2019 年最重要的事件

2019 年最重要和最引人注目的事件的最终选择：

• 理查德·斯托曼 剩下 пост президента Фонда СПО.
• IBM公司 吸收 红色的帽子。
• 标准化 WebAssembly. 提升 WebAssembly как платформы для универсального применения. 瓦西 для использования WebAssembly вне браузера. 二进制AST для ускорения загрузки JavaScript.
• IBM, Google, Microsoft и Intel 形成 альянс для развития открытых технологий защиты данных.
• W3C 和 WHATWG 组织 已同意 развивать общие спецификации HTML и DOM.
• 回报 к вопросу поддержки нескольких систем инициализации в Debian и 保持 общего голосования о системах инициализации в Debian.
• 微软 опубликовала общедоступные спецификации и предоставила возможность безвозмездного использования патентов на exFAT в Linux. Компания Paragon Software 开了 код своего драйвера exFAT.
• 蟒蛇 и 火狐 перешли на новые циклы формирования выпусков.
• Внедрение поддержки DNS-over-HTTPS в 火狐 и 铬 (ассоциация провайдеров 挺身而出 против DoH).
• Поддержка HTTP/3 в 铬 и 火狐, 训练 модуля с поддержкой HTTP/3 для nginx.
• Переход Chrome и Firefox к пометке страниц, открытых по HTTP, индикатором небезопасного соединения.
• Firefox: 这件事 с отключением всех дополнений Firefox из-за истечения срока сертификата Mozilla. Включение по умолчанию блокировки трекеров в Firefox. Разработка нового мобильного браузера Firefox预览版.
  Возобновление работы по интеграции поддержки Tor в Firefox. 完成 работа по удалению из Firefox компонентов на языке XBL (XML Binding Language), переделаны многие встроенные интерфейсы (просмотр сертификатов, адресная строка, about:config и т.п.). 推出 сервис Firefox Send. Сворачивание программы Test Pilot и сервиса Firefox Screenshots.
  失败 Mozilla от реализации некоторых ограничений из нового манифеста Chrome.

• Chrome: 提升 третьей редакции манифеста, несовместимой с uBlock Origin. 包容 блокировщика неприемлемой рекламы. 断开 Flash. Прекаращение отображения «https://» и «www.» в адресной строке. 提升 SXG и AMP для отдачи верифицированных копий web-страниц с других сайтов. 强化 изоляции между сайтами. 增韧 правил размещения дополнений в Chrome Web Store.
• TLS: Mozilla, Cloudflare и Facebook 提供 TLS-расширение для делегирования короткоживущих сертификатов. Разработанный проектом Let’s Encrypt протокол ACME 已批准 в качестве интернет-стандарта.
• KDE и Mozilla的 перешли на Matrix для общения разработчиков. GTK вместо почтовых рассылок 越过 на платформу Discourse.
• 硬件： 开盘 микроархитектуры MIPS R6 (MIPS Open). Компания IBM 开了 архитектуру процессоров Power. Компания Western Digital открыла RISC-V процессор WD SweRV. Intel 发展 открытую прошивку ModernFW. Google 发展 OpenTitan, платформу для создания заслуживающих доверия чипов. Google, SiFive и WD 成立 альянс для продвижения открытых чипов и SoC.
• 专利： Патентный 官司 против GNOME Foundation. 倡议 по защите открытого ПО от патентых троллей. 尝试 成型 патентного пула для сбора отчислений за использование кодеков AV1 и VP9.
• Судебные разбирательства: Возобновление разбирательства между Google и Oracle, связанного с Java и Android. 诉讼 против Adblock Plus. 胜利 VMware в деле о нарушении GPL. Rambler 说 свои права на Nginx.
• Конфликты: Systemd в Debian 保持 без мэйнтейнера. 终止 разработки dstat. 切除 Gem-пакета в знак протеста. 关闭 доступа к PPA-репозиториям Jonathon F. 通话 не менять темы оформления GTK в дистрибутивах. Мэйнтейнеры проектов GNU 做了 против единоличного лидерства Столлмана.
• Лицензии: СУБД CockroachDB 越过 на несвободную лицензию. Oracle 改变了 лицензию на сборки Java SE. Компания Redis Labs 翻译的 модули с Commons Clause на собственную несвободную лицензию. Используемая проектом MongoDB лицензия SSPL 公认的 недопустимой в Fedora Linux. Лицензия на CUPS изменена с GPLv2 и LGPLv2 на Apache 2.0. Chef 是 полностью открытым проектом.
• Новые форки: 一瞥 — форк GIMP, 格拉伯 — форк Zabbix, 不是qmail — форк qmail.
• Сетевая инфраструктура: RIPE 单挑出来 последний свободный блок IPv4. Инициативы 2019 年 DNS 卖旗日 上 прекращению поддержки проблемных реализаций DNS и 2020 年 DNS 卖旗日 для решения проблем с IP-фрагментацией при обработке DNS-сообщений большого размера.
  Facebook 已经打开 платформу для быстрого развёртывания LTE-сетей. Утечка BGP-маршрутов 带领 к массовому нарушению связности в интернете.

• Открытые инициативы Microsoft: 系统 распределения памяти mimalloc, подсистема WSL2 с 修改的 ядром Linux, 统一 платформы .NET 5 с поддержкой Linux и Android, 量子开发套件 для разработки квантовых алгоритмов, стандартная библиотека С++, платформа .NET 核心 3.0 с WinUI и Windows Forms. Microsoft 我加入 к разработке OpenJDK. Браузер Microsoft Edge 将 поддерживать Linux.
• 机器学习： ple для разделения музыки и голоса.
  Mozilla的 发展 систему машинного перевода. Microsoft 已经打开 библиотеку машинного обучения SPTAG. 合成 анимации с помощью нейросетей. Выпуск 张量流 2.0. 代码搜索网 для поиска и анализа кода. NVIDIA SPADE (GauGAN) для синтеза пейзажей по наброскам. 风格 для генерации лиц.

• Открыт код проектов: Google открыл 沙盒 для формирования sandbox-окружений, 集群模糊 для выявления ошибок и 铁线蕨 для быстрого шифрования накопителей. Cloudflare 发表 распределённый генератор случайных чисел. Netflix 已经打开 код интерактивной среды вычислений Polynote. Intel 发表 библиотеку для шумоподавления и фильтрации изображений.
  Facebook 已经打开 код JavaScript-движка Hermes. BMW открыл 系统 распределённой отрисовки RAMSES. Amazon 准备 открытую редакцию Elasticsearch. 空投 — открытая реализация Apple AirDrop. 是开放的 код промышленной CRM/BPM/ERP системы BGERP. АНБ 发表 инструментарий для обратного инжиниринга Ghidra. Криптографическая библиотека 永远的密码.

• Языки программирования: Perl 6 重命名 в Raku. Новые языки V, Flow9,
  P++ (диалект PHP со строгой типизацией).

  尼姆1.0. GCC 9. Python的3.8. LLVM 8/9. Java SE 12/13. 雅加达EE。 走 1.12/1.13
  PHP 7.4的.Perl的5.30.

• Системные компоненты: systemd 241, 242, 243, 244. 系统宿主 для управления переносимыми домашними каталогами. Glibc 2.29/2.30.
• Виртуализация и контейнеры: Гипервизор NVMM от проекта NetBSD. Гипервизоры Intel Cloud Hypervisor и Amazon Firecracker, написанные на Rust. 分配 ClonOS для развёртывания инфраструктуры виртуальных серверов на базе FreeBSD. В состав ядра Linux 5.3 включён гипервизор ACRN. 赫米·特克斯（HermiTux） — unikernel, бинарно совместимый с Linux.
• BSD： Разделения базовой системы FreeBSD на пакеты. 笔译 FreeBSD на «ZFS on Linux». 切除 GCC из основного состава FreeBSD. FreeBSD 12.1. Новые дистрибутивы 狂怒BSD и SecBSD. Hyperbola 改造 в форк OpenBSD. OpenBSD的6.5/6.6. 编队 обновлений пакетов для стабильной ветки OpenBSD. Git-совместимая система контроля версий Got от OpenBSD.

  蜻蜓 BSD 5.6.

• Дистрибутивы: 红帽企业Linux 8.0 (8.1). Debian 10的. Fedora 30/31. Ubuntu的19.04/19.10.

  Непрерывно обновляемая редакция CentOS流. Проект ELISA по разработке Linux-окружения для высоконадёжных систем. Trident 越过 с BSD-системы TrueOS на Void Linux. 关闭 проекта Russian Fedora. Разработка Scientific Linux 8 卷起来 в пользу CentOS.
  Развитие Fedora Atomic Host 已停产 支持该项目 Fedora 核心操作系统. 终止 поддержки 32-разрядных систем x86 в Ubuntu.

• Мобильные платформы: webOS开源版2, 安卓10, LineageOS 16, 边缘X 1.0.
  第一 партия смартфона Librem 5 и подготовка смартфона PinePhone. 合并 открытого проекта Mer и проприетарной ОС Sailfish. Платформа Mozilla WebThings.

• 数据库管理系统： PostgreSQL 12, 玛丽亚数据库10.4. 是开放的 код СУБД VictoriaMetrics. 炽烈的SQL, использующий GPU для ускорения. Dqlite, распределённый вариант SQLite.
• Пользовательские окружения и графика: GTK+ 重命名 в GTK. Xfce 4.14, 桌面环境 5.15/5.16/5.17, GNOME 3.32/3.34. LXQT 0.14. MATE 1.22.

  韦兰1.17, 韦斯顿 7.0.
  红帽 打算 прекратить развитие сервера X.Org. Новый компилятор шейдеров для GPU AMD от компании Valve. AMD 已经打开 фреймворк Caudron для быстрого создания прототипов 3D-приложений. 搅拌机2.80. 桌面版 для использования GNOME и KDE в шлемах виртуальной реальности.

• Кодеки: Intel 已经打开 кодировщик видео AV1, оптимизированный для перекодирования на лету. Xiph и Mozilla 发展 rav1e, кодировщик AV1 на языке Rust.
  谷歌 已经打开 libgav1, декодировщик для формата AV1. VideoLAN и FFmpeg 发展 AV1-декодировщик dav1d.

• Расширение возможностей ядра Linux: 5.0, 5.1, 5.2, 5.3, 5.4.
  训练 драйвера USB 4.0, 发展 фреймворка для написания защищённых драйверов на языке Rust и 采用 в экспериментальную ветку VPN WireGuard. Перенос подсистем для Android (项目 по задействованию в Android штатного (без внесения изменений) ядра Linux).

  Основные изменения в ядре: механизм шифрования файловых систем 铁线蕨, файловая система BinderFS, обработчики блокировок seccomp в пространстве пользователя, 模式 работы ext4 без учёта регистра символов,

  интерфейс асинхронного ввода/вывода io_uring, возможность использования NVDIMM в качестве ОЗУ, поддержка масштабируемого мониторинга очень больших ФС через fanotify, возможность настройки уровней сжатия Zstd в Btrfs, новый обработчик cpuidle TEO, реализация системных вызовов для решения проблемы 2038 года, возможность загрузки с устройств device-mapper без initramfs, LSM-модуль SafeSetID, поддержка комбинированных live-патчей,

  драйверы для GPU Mali 4xx/ 6xx/7xx, device-mapper модуль dm-dust, поддержка Sound Open Firmware для DSP, оптимизация производительности BFQ, подсистема PSI (Pressure Stall Information),

  поддержка технологии управления энергопотреблением Intel Speed Select, системный вызов pidfd_open, возможность использования IPv4-адресов из подсети 0.0.0.0/8, возможность аппаратного ускорения nftables, поддержка HDR в подсистеме DRM, интеграция гипервизора ACRN,

  экспериментальный драйвер exFAT, режим «锁定» для ограничения доступа пользователя root к ядру, механизм fs-verity для контроля целостности файлов, возможность использования CIFS для корневого раздела, контроллер ввода/вывода iocost, ФС EROFS, модуль dm-clone для репликации внешних устройств, ФС virtiofs для экспорта каталогов в гостевые системы, поддержка GPU AMD Navi 12/14, AMD Arcturus, AMD Renoir, Intel Tiger Lake и Zhaoxi.

• 黑客： 矩阵, https://www.opennet.ru/opennews/art.shtml?num=50673 Picreel и Alpaca Forms, 堆栈溢出, 苍白的月亮, Momnero, HackerOne, Webmin的, 美国航空航天局, вандализм на сайте Столлмана.
• Вредоносная активность в репозиториях и каталогах:
  Взлом Docker Hub. 破坏 PHP-репозитория PEAR и модификация пакетного менеджера.
  Вредоносные дополнения в каталоге Mozilla, Google Play.
  攻击 вредоносных шифровальщиков Git-репозиториев в сервисах GitHub, GitLab и Bitbucket. 破坏 репозиториев Canonical на GitHub. 73 репозитория с бэкдорами на GitHub.
  Внедрение вредоносного кода в Ruby-пакет Strong_password, NPM-пакет bb-建设者, зависимость к npm-пакету 纯脚本, Python-библиотеки в PyPI, Ruby-библиотеки bootstrap-sass и 休息客户端, Android应用程序 для работы с камерой.

• Криптовалюты: Блочейн-платформа TON (Telegram Open Network) и 悬念 размещения криптовалюты Telegram. Критическая уязвимость в Ethereum. 漏洞 в Zcash, позволявшая генерировать новые средства. 破坏 сайта криптовалюты Мonero. Двойная трата средств в Ethereum Classic.
• Методы атак:
  • 攻击 по определению состояния памяти процессов при помощи страничного кэша.
  • 技术 обхода DRM-защиты Widevine L3.
  • Атака KNOB, позволяющая перехватить зашифрованный трафик Bluetooth.
  • 攻击 на микрофоны систем голосового управления при помощи лазера.
  • 攻击 с использованием вредоносных устройств с интерфейсом Thunderbolt.
  • 发展 атак, связанных с захватом контроля над DNS.
  • 攻击 на различные реализации TLS.
  • 攻击 на сеть серверов криптографических ключей OpenPGP.
  • 机会 вклиниваться в TCP-соединения, осуществляемые через VPN-туннели.
  • 攻击 на системы фронтэнд-бэкенд, позволяющая вклиниться в сторонние запросы
  • 攻击 拒绝服务, позволяющая сделать недоступными страницы, отдаваемые через CDN.
  • 密涅瓦 — техника восстановления ключей ECDSA.
  • 网络猫 — удалённое определение клавиш, нажимаемых в сеансе SSH.
  • 拒绝服务攻击 для снижения производительности сети Tor;
  • 更高效 метод определения коллизий для SHA-1.
• Уязвимости в процессорах. Проблемы с чипами Intel: MDS, SPOILER, Zombieload 2, Plundervolt. Intel и AMD: 交换. AMD:
  超微SEV.

• Уязвимости в прошивках, протоколах и изолированных чипах: BMC-контроллеры, WiFi-прошивки Marvell Avastar, TPM 失败, HSM-модули, Qualcomm TrustZone, 英特尔SGX, WPA3 и EAP-pwd (1, 2), WiFi-чипы Broadcom, 质量保证 (Qualcomm Wi-Fi)
• Уязвимости: Локальные root-уязвимости в ядре Linux (SCTP, AF_ALG, USB, i915, v4l2, 马维尔, 开发者). Удалённые DoS-уязвимости в ядре Linux (RDS, UDP, 无线网络）和 FreeBSD的. Packet-of-death в Linux и FreeBSD.
  四 критические 弱点 в почтовом 服务器 Exim, которые 带领 к массовым атакам.

  Удалённые уязвимости в PHP-FPM, WordPress, WhatsApp, SQLite的 (+ 攻击 через WebSQL в Chrome), OpenSSL的, NPM, 混帐, 不作承诺, нескончаемый поток уязвимостей в Ghostscript, 鸽舍, KDE, 普罗夫特, 乌贼, Magento, SDL, 图形Magick, Vim的, MyBB的, PharStream包装器 (Drupal, Joomla и Typo3), APT, 吃豆子, Drupal的, LibreOffice и OpenOffice, SCP.

  Опасные локальные уязвимости в runc и LXC (Docker), 系统日志, 搜搜 и libc中 в OpenBSD, Xen的,
  虚拟主机网, QEMU, 码头工人, snap и flatpak, snapd.

За год на OpenNET было опубликовано 1687 новостей (790 основных, 897 мини), на которые было оставлено 148862 комментариев.

来源： opennet.ru