股(Bridgewater Associates Holdings )的董事长。


科技:协作机器人


协作机器人(Cobot or Collaborative Robot)是一种机器人,是指在一个共享空间内,或在人类和机器人接近的地方,与人直接互动的机器人。Cobot的应用与传统的工业机器人应用形成对比,在后者中,机器人与人的接触是隔离的。

1082px-Db_tuda_jes2899_a.jpg

2003 年,Esben Ostergaard 在南丹麦大学进行一个有关寻找液压执行结构替代方案的课题研究,但他和合作伙伴找遍了市面上所有已存的机器人,也无法找到能够满足灵活、易用且使用时无需防护的产品。

既然找不到合适的,Esben Ostergaard 萌生了自己创办机器人公司的念头。

2005 年,他和另外两个合伙人一起创办了 Universal Robots(优傲机器人),并在 2008 年终于研发出第一台协作机械臂 UR5,成为协作机械臂的先驱。

ur3_web_1.jpg

同一年,另一家协作机械臂的先驱公司 Rethink Robotics 成立,2011 年 Retink 也推出了自己的协作机械臂 Baxter(不过 Rethink Robotics 在 2018 年关门了)。

baxter-sawyer-copy.jpeg

自此,协作机械臂的概念开始慢慢为机器人行业所接受,国外一大批新创立的协作机械臂公司涌现,就连传统的四大巨头(ABB、FANUC、KUKA、YASKAWA),也逐渐开始布局协作机械臂业务。

ABB-YuMi-696x464.jpg
ABB YuMi

FANUC-CR-4IA.png
FANUC CR 4IA

KUKA-LBR-IIWA-7-R800.jpg
KUKA LBR IIWA 7 R800

MOTOMAN-YASKAWA-HC10.jpg
YASKAWA MOTOMAN HC10

myCobot 由国内 Elephant Robotics 和 M5Stack 联合出品,是世界最小最轻的六轴协作机器人,是生产力工具也是想象力边界的拓展工具。

EoSIKBKUcAI5MIz.jpg

只是和 YASKAWA MOTOMAN HC10 实在太像了,不过拿来逗猫还是蛮好玩的。


观点:极少成功的新医学成果


美国医学杂志(Am J Med.)2003 年 4 月 15 日刊发论文《Translation of highly promising basic science research into clinical applications》(doi: 10.1016/s0002-9343(03)00013-5.),评估将极具前景的基础研究转化为临床实验和使用的预测因素和所需时间。结论是即使是最有希望的基础研究成果转化为临床实验也需要很长时间,临床实践中采用的情况更少。

20220127145610.png

根据统计,1979年至1983年间,顶级科学期刊有101项研究,声称发现了很有前途的新疗法或新药物。但是十年以后,其中只有五个发现能够做成产品上市。到了二十年以后的2003年,只剩下一种药物(ACE 抑制剂)被广泛使用。

2017 年,美国新闻网站Vox的高级健康记者 Julia Belluz 翻出了这篇论文,认为大多数医学研究都是错误的,而且我们对医学炒作上瘾。所以,您不应该相信新闻报道里面那些令人兴奋的新医学成果,它们成功的机会其实很小。

甚至,某些医学故事都是谎言。

2022年1月3日,因宣称可实现“滴血查癌”技术而吸引了大量投资的血液检测公司Theranos创始人伊丽莎白·霍姆斯(Elizabeth Anne Holmes)欺诈罪名成立。这家成立于2003年的血检公司曾号称可以通过采集指尖的数滴血来快速检测一个人是否患有癌症、糖尿病等疾病,被认为“掀起了一场疾病诊断的革命”。

Theranos从风险资本家和私人投资者那里筹集了7亿多美元,在2013年和2014年的高峰期,其估值达到100亿美元。许多具有影响力的人曾支持霍姆斯,如媒体大亨鲁伯特·默多克,三任前国务卿亨利·基辛格、乔治·舒尔茨、希拉里·克林顿,并被评为《时代杂志》2015年最具影响力人物之一。


资源:Patreon


Patreon-2.jpg

Patreon 通过为艺术创作者(如作家、播客、音乐家、视觉艺术家、视频创作者等)提供获取、管理和激励付费顾客所需的工具,为创作者的会员业务提供支持。

Skillshare

6a9cb1f4-60d3-4a50-b8dd-9f9465da304a.png

eeb52471-9599-4d17-992f-8410124382b6.png

Skillshare 是一个在线学习社区,为有创意和好奇的人提供数千个课程,主题包括插图、设计、摄影、视频、自由职业等等。

基于浏览器的操作系统

Chrome OS 是 Google 设计基于Linux内核的操作系统,并使用 Google Chrome 浏览器作为其主要用户界面,兼容 Android 应用程序和 Linux 应用程序,应用程序和用户数据都位于云端。

1638981394.jpg

Chrome OS 只与硬件捆绑销售,但能透过 Neverware 所发布的 CloudReady(2015 年)来在 Windows 电脑及 Mac 上实现类似 Chrome OS 的操作系统,实际是 Chromium OS 的轻量发行版。Neverware 将 CloudReady 推销为一种重复使用旧计算机(尤其是在学校)的方法,从而减少电子垃圾。2020年,Neverware 被谷歌收购。

CloudReady.png

从 Chromebook 的硬件列表发现,最便宜的在售 Chromebook 定价 200 美元起,而 Plus Chromebook 为 400 美元起,Premium Chromebook 为 600 美元起。那么,是否有兴趣从认证型号列表中挑选一台中古设备定制自己的 CloudReady 笔记本?

ubuntuweb.jpg

Ubuntu Web 是另一个类似于 ChromeOS 的操作系统,基于 Firefox 浏览器,没有谷歌服务,但可以运行 Android 应用。有趣的是,项目主页使用 HTML5 UP 的 Dimension 响应式模板。

👍
感谢您的支持,我会持续给您山巅.一寺.一壶酒的独特视角!

「圆周率文化是个人站点,重点分享科技、商业、医学及人文资讯。

「圆周率文化得到中国汽车绞盘网的支持,深表感谢。中国汽车绞盘网业务始创于2001年,为越野车、清障车、消防车、军用车、特种车及工程应用等拖曳、救援场景提供手动绞盘、电动绞盘、液压绞盘和技术支持。