0、阿里云泄露企業(yè)托管代碼？
據(jù)鉛筆道報(bào)道，上海一家科技公司的后端工程師，歷時(shí)半年，義務(wù)“為阿里云查 Bug”。他發(fā)現(xiàn)，阿里云代碼托管平臺(tái)的項(xiàng)目權(quán)限設(shè)置得有歧義，用戶在上傳代碼時(shí)，可設(shè)置 private、internal 和 public。
很多開發(fā)者以為選擇“internal”，就是安全的，于是選了此選項(xiàng)。但是正因?yàn)榇?a href="http://www.cxgb.com.cn/info_336.html" target="_blank" class="linktxt">薩哈林禮品網(wǎng)，已有包含萬科、咪咕音樂、51信用卡等40家企業(yè)在內(nèi)的200多個(gè)項(xiàng)目代碼被泄露了。
目前，阿里云官方微博已作出回應(yīng)，其表示：

阿里云泄露代碼

對(duì)此，開發(fā)者的反應(yīng)各有不一，有人認(rèn)為 Internal 一詞在國(guó)內(nèi)更多被翻譯為內(nèi)部，國(guó)外則更多理解為平臺(tái)公開，國(guó)內(nèi)外對(duì)于同一詞匯的理解存在誤差，阿里云應(yīng)該給出更加具體的說明

阿里云泄露代碼

對(duì)于被提到的幾家代碼公開的企業(yè)天津筑美，部分已經(jīng)第一時(shí)間將狀態(tài)更改為 Private，目前該平臺(tái)已經(jīng)給出醒目告警。正常狀態(tài)下，項(xiàng)目默認(rèn)為私有搜狐新聞，手動(dòng)更改請(qǐng)慎重選擇。
對(duì)此，你對(duì)"Internal“一詞作何理解？你認(rèn)為這個(gè)鍋應(yīng)該誰背呢？
1、Drupal 曝出代碼執(zhí)行高危漏洞
Drupal 開源內(nèi)容管理系統(tǒng)曝出了一個(gè)允許黑客遠(yuǎn)程執(zhí)行代碼的高危漏洞，影響數(shù)以百萬計(jì)的網(wǎng)站，如果不及時(shí)打補(bǔ)丁，這些使用 Drupal 的網(wǎng)站將面臨被劫持的風(fēng)險(xiǎn)。漏洞編號(hào) CVE-2019-6340，根源在于未能充分驗(yàn)證用戶輸入。
2、Eclipse Jetty 9.4.15 發(fā)布，建議使用 JDK 12
Eclipse Jetty 9.4.15 發(fā)布了，此版本包含大量的 bug 修復(fù)和改進(jìn)，要點(diǎn)：
Java 11 有一個(gè)有問題的 TLS 實(shí)現(xiàn)。目前 Jetty 團(tuán)隊(duì)建議使用 JDK 12，直到 JDK 12 中的修補(bǔ)程序被反向移植到 Java 11 TLS。
Jetty 錯(cuò)誤地使用 HTTPS 端口向 HTTP 客戶端返回錯(cuò)誤。
......（詳情：https://www.eclipse.org/lists/jetty-announce/msg00129.html）
3、Android Pie 引入 Keystore 新特性，安全防護(hù)再升級(jí)
Android Keystore 為應(yīng)用開發(fā)者們提供了許多加密工具來保護(hù)用戶數(shù)據(jù)。到了 Android Pie 之后，Keystore 也相應(yīng)加入了一些新功能。在這篇文章中，我們會(huì)詳細(xì)介紹其中的兩項(xiàng)新功能: 其一是通過限制密鑰的使用來達(dá)到保護(hù)敏感信息的目的；其二則是能夠在簡(jiǎn)化安全密鑰使用的同時(shí)，防止應(yīng)用和操作系統(tǒng)訪問密鑰資料。
4、Spring Tools 4.1.2 發(fā)布
Spring Tools 4 for Eclipse, Visual Studio Code 和 Atom 的 4.1.2 版本發(fā)布，值得關(guān)注的更新內(nèi)容有：
(Spring Boot) 新特性：實(shí)時(shí)懸停信息的 @Value 注釋 (#177)
(Spring Boot) 新特性：xml 配置文件中的 bean 符號(hào)現(xiàn)在包含確切的位置信息。
(Spring Boot) 修復(fù)：cf 上再次運(yùn)行的應(yīng)用可以在實(shí)時(shí)懸停中導(dǎo)航到資源。
......（詳情：https://spring.io/tools/）
5、Google 研究人員稱光靠軟件不能完全避開 Spectre 漏洞
Google 研究人員警告，除非對(duì) CPU 設(shè)計(jì)進(jìn)行大幅的修改，否則很難在未來避開 Spectre 漏洞。Google Chrome V8 JavaScript 引擎團(tuán)隊(duì)開發(fā)者在預(yù)印本網(wǎng)站 ArXiv 發(fā)表論文，報(bào)告了他們的發(fā)現(xiàn)。研究人員指出，光靠軟件不能完全避開 Spectre 漏洞。
，