Twitch 源代码和客户数据泄露

Twitch源代码和客户数据泄露数小时前，黑客公布了128GB的种子文件，泄露了亚马逊旗下游戏直播平台Twitch源代码和客户数据。源代码来自于大约6000个内部Git库，其comment历史可上溯到非常早期，移动、桌面和主机版本，私有的SDK和其内部使用的亚马逊AWS服务，代号为Vapor的未发布Steam竞争项目，2019年的主播的支付报告，等等。Twitch据报道已经知道了这次入侵事件，泄露的数据最早可能是在本周一获取到的。——solidotTwitch是美国的一家视频直播平台。注意下面的链接是黑客提供的https://sizeof.cat/post/twitch-leaks/

Cheerp 是一种开放源代码的C/C++ 编译器，它允许将几乎任何 C/C++ 代码编译为 WebAssembly 和 Jav

是一种开放源代码的C/C++编译器，它允许将几乎任何C/C++代码编译为WebAssembly和JavaScript。与Emscripten、Cheerp等Web应用程序的替代C/C++编译器相比，有以下优势：1.生成更优化（更小）的WebAssembly代码，但也可以编译为具有动态内存（垃圾收集输出）、零开销DOM操作和对​​WebAPI的访问以及卓越的C++-JavaScript互操作性的JavaScript输出。2.[[cheerp::genericjs]]允许通过（可选地）用和标记部分代码，将单个代码库编译成WebAssembly和JavaScript的组合[[cheerp::wasm]]。Cheerp的主要组件，即Cheerp编译器，可以在Github上找到：，而其他存储库在，和最近该项目发布了3.0这个大版本。同时把许可证从gpl换成了Apache2.0/LLVM许可，对商业使用更加友好。

克服量子的限制 研究人员找到一种控制电子自旋的新方法

克服量子的限制研究人员找到一种控制电子自旋的新方法罗切斯特大学的一个研究小组在物理学副教授约翰-尼科尔的领导下，在《自然-物理学》杂志上发表了一篇论文，概述了操纵硅量子点--微小的、纳米级的半导体，具有显著特性的电子自旋的新方法，作为操纵量子系统信息的一种方式。尼科尔说："这项研究的结果为基于半导体量子点中的电子自旋的量子比特的相干控制提供了一个有希望的新机制，这可能为开发一个实用的硅基量子计算机铺平道路。"罗切斯特大学的研究人员通过控制硅量子点中电子的自旋，开发了一种在量子系统中操纵信息的新方法。硅中的电子在其自旋（向上和向下箭头）和谷态（蓝色和红色轨道）之间经历了一种被称为自旋-谷态耦合的现象。当研究人员对硅中的电子施加电压（蓝色光芒）时，他们利用自旋-谷耦合效应，可以操纵自旋和谷态，控制电子自旋。资料来源：罗切斯特大学插图/MichaelOsadciw使用量子点作为量子比特一台普通计算机由数十亿个晶体管组成，称为比特。另一方面，量子计算机是基于量子比特，也被称为量子比特。与普通的晶体管不同，它可以是"0"（关闭）或"1"（打开），而量子比特受量子力学规律的支配，可以同时是"0"和"1"。科学家们早就考虑使用硅量子点作为量子比特；控制量子点中电子的自旋将提供一种操纵量子信息传输的方法。量子点中的每个电子都有内在的磁性，就像一个小小的条形磁铁。科学家把这称为"电子自旋"--与每个电子相关的磁矩--因为每个电子是一个带负电的粒子，其行为就像它在快速旋转一样，而正是这种有效的运动引起了磁性。电子自旋是在量子计算中传输、存储和处理信息的一个有希望的候选者，因为它提供了长的相干时间和高的门控保真度，并且与先进的半导体制造技术兼容。量子比特的相干时间是指量子信息因与噪声环境相互作用而丢失之前的时间；长相干时间意味着执行计算的时间更长。高的门控保真度意味着研究人员要进行的量子操作会完全按照他们的要求进行。然而，使用硅量子点作为量子比特的一个主要挑战是控制电子自旋。控制电子自旋控制电子自旋的标准方法是电子自旋共振（ESR），它涉及到对量子比特施加振荡的射频磁场。然而，这种方法有几个局限性，包括需要在低温环境下产生和精确控制振荡磁场，而大多数电子自旋量子比特是在低温环境下工作的。通常情况下，为了产生振荡磁场，研究人员通过电线发送电流，这就会产生热量，从而干扰低温环境。尼科尔和他的同事概述了一种控制硅量子点中电子自旋的新方法，该方法不依赖于振荡电磁场。该方法基于一种被称为"自旋-谷粒耦合"的现象，当硅量子点中的电子在不同的自旋和谷粒状态之间转换时，就会发生这种现象。电子的自旋态指的是它的磁性，而谷态指的是与电子的空间轮廓有关的另一种属性。研究人员应用一个电压脉冲来利用自旋-谷耦合效应，操纵自旋和谷态，控制电子自旋。"这种通过自旋-谷耦合进行相干控制的方法，可以实现对量子比特的普遍控制，并且可以在不需要振荡磁场的情况下进行，而振荡磁场是ESR的一个限制，"尼科尔说。"这使我们有了一条新的途径，可以使用硅量子点来操纵量子计算机中的信息。"...PC版：https://www.cnbeta.com.tw/articles/soft/1346405.htm手机版：https://m.cnbeta.com.tw/view/1346405.htm

［安全: 包含已知漏洞的开源代码被广泛使用］

［安全:包含已知漏洞的开源代码被广泛使用］企业在大量使用开源代码，但在使用开源代码时他们很少对其进行安全检查，一个不可避免的结果是他们的软件项目使用的开源组件包含了已知的漏洞。提供源码托管服务的Sonatype公司估计，80%到90%的企业代码实际上是由开源组件构成，是从公开代码库直接导入。Sonatype分析了3000家机构的超过2.5万企业应用，发现一家企业每年下载了5000个不同的开源组件。年代最悠久的组件有最高的几率包含安全漏洞。修正安全漏洞将需要耗费大量资金。http://www.sonatype.com/hubfs/SSC/2016_State_of_the_Software_Supply_Chain_Report.pdf

源代码审计和静态代码分析

源代码审计和静态代码分析Aura是一个静态分析框架，旨在应对PyPI上发布的恶意包和易受攻击的代码不断增加的威胁。Aura的架构基于一个强大的插件系统，您可以在其中自定义几乎所有内容，从一组数据分析器、传输协议到自定义输出格式。项目目标：*在上传到PyPI的包上提供一个自动监控系统，对可能表明正在进行的攻击或代码中的漏洞的异常发出警报*使组织能够对源代码进行自动安全审计并实施安全编码实践，重点是审计3rd方代码，例如python包依赖项*允许研究人员大规模扫描代码存储库、创建数据集并进行分析，以进一步推进易受攻击和恶意代码依赖项领域的研究功能列表：*适用于分析恶意软件，保证零代码执行*通过重写AST树的高级反混淆机制——持续传播、代码展开和其他肮脏的技巧*递归扫描自动解压zip、wheels等档案并扫描内容*还支持扫描非python文件——插件可以在“原始文件”模式下工作，例如内置的Yara集成*扫描硬编码机密、密码和其他敏感信息*自定义差异引擎-您可以比较不同数据源之间的变化，例如对PyPI包进行域名仿冒与所做的变化*适用于Python2.x和Python3.x源代码*高性能，旨在扫描整个PyPI存储库*以多种格式输出，例如纯文本、JSON、SQLite、SARIF等……*在超过4TB的压缩Python源代码上进行测试*Aura能够报告代码行为，例如网络通信、文件访问或系统命令执行*计算“光环分数”，告诉您源代码/输入数据的可信度*还有更多……#框架

Yandex 称前雇员泄露源代码

Yandex称前雇员泄露源代码俄罗斯科技巨头Yandex的源代码库被以Torrent磁链的方式在一黑客论坛上泄露。泄露者声称源代码是在2022年7月窃取到的，文件总容量44.7GB。该源码库包含了Yandex几乎所有产品的源代码，其中包括搜索引擎和索引爬虫，地图、AI助手、邮件、云盘、云服务和支付服务，等等。Yandex在一份声明中表示，它没有遭到黑客入侵，源代码库是一位前雇员泄露的。来源，来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot