npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频

npm存储库被滥用中国开发者上传《武林外传》等大量盗版视频谁需要YouTube？开发人员找到了自己的视频托管服务近来，npm、PyPI和GitHub等软件开发存储库的用户发现了一些独特的使用案例，这些案例在技术上偏离了这些平台设计的核心目的--存储软件工件。发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分，但今天被抓获并被实时从npm注册表中清除的748个软件包却包含视频文档，而且还有电视连续剧《武林外传》的盗版文档。这些软件包被追踪为sonatype-2024-0284，，每个软件包的大小大约为54.5MB，命名时使用了"wlwz"（武林外传）前缀，后面跟着一组数字，也许是为了表示下载和处理这些软件包的顺序，以重建其中包含的整个剧集。时间戳显示，这些软件包至少从2023年12月4日起就一直存在于npm注册表中，但GitHub本周开始将它们从npmjs.com注册表中移除。这些工件背后的npm用户名为wlwz，其前缀就包含在这些软件包的名称中。每个软件包中都有以".ts"扩展名结尾的视频片段，这表明这些片段是从DVD和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript混淆）。有些软件包（如"wlwz-2312"）在JSON文件中包含普通话字幕。这起事件与2022年的事件如出一辙，当时中国的开发人员被发现（滥用）GitHub和npm来存储成千上万本电子书，这可能是规避国家审查的一种手段。不过，这也完全有可能是滥用注册表来托管盗版材料。我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件，这些事件说明了用户（和攻击者）使用此类注册表的创新方式，以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。总之，不要把视频上传到开放源码软件注册中心：至少你肯定违反了他们的服务条款。...PC版：https://www.cnbeta.com.tw/articles/soft/1415071.htm手机版：https://m.cnbeta.com.tw/view/1415071.htm

这些中国开发者在GitHub和npm上存储了1000本电子书，其中包含《经济学人》等被禁网站的内容 | 详文

这些中国开发者在GitHub和npm上存储了1000本电子书，其中包含《经济学人》等被禁网站的内容上周，Socket的自动npm分析引擎在缺少许可证信息的列表中标记了一个名为“yingwen-lianmeng-erlingyiqilingjiu-erlingereryiling”的软件包。该软件包（'wizardforcel'）的发布了超过2900个相同的软件包。截至11月1日星期二，这一数字跃升至3387。仔细观察后，Socket的高级软件工程师MikolaLysenko注意到解压缩的npm包的大小为79MB，它包含一个EPUB（电子书）文件。这套1000多个npm包在内容方面非常多样化。其中一些包含流行开源框架的开发人员文档的中文翻译。其他是在某些司法管辖区可能受到审查的作品的电子书翻译。还有一些人似乎对他们的版权状况表示怀疑——回购所有者是否在不知情或故意的情况下从事盗版？几乎所有这些软件包都归功于“ApacheCN”，这是一个GitHub组织，声称自己是“由iBooker建立的非营利项目文档和教程翻译项目”。在其网站上，ApacheCN明确表示该组织“与[Apache软件基金会]没有任何关系！目前尚不清楚iBooker试图实现的目标。在据称寻求建立一个中国开放信息共享平台的过程中，贡献者可能已经跨越了国际版权法下的“合理使用”和在线盗版之间的界限。

美国政府将为开源开发者提供新的安全支持

美国政府将为开源开发者提供新的安全支持美国网络安全和基础设施安全局(CISA)将开始为开源软件开发人员提供更多实际支持，帮助他们更好地保护其项目。开源项目通常因为缺乏资金，而无法对项目进行良好维护，也缺乏资源应对信息安全威胁。CISA本周主办了一场为期两天、仅限受邀者参加的峰会，与会者包括开源软件社区的负责人。CISA将提供一种新的沟通渠道，开源软件开发人员可以用其共享威胁情报并在发生事件时向该机构请求帮助。包括Rust基金会，Python软件基金会，NPM,Composer,Maven等多个包管理工具提供者也宣布了新的工具和措施以帮助开源项目应对威胁。——

OpenAI将禁止中国开发者使用其AI工具和软件

OpenAI将禁止中国开发者使用其AI工具和软件OpenAI电邮通知位于中国的开发者，将从7月9日开始禁止其获取OpenAI的工具和软件。综合《证券时报》和彭博社报道，相关截图星期二（6月25日）在社交平台上流传，电邮显示，OpenAI向多个地点的开发者发送了通知。OpenAI称，从7月9日起，将阻止来自非支持国家和地区的API。受影响组织若希望继续使用OpenAI的服务，必须在支持的国家或地区内访问。包括获阿里巴巴和腾讯控股支持的智谱AI在内的中国本土企业已经发布通知，鼓励开发者改用自有产品。当前，美国政府正在施加越来越大的压力，遏制中国获取先进AI技术。虽然中国不在OpenAI正式支持的国家之列，但许多开发者通过VPN或其他渠道获取相关工具。2024年6月26日7:16AM

谷歌推出芯片开发网站，让芯片开发更像编写开源软件

谷歌推出芯片开发网站，让芯片开发更像编写开源软件谷歌硬件工具链团队推出一个新的开发者门户网站，即developers.google.com/silicon，以帮助开发者社区开始使用其开放MPW穿梭计划。这将允许任何人提交开源集成电路设计并得到免费制造的机会。自2020年11月，当SkywaterTechnologies宣布与谷歌合作，为SKY130工艺节点开源他们的工艺设计套件时，谷歌的硬件工具链团队就开始了使所有开发者都能构建开放式芯片（opensilicon）的旅程。能够获得一个开源和可制造的PDK，改变了定制芯片设计行业和学术界的现状。-设计师现在可以自由地开始他们的项目，不受NDA和使用限制的影响-研究人员能够让他们的研究被同行复制-开源EDA工具可以与制造过程深度整合——GoogleBlog，slashdot