黑客正在暗网上出售超过 85000 个 MySQL 数据库，550 美金一个

黑客正在暗网上出售超过 85000 个 MySQL 数据库，550 美金一个

在过去的一年里，黑客一直在入侵 MySQL 数据库，下载数据表，删除原库，并留下赎金说明，告诉服务器所有者联系攻击者以取回他们的数据。如果数据库所有者在 9 天内没有回应并赎回他们的数据，那么这些数据库就会被放在一个暗网上拍卖，价格仅为每个数据库 550 美元。这说明数据库入侵和勒索/拍卖网页都是自动的，攻击者并没有分析被黑客入侵的数据库中可能包含较多的个人或财务信息的数据。

来源：slashdot

拍一拍：要想斩断这种攻击和勒索行为，破除地下市场是根本。

开源贡献者在安全问题上花费的时间不到 3%，而且几乎没有增加这一比例的愿望

据 TechRepublic 报道，Linux 基金会对自由和开源软件社区进行的一项新调查表明，贡献者在安全问题上花费的时间不到 3%，而且几乎没有增加这一比例的愿望。

一位受访者评论说，他们“觉得安全这项事业是一件令人魂牵梦绕的苦差事，是一个最好留给律师和流程狂人的课题”，而另一位受访者则表示，“我发现安全是一个令人难以忍受的无聊的程序障碍”。

同样有趣的是：金钱“在开发人员为开源项目做出贡献的动机中得分很低，渴望在同行中得到认可也是如此……相反，开发人员表示，他们纯粹是对找到他们正在研究的开源项目的功能、修复和解决方案感兴趣。其他最主要的动机包括享受和希望回馈他们使用的 FOSS 项目。”

来源：techrepublic

拍一拍：显然需要为 FOSS 的安全投入更多的精力，但这个负担不应该只落在贡献者身上。开发人员一般不想成为安全审计人员，他们希望收到审计结果......

谷歌计划为开源项目计算“关键度”分数

长期以来，开源软件一直饱受“公地悲剧”问题的困扰。大多数组织，无论大小，每天都在利用开源软件来构建现代产品，但许多开源软件项目却在为它们所需的时间、资源和关注而苦恼。

因此，为了解决这个问题，并帮助那些需要资金的项目提供资金，作为 OpenSSF 项目的一部分，谷歌发布了关键度评分项目。该项目会给开源软件项目一个关键性分数（一个介于 0 和 1 之间的数字），这个分数是由各种项目使用指标得出的，比如一个项目的年龄、参与的个人贡献者和组织的数量、用户参与度（以新议题请求和更新为例），以及使用提交提法对其依赖性的粗略估计。

谷歌也希望社区参与进来完善这个评估模型。

来源：thenewstack

拍一拍：很有意义的一个评估，这对于挽救开源软件的基础组成部分很有帮助。