Linspire 10 发布，自称“第一发行版”

Linspire 的前身是 20 多年前知名的 Lindows 发行版。去年底发布 Linspire 10 Beta 版时，声称 Linspire 是“新用户、中级用户和高级用户的第一发行版”。其正式版于近日发布，在发布公告中该团队骄傲地宣称该团队“努力开发出了市场上最好、最精心的设计和工程化的 FOSS 桌面”。该版本基于 Ubuntu 20.04 LTS，使用 Linux 5.8 内核、定制的 GNOME 3.38 桌面，Chrome 88，以及微软 PowerShell 7 和 DVD/蓝光解码能力。

但是，要注意的是，这是一款商业版的 Linux 发行版，其单个许可证的起价为 29.99 美元，而企业无限授权模式下，起价则高达 2500 美元。

敢于宣称自己是 No. 1，还这么贵，我觉得没点底气是不行的，或许该试试。

研究人员利用开源软件依赖攻击入侵 35 家科技公司

安全研究人员注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包，他想知道如果他创建一个同名的公开的 npm 包，那么软件在构建时是优先使用私有的还是公开的版本？为了进行测试，他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目，结果这些项目自动下传到了公司的内部应用程序中。作为道德黑客测试，他上传的冒牌项目明确地解释了软件包“不包含任何有用的代码，只是用于安全研究目的”。

该攻击利用了开源生态系统的一个独特设计缺陷，被称为“依赖性混淆”。他发现，公开的软件包会比私有的软件包优先度更高；某些情况下版本更高的软件包优先度更高，无论私有还是公开。利用这一方法，他成功地入侵了 35 家知名科技公司，包括微软、苹果、特斯拉、PayPal、Shopify、Netflix、Yelp、和 Uber 等，获得了超过 13 万美元的漏洞报告奖励。

这种攻击很可能会迅速针对使用开源软件构建内部软件的公司展开，而且，就目前而言，现有的开源软件依赖模式并没有直接的防范方法。如果你的公司也存在类似情况，请尽快采取缓解措施。

Gmail iOS 应用已有 2 个月未更新，开始弹安全警告

虽然谷歌已经承诺更新其应用程序套件的应用程序隐私标签，以遵守苹果在 12 月开始执行的 App Store 规则，但它的许多主要应用程序已经几个月没有更新。iOS 版 Gmail 自 12 月 1 日以来就没有更新过。当用户在其上登录一个新的账户时，它会给出了一个应该更新的警告，并建议你只有在“了解风险的情况下”才继续登录。

目前仍不清楚谷歌为什么要花这么长时间为其 iOS 应用添加应用隐私标签，Gmail 何时能获得更新也没有消息。但谷歌一直在定期更新其 Android 应用，Android Gmail 应用的最后一次更新是在 2 月 9 日发布的。

看来，谷歌对如何遵守苹果的隐私政策，心有疑虑啊；难道是谷歌的应用实在是要的隐私太多了，不好意思公开说明吗？