HashiCorp CEO 称硅谷将不会再有开源公司

之前，我们报道过，HashiCorp 将其 Terraform 等产品从开源的 MPL 许可证改为 MariaDB 的 BSL 许可证，新的许可仅限于 “非生产使用”。尽管开源的拥护者抨击了 HashiCorp 的许可证转换，并成立了 OpenTF 基金会，但 HashiCorp CEO 戴夫·麦克简内特Dave McJannet 却用 “太好了” 来形容其最大客户的反应，他声称很多反馈都是“我们希望你们早点这么做”。他还补充说，他们宣布之前已经与主要云计算厂商进行了讨论，“在过去的三四年里，每一个达到一定规模的厂商都得出了同样的结论。”他认为，历史上的开源基金会模式已经被打破，因为它们被传统供应商所主导。“它们是大公司保护自己不受创新影响的一种方式，”一旦某个项目流行起来，“克隆厂商就会开始抢占这些东西”。他批评了 Linux 基金会接纳 OpenTF 基金会的做法，“这对开源创新来说是个悲剧。……那样硅谷就不会再有开源公司了。”

消息来源：The Stack

老王点评：我想说，这就是得了开源的利，而砸开源的锅。一开始开源得到了社区贡献和支持，壮大后就嫌弃黄脸婆了。但是，公平的说，为什么会有大量的项目会在壮大后抛弃开源？是开源模式无法持续，还是新的形势下，开源模式也需要新的进化呢？

攻击者在 Binance 区块链上托管恶意软件

通常，被攻击者入侵的网站会向访问者分发恶意软件，而这些恶意软件在被发现后会被清除。但安全专家发现，攻击者开始通过将恶意文件托管在去中心化的、匿名的区块链上，使这些恶意软件不被安全专家或执法部门清除。攻击者在 Binance 智能链（BSC）上创建一个新的智能合约，包括一个由攻击者控制的区块链地址，以及一组定义合约功能和结构的指令。当被攻击的网站查询该合约时，它会返回一个被混淆的恶意有效载荷。由于区块链的可公开访问性和不可更改性，这些恶意代码无法被清除，攻击者从而获得一种免费的、无跟踪、稳健的方式来下载恶意有效载荷，而且不会留下痕迹。

消息来源：Krebs on Security

老王点评：我是真没想到区块链被用在这个用途上，还好 BSC 不够去中心化，尚有一定手段可以缓解，但是这反而有点让人哭笑不得。

KeePass 被攻击者用国际化域名编码钓鱼

安全公司警告，攻击者正通过谷歌广告引诱用户访问开源密码管理器 KeePass 的钓鱼网站。攻击者使用国际化域名编码（Punycode）注册了 KeePass 的钓鱼网站 ķeepass[.]info，它和 KeePass 官方域名在视觉上的差异非常小，无疑会让很多人上当。

消息来源：Malware Bytes

老王点评：国际化域名用的很少，但带来的麻烦却很多。不过，这种钓鱼手段应该可以被浏览器很好的防御。