下一代 Windows 界面曝光；Spring Native 0.10.0 發佈 | 思否週刊

時間 2021-06-20

標籤算法網頁爬蟲瀏覽器安全服務器微信網絡架構 maven ide 欄目 Windows 简体版

原文原文鏈接

40s 新聞速遞

字節跳動首披公司財務狀況：2020 年收入 2366 億元，經營虧損 147 億元
淘寶 12 億條用戶數據泄露,包括用戶 ID 及電話號碼
macOS Monterey 移除了自帶的 PHP
下一代 Windows 界面曝光：新的開始菜單和任務欄、圓角設計
華爲、OPPO、vivo、小米牽頭制定快充協議統一技術
蘋果新款 Apple Watch 開發圖曝光，將含血糖傳感器
英偉達收購 Arm 交易沒法如期完成，歐洲監管部門延遲審批
iPhone 13 首發！曝蘋果下發大量 A15 訂單：加強版 5nm 工藝打造
華爲 Mate 50 最新消息曝光：P50 以後登場
GitHub 披露 Linux 漏洞詳情，已影響衆多 Linux 發行版
Google Chrome v91.0.4472.114 正式版發佈
Spring Native 0.10.0 發佈
OpenSSL 3.0 Beta1 發佈，變動開源許可證爲 Apache 2.0
Linux 5.14 內核主線預計可與 Raspberry Pi 400 兼容

行業資訊

字節跳動首披公司財務狀況：2020 年收入 2366 億元，經營虧損 147 億元

據字節跳動一分內部材料顯示，字節跳動公司 2020 年實際收入達 2366 億元，同比增加 111%，經營虧損達 147 億元。截至 2020 年末，字節跳動旗下產品全球月活躍用戶數達到 19 億，覆蓋全球超過 150 個國家和地區，支持超過35種語言。目前，字節跳動在亞洲、美洲、歐洲等 30 多個國家設有辦事處，全球正式員工數有 11 萬人。算法

淘寶 12 億條用戶數據泄露,包括用戶 ID 及電話號碼

近日，河南省商丘市睢陽區人民法院公佈的刑事判決書顯示，逯某和黎某兩男子經過本身開發的爬蟲軟件，對淘寶實施了長達八個月的數據爬取，而在阿里發現這一問題前，他們已經獲取了近 12 億條用戶消息。網頁爬蟲

法院裁定，逯某和黎某均犯侵犯公民我的信息罪，判處徒刑 3 年以上，共處罰金 45 萬元，違法所得上繳國庫。瀏覽器

而據《華爾街日報》援引一位阿里巴巴發言人迴應稱，該公司主動發現並處理了這起事件，正與執法部門合做保護用戶。但該發言人並未明確說明具體有多少用戶受到影響，只表示沒有用戶信息被賣給第三方，也沒有產生經濟方面的損失。安全

但這一說法與判決書內容並不相符。服務器

做案者逯某受僱於黎某，從 2019 年 11 月開始，在淘寶網站上使用本身設計的網頁爬蟲軟件收集用戶 ID、手機號碼和用戶評論等內容，並將其中淘寶客戶的手機號碼提供給黎某開設的瀏陽市泰創網絡科技有限公司用於經營活動，而自 2019 年 8 月份至 2020 年 7 月份，該公司非法獲利 395 萬元。微信

判決書還顯示，瀏陽市泰創網絡科技有限公司主要業務爲 " 淘寶客 "，主要是在微信羣進行淘寶商品推廣，從而得到淘寶網佣金和商家服務費，證人王某證言稱，其公司社羣組組員建好各自的微信羣后將羣二維碼提供給老闆黎某，而後就有人自動進羣。網絡

做爲國內最大的購物平臺之一，淘寶積累了海量用戶隱私和消費數據。據阿里巴巴最新公佈的 2021 財年第四季度財報，其中國零售市場的移動月活用戶達 9.25 億。2021 財年，阿里巴巴全球活躍消費者達 10 億。架構

上海謀樂網絡科技有限公司聯合創始人 &CTO 張雪松表示，在本次淘寶用戶信息泄露事件中，阿里有技術能力可作到數據防泄漏。他推測，形成 12 億條信息泄露，可能來自淘寶內部接口設計缺陷，以及違法使用 IP 池手段規避了淘寶的反查。maven

在本次事件中，犯罪嫌疑人爬取的是淘寶的數據，但實際受害的確是用戶。對於用戶隱私的維護，張雪松認爲，阿里能夠在接口設置上增強管控手段，尤爲是手機號等隱私信息。ide

針對 IP 代理模式，張雪松認爲阿里也徹底有能力去建構風險庫，將風險 IP 設爲威脅特徵庫，加入到防控和風控體系內。此外，阿里還可適當引入第三方安全公司合做機制，對於海量數據進行更全面的核查，這樣會完善安全機制。

macOS Monterey 移除了自帶的 PHP

近日，有用戶在 Apple 開發者社區提問 macOS 12 彷佛缺乏了 PHP，負責開發者工具的工程師回覆稱：「macOS Monterey 已移除 PHP。」

有人表示理解蘋果的決定，由於系統自帶的 PHP 版本幾乎都是過期的版本，缺乏有用的擴展。對於任何使用 PHP 的人來講，如今有更簡單的方法能夠同時安裝和管理多個版本（brew、Docker 等），而無需處理過期和衝突的版本。

也有用戶認爲這是一個巨大的倒退，由於 macOS 的一大優勢是內置 Apache，其中包括 PHP，他認爲蘋果須要從新考慮這一點。

下一代 Windows 界面曝光：新的開始菜單和任務欄、圓角設計

據外媒 The Verge 的報道，自百度貼吧出現 Windows 11 的首個屏幕截圖後，微軟即將推出的下一代操做系統（或被命名爲 Windows 11）的鏡像已出如今網絡上。

從被曝光的截圖能夠看到，新系統的任務欄在視覺方面進行了比較大的改造，例如將圖標居中、清理托盤區域、使用新的「開始」按鈕等。

固然，若是不但願將應用程序圖標和開始菜單居中，能夠選擇將它們所有移回左側。此外，開始菜單相比 Windows 10 也簡化了很多，例如取消了動態磁貼，總體看上去更簡潔、更精緻。

從截圖中還能夠看到一個重要的變化，那就是新系統全局使用了圓角設計，例如右鍵菜單、開始菜單、文件資源管理器等各類窗口和界面。

其餘的一些變化：

Windows 小部件

新的 snap 控件

新的 Microsoft Store

華爲、OPPO、vivo、小米牽頭制定快充協議統一技術

據電信終端產業協會發布，5 月 28 日，電信終端產業協會發布融合快充標準《移動終端融合快速充電技術規範》。爲解決產業痛點，綠色能源工做組（WG10）積極開展工做，中國信通院、華爲、OPPO、vivo、小米牽頭髮起《移動終端融合快速充電技術規範》，獲得了榮耀、矽力傑、瑞芯微、立輝科技、昂寶電子、電酷網絡等多家終端、芯片企業和產業界夥伴的大力支持。標準開發過程當中，華爲、OPPO、vivo、小米等頭部廠家打破固有技術思惟定式，以快充兼容性爲目的，牽頭制定面向移動終端快速充電的統一技術制式，適配產業生態的長期發展需求。

蘋果新款Apple Watch開發圖曝光，將含血糖傳感器

6 月 15 日消息，知情人士週一透露，蘋果正在開發新款 Apple Watch 和健康功能，涵蓋顯示和速度升級、極限運動版以及體溫和血糖傳感器等。

據悉，蘋果計劃今年更新 Apple Watch 產品線，推出代號可能爲「Apple Watch Series 7」的新設備。這款產品的處理器運行速度更快，並配置改進的無線鏈接和升級的顯示屏。此外，蘋果還計劃在明年對 Apple Watch 主要產品進行更新，並推出新款低端 Apple Watch SE 和針對極限運動運動員的新版本。

該消息還稱，蘋果本來的目標是在今年的型號中安裝體溫傳感器，但如今更有可能在 2022 年的更新中推出。此外，幫助糖尿病患者監測血糖水平的血糖傳感器，還不太可能在將來幾年內準備好商業化發佈。

對於今年的新款 Apple Watch，蘋果已測試了更薄的顯示屏邊框和使顯示屏更靠近前蓋的層壓技術。新款 Apple Watch 總體可能會稍微厚一點，但不會引發用戶的注意。新款 Apple Watch 將包括更新的超寬帶功能，與蘋果 AirTag 項目查找器中的底層技術相同。本月初舉行的全球開發者大會上，蘋果展現了即將推出的 watchOS 8 軟件更新，該更新將使該設備可以解鎖門和酒店房間。

蘋果內部將極限運動款式描述爲「探險家」或「冒險」版本。該產品一直處於開發之中，原計劃最快於今年發佈。不過從目前的狀況看，極限運動版 Apple Watch 更可能會在 2022 年上市。這種新版本的設備將有助於蘋果與加明和卡西歐等廠商競爭。知情人士稱，蘋果的計劃仍不肯定，可能會變更。截至目前，蘋果發言人對此報道未予置評。

英偉達收購 Arm 交易沒法如期完成，歐洲監管部門延遲審批

因爲監管部門將審查時間延遲到夏季休假以後，英偉達對 ARM 的收購交易將沒法在明年3月份以前完成。

英偉達在2020年9月份競購 Arm 時稱，但願將英偉達的 AI 技術與 Arm 的完整生態體系結合起來，爲客戶提供最佳的技術服務。同時英偉達將爲 Arm 的全部客戶提供新技術，幫助 Arm 生態系統在 AI 時代繼續發展，在與英特爾X86架構的競爭中取得優點，而不是隻有高通等少數巨頭公司才能使用 Arm 的新技術。

三位知情人士稱，歐盟委員會提出的問題比英偉達預想的要多。有報道稱，反壟斷機構已經告訴英偉達，若是他們不在本月底前提交文件，他們就要等到 9 月份，因歐洲工做人員夏季休假。該交易的潛在延遲可能會使其超出 2022 年 3 月預期完成收購的時間。有報道稱，若是英偉達收購失敗，高通將願意投資 ARM。

iPhone 13 首發！曝蘋果下發大量 A15 訂單：加強版 5nm 工藝打造

據 DigiTimes 最新消息，知名芯片製造商近期收到了蘋果下發的大量芯片訂單，該訂單中包括今年還沒有亮相的 A15 芯片。據悉，目前臺積電已經全面啓動了 A15 芯片的量產計劃，該芯片將採用 N5P 工藝打造，也就是第二代 5nm，製程層面的性能進一步增長，功耗進一步下降，性能相比 A14 至少有 20% 提高，同時還能提升 30% 的效率。

得益於此，即將在今年 9 月亮相的 iPhone 13 不只性能上會再次提高，在 5G、功耗方面也將獲得平衡，這將令當前 5G iPhone 續航體驗飽受吐槽的狀況有所改善。

值得一提的是，除了芯片功耗方面的改進以外，iPhone 13 全系還將帶來更大的電池容量。

據此前報道，近段時間 iPhone 13 全新已經經過國內 3C 認證，其中顯示 iPhone 13 Pro Max 是 4352mAh，比 12 Pro Max 的 3687mAh 多出近 700mAh，iPhone 13 是 3095mAh，iPhone 13 mini 是 2406mAh。

這就意味着，iPhone 13 全系都將會帶來更好的續航體驗，用戶沒必要在 5G 和續航之間相互取捨了。

除此以外，iPhone 13 全新今年還將升級爲小劉海屏幕，這是蘋果四年來首次帶來正面外觀上的改變，屏佔比獲得有效提高，預計會帶來無數消費者的追捧。

屏幕方面，這四款機型的尺寸依然爲 5.四、6.一、6.7 英寸，可是 Pro 版的兩款機型終於迎來傳說中的高刷屏，最高支持到 120Hz 規格，而且將引入 LTPO 面板，可支持 1-120Hz 的自適應刷新率調節，能夠更加省電。

價格方面，最便宜的機型依然是 iPhone 13 mini，64GB 版本售價僅爲 700 美圓，約合 4473 元人民幣，頂配機型 iPhone 13 Pro Max 的價格達到 1600 美圓，約合 10224 元人民幣。

華爲 Mate 50 最新消息曝光：P50 以後登場

因爲衆所周知的緣由，華爲本來應該在今年三、4 月就登場的 P50 系列旗艦至今未能發佈，至於本來應在下半年發佈的 Mate 50 系列更是傳來「停更」的消息。有國內媒體近日報道稱，華爲今年將不會發布 Mate 系列旗艦手機新品，這也是華爲自 2013 年推出 Mate 系列手機以來首次「斷更」。

不過，根據爆料人士最新消息，華爲 Mate 系列不會停更，雖然目前來看十分困難，可是華爲依然會想一切辦法繼續延續迭代，即使今年不能登場，也會在明年發佈新一代機型。

目前來講，華爲的重心依然會放在 P50 系列上。

據近期多方消息，華爲內部如今已經肯定了 P50 系列的發佈時間，將會在9月以前正式登場，但目前具體的發佈日期還還沒有透露出來。

在前不久的鴻蒙發佈會上，華爲官方已經公佈了 P50 系列的宣傳視頻，這也證實了華爲已經準備好了這款全新旗艦。

從官方公佈的外觀視頻來看，華爲 P50 系列的背部設計與此前多方爆料基本一致，後攝將採用雙圓環的設計，其中根據規格將配備不一樣的攝像頭模組。

值得一提的是，消息稱華爲 P50 將全系標配索尼獨家定製 IMX800 傳感器，擁有接近 1 英寸的超大底，這也是索尼有史以來最大底的傳感器，能帶來更增強勁的成像效果。

最新技術資訊

GitHub 披露 Linux 漏洞詳情，已影響衆多 Linux 發行版

本週，GitHub 披露了一個容易被利用的 Linux 漏洞的細節，該漏洞可被用來將目標系統的用戶權限提高爲 root 權限。

該漏洞被歸類爲高風險性，並被標記爲 CVE-2021-3560，影響到許多 Linux 發行版中默認存在的受權服務 polkit。

這個安全漏洞是由 GitHub 安全實驗室的 Kevin Backhouse 發現的。該研究人員發表了一篇博客文章，詳細介紹了他的發現，以及一段展現該漏洞的視頻。

本地、無權限的攻擊者只需在終端執行幾個命令，就能夠利用該漏洞將權限提高到 root。該漏洞目前已被證明影響到紅帽企業版 Linux、Fedora、Debian 和 Ubuntu 的一些版本。CVE-2021-3560 的補丁已於 6 月 3 日發佈。

Backhouse 表示："我發現的這個漏洞是至關古老的，它是七年前在提交 bfa5036 中引入的，並首次隨 polkit 0.113 版本一同出現。"

受攻擊的組件 polkit，是一個系統服務，旨在控制整個系統的權限，爲非特權進程提供一個與特權進程通訊的方式。Backhouse 在博客中將其描述爲一個扮演法官角色的服務，改服務決定由用戶發起的行動 —— 特別是須要更高權限的行動 —— 是能夠直接執行仍是須要額外的受權，如輸入密碼。

Google Chrome v91.0.4472.114 正式版發佈

Google 瀏覽器 v91 正式版主要更新，得益於全新的 Sparkplug 編譯器和 short builtins 調用機制，瀏覽器速度最高有 23% 的提，全新的 Sparkplug 編譯器被設計用於執行和優化 JavaScript 代碼之間的空白，以得到最大的性能。

此外，Google 還在使用「內置調用」來優化瀏覽器使用生成代碼的過程，以減小調用函數時的跳轉。支持桌面應用程序對剪貼板進行只讀訪問，該功能將容許用戶使用剪貼板鍵盤快捷鍵，如 Ctrl+C和Ctrl+V，將文件附加到電子郵件中，而不是僅僅依靠拖放方法。

Google 瀏覽器 v90 正式版主要更新，引入了許多以用戶爲中心的功能改進，輔以安全性方面的進一步提高。默認向目標網站連接均啓用 SSL 安全傳輸協議(HTTPS)，全新 AV1 開源視頻編碼器的技術支持，高清視頻佔用大幅減少。新增窗口重命名功能，可重命名已打開的多個窗口，可記住窗口的配置，遇到崩潰重啓會自動恢復狀態。還有 WebXR 深度 API、啓用了 URL 協議設置程序、效果疊加層、以及安全性方面的諸多改進，好比爲了防範緩解 NAT Slipstream 2.0 攻擊，而屏蔽封鎖了經過 554 端口的 HTTP/HTTPS/FTP 服務器訪問。

Google 瀏覽器 v89 正式版主要更新，修復了一個零日漏洞，建議用戶儘快更新。優化了對 WebHID、WebNFC 和 Web Serial 等適用於 HID 設備 API 的支持，此外 NFC 和串行設備也被認爲能夠投入生產使用。還初步爲 WebRTC 添加了對 AV1 編碼的支持。此外桌面端還帶來了 Web Share 和 Web Share Target 支持以及其餘加強功能。

Spring Native 0.10.0 發佈

Spring Native 0.10.0 已發佈，此版本基於 Spring Boot 2.5 和 GraalVM 21.1，主要帶來了如下新功能：

引入原生測試 (native testing)
新增來自 GraalVM 團隊的新官方 Gradle 插件
引入可用於類的 AOT(ahead-of-time) 代理

此外還包括 43 個錯誤修復、文檔改進和依賴項升級這些變化。

原生測試和 Gradle 插件

Spring Native 開發團隊稱一直在與 GraalVM 團隊合做，以將原生鏡像在構建插件方面提高到一個新的水平。如今，新的原生構建工具取代了前者native-image-maven-plugin，並支持使用本地編譯器native-image構建和測試原生應用程序。

之前僅提供 Maven 支持，如今提供了 Maven 和 Gradle 插件。若是你正在升級，新的 Maven 插件座標爲 org.graalvm.buildtools:native-maven-plugin:0.9.0，配置好原生構建工具插件後，開發者不只能夠經過 mvn -Pnative -DskipTests package 或 gradle nativeBuild 構建本身的應用程序，還可使用 mvn -Pnative test 或 gradle nativeTest 將 JUnit 5 測試做爲原生鏡像運行。

對此，Spring Native 自己已升級以添加初始測試支持，所以 @SpringBootTest 會做爲原生鏡像運行。這是原生 Spring Boot 應用程序的一個重要里程碑，也是 JVM 生態的一個重要里程碑，包括 Spring 自己，如今可使用官方插件來提高原生支持的質量和可維護性。

可用於類的 AOT(ahead-of-time) 代理

對於原生鏡像，須要在構建時定義代理。到目前爲止，Spring Native 只支持只能在接口上使用的 JDK 代理，不支持在 JVM 上經過 CGLIB 代理處理的用於類的代理，由於原生世界不支持在運行時生成字節碼。

// Typical security use case of a class proxy now supported on native
@Service
public class GreetingService {

    public String hello() {
        return "Hello!";
    }

    @PreAuthorize("hasRole('ADMIN')")
    public String adminHello() {
        return "Goodbye!";
    }
}

但從 0.10 開始，如今能夠在構建時經過 @AotProxyHint 註釋生成用於類的代理。請注意前者 @ProxyHint 已被重命名爲 @JdkProxyHint，以免混淆。

此功能容許在類上實現支持安全性、事務和普遍的其餘基於代理的機制。

OpenSSL 3.0 Beta1 發佈，變動開源許可證爲 Apache 2.0

OpenSSL 3.0 發佈了首個 Beta 版本，開發團隊表示他們將其視做 RC 版本，所以鼓勵全部 OpenSSL 用戶針對這個測試版進行構建和測試，並提供反饋。

據介紹，在過去的幾個月裏，開發團隊爲 OpenSSL 3.0 的最終發佈作了許多工做。他們表示整個 OpenSSL 3.0 的開發工做量是巨大的，自從開始 3.0 以來，已經有 300 多個不一樣的貢獻者提交了 7000 多個 commit。

下面介紹一下 OpenSSL 3.0 的主要新功能和變化。

採用新的開源許可證。OpenSSL 3.0 將在標準和普遍使用的 Apache License 2.0 下發布，而不是在 1.1.1 及以前版本使用的自定義「雙重」許可證：OpenSSL 和 SSLeay License（二者均被使用）
採用新的版本控制方案
採用基於"Provider"的架構，它取代了舊的"engine"接口，可提供更大的靈活性，以及方便第三方做者將新加密算法添加到 OpenSSL
增長一個新的 Provider，將按照 FIPS 140-2 標準進行驗證
徹底「可插拔」的 TLSv1.3 組，使第三方做者可以經過 Provider 添加新的 TLS 密鑰交換/封裝組
增長新的編碼器和解碼器支持
完整的證書管理協議 (CMP) 實現
新增用於處理 MAC（消息身份驗證代碼）、KDF（密鑰派生函數）和隨機數 (EVP_RAND) 的新 API
對內核 TLS 的集成支持

OpenSSL 3.0 是一個重要的大版本更新，且該工具庫的 ABI 發生了變化，使用者須要從新編譯全部依賴的應用程序，此外還有一些細小的 API 破壞性變化。

OpenSSL 3.0 Beta1 下載地址：

https://www.openssl.org/source/

Linux 5.14 內核主線預計可與 Raspberry Pi 400 兼容

從 Linux 5.14 開始，Raspberry Pi 400 或將能夠與主線內核完美兼容。

Raspberry Pi 400 是樹莓派基金會於 2020 年 11 月發佈的一款別具一格的新品單板計算機；其外觀看起來就是一塊小鍵盤，開發板集成在鍵盤內部。官方表示其性能比 Raspberry Pi 4 還要略高。

Raspberry Pi 400 其實是將 Raspberry Pi 4 SBC 嵌入到鍵盤中，並整合到一個大鋁塊上。買家花費 100 美圓購買 Raspberry Pi 400 能夠獲得內置 Raspberry Pi 的鍵盤，它提供 4GB 內存、1.8GHz 四核 Broadcom 處理器、16GB 存儲空間和相關的外圍設備。這意味着買家將可以擁有一臺能夠徹底工做的電腦，且除了一臺顯示器外不須要配備任何額外的東西。

而主線內核支持的到來則將使得 Raspberry Pi 400 更具吸引力。日前排入 SoC/SoC "for-next"分支的補丁就是爲 Raspberry Pi 400 增長的 DeviceTree。因爲它基本上與 Raspberry Pi 4 很是接近，因此不須要改變內核驅動；但因爲 1.8GHz 的時鐘頻率、不一樣的 WiFi 芯片、經過 GPIO 處理斷電以及 400 型號上沒有 ACT LED，因此須要更新 DTS 配置。

正如 Phoronix 所述，歸功於如今排在 Linux 5.14 內核以前的 SoC 的下一個 Git 分支中開發人員的努力，Raspberry Pi 400 的支持現狀還算良好。不過有點遺憾的是，這個相對簡單的附加功能仍是花了較長的時間才準備好進入主線。