开源不易安全慎行，中国软件如何走向文明？丨rte技术环境月报202205

关键词：

各位开发者小伙伴：

这里是 2022 年第 5 期的 RTE《技术环境月报》——致力于成为对大家“有用”的 Highlight 看板——每月初通过 RTC 开发者社区（https://rtcdeveloper.agora.io/）和声网微信服务号（AgoraIO）发布， 恳请大伙儿多转发、多反馈。由于文中内容包含较多信源超链接、建议大家前往 RTC 开发者社区或使用我们的邮件订阅服务，喜欢用邮件的小伙伴请点击阅读原文进行订阅。

对于任何反馈（包括但不限于内容上、形式上） 我们不胜感激、并有小惊喜回馈，例如你希望从“技术环境月报”中看到哪些内容；自己推荐的信源、话题、会议等；或者列举几个你喜欢看、平时常看的内容渠道；内容排版或呈现形式上有哪些可以改进的地方等。我们欢迎更多的小伙伴参与“月刊”内容的共创，感兴趣的朋友请通过开发者论坛或微信服务号联系，记得报暗号“共创”。

感谢 Tina 对本期内容的贡献。

月刊中的点评仅代表个人，如有不同观点，欢迎大家各种留言跟帖讨论。希望此后的日子里，《技术环境月报》能与各位如期相见、偶尔启发。以下为月报正文：

00 本月好文推荐： 《中国软件，从繁荣走向文明**》

这篇文章点出了中国软件行业的一些现状：比如中国企业管理者对软件价值链的无知和短视、过于结果导向；中国软件开发者的工程能力下降，即使是基于二次开发也难保开发效率和质量，缺乏工匠精神。同时，本文还有一个独到之处，就是提出企业和个人也需要关注“个体责任”和“家庭责任”。中国的传统教育通常是要求“超过别人家的孩子“，要比别人过得好，反而都极其忽视个人和家庭感受，最终是“为别人眼中的自己而活”。

这篇对中国软件的评价，跟前段时间的《是什么造成了中国软件产业的悲剧》有异曲同工之感，都从企业和开发者角度指出了一些问题，如中国软件行业缺乏核心竞争力，销售导向，“魔改”开源软件等等。作者认为中国“没有真正意义上的软件巨头型企业，大量基础软件被外国垄断”。虽然现状不是一朝一夕能改变的，但是庆幸有人能开始指出问题所在。

站在“脱钩”的大背景下，我们应该有筚路蓝缕的眼光和魄力，从基础软件的问题和现状中发现机遇，发挥自身的优势、在下一个浪潮中实现自我的价值。

01 【音视频】从编解码器到架构再到场景，创新无处不在

• 在过去的一年里，H.264、VP9、HEVC、AV1、VVC、LCEVC 和 EVC 等视频编解码器的一些重要变化及其现状的汇总和介绍。

• FFmpeg 近日合并了对 JPEG-XL 图像格式的支持。 JPEG-XL 是一个免版税的位图文件格式，支持有损和无损压缩──使用了 rANS(range Asymmetric Numeral System) 技术。但微软最近获得的 rANS 数据压缩相关专利引发了人们的担忧。

• WebRTC 架构格局正在发生变化，在基于 WebRTC 的应用开发中，架构选择需要权衡多种因素如需要的功能、拥有的预算、开发人员技术水平等；大多数情况下， CPaaS 或开源媒体服务器选项仍然是最好的选项。但在少数情况下选择自建系统或者使用 Unbundled WebRTC 也是一个不错的选择。

• 谷歌宣布将在 GSuite 中集成 Google Meet 功能，不知道搜索巨人是受了微软的启发还是突然顿悟了。国内方面，金山办公和飞书也都集成了相关功能。

• 播客录制平台 Riverside 最近获得了 3500 万美元的 B 轮融资，该轮融资由 Oren Zeev 领投，目前该平台的总资金达到 4700 万美元。Riverside 目前有大约 90 名员工，现有客户包括纽约时报、福克斯体育、漫威、iHeartMedia 和微软。

• 俄罗斯用 Youtube 替代 Rutube，其实俄罗斯多年前就已推出 YouTube 和 Facebook 的本国替代平台 RuTube 和 VKontakte ，去年又推出俄版 Instagram 平台 Fiesta。其中 VKontakte 已经成功攀升至俄月度用户第二多的社交平台，3月用户月活超过1亿。

02 【大前端】RTC 和元宇宙，你更看好哪个？

• 在经过一段时间的预热之后，Epic Games 正式发布了“虚幻引擎5”，新引擎的技术包括“全动态全局光照解决方案”Lumen、“虚拟化多边形几何体系统”Nanite，同时在性能和 UI 层面进行了大量升级，可实现更加逼真的视觉效果。Moor Insights & Strategy 首席分析师 Anshel Sag 表示：“我认为虚幻引擎5是向元宇宙和 AR/VR 迈进的一大步。”

• 选择 Rust进行 WebRTC 跨平台开发的原因：要在所有平台上提供一致的核心业务逻辑，对每个平台提供近乎原生的 API，同时最大限度地减少跨平台之间的差异。

• 《知识图谱可视化技术在美团的实践与探索》以美团大脑为例，介绍了知识图谱可视化技术在美团多个业务场景中的应用，效果非常酷炫。

• 近期 Video.js（一个专门为 HTML5 构建的网络视频播放器）项目宣布增加了对 WebRTC 的支持。Video.js 项目始于 2010 年中期，目前已经诞生了数百个皮肤和插件。

03 【网络】eBPF 和网络加速

• 安全监控是企业上云非常重视的一环、并越来越受到云服务商和企业的关注，Kindling 是一款基于 eBPF 技术的云原生可观测性项目，这两篇博客介绍了 Kindling 的探针架构和 HTTP 协议解析的原理。

• 我们看到，越来越多的企业开始在基础设施中采用 eBPF 技术来代替 iptables 等，但 eBPF 在解决很多技术难题的同时，也被更多非法的组织和机构恶意利用，美团技术团队本月也分享了一篇《Linux 中基于 eBPF 的恶意利用与检测机制》。

• 知名 SSL 证书漏洞检查服务 SSLPing 因长期积累的技术债、运维困难及系统环境的问题、以及入不敷出的窘境导致无法维持运营，最终被迫宣布关闭。

• 谷歌近期推出了 Media CDN 服务──构建在谷歌现有的 Cloud CDN （用于 Web 和 API 加速）产品之上，并整合了沉浸式媒体体验的能力。除此之外，Media CDN 支持 QUIC (HTTP/3)、TLS 1.3 和 BBR 的开箱即用、针对 Last-mile 进行了优化。

04 【开发】编程语言的进化

• 本月许式伟写了2篇文章总结了 Go+ 的设计理念和发布两年来踩过的坑：《Go、Go+ 与 Rust 自动类型推导的对比》《那些我们踩过的坑》。非常值得一读。

• 在谷歌这样的代码规模下，如何优化 C++ 编译器中的std::sort ？这项工作已经进行了一年多，虽然底层排序算法已经发展得很成熟，但是持续的优化也是非常必要的，可以很好的改善效率，文章中有一个例子能说明：与 libcxx 排序相比，libstdcxx 做了很多“非必要”的工作，但这些优化工作在实践中很重要，让运行速度快了 4.5 倍。

• 新开发语言。最近Hare语言在国内外激起不少讨论，这个新开发的语言由软件工程师 Drew DeVault 和其他约30位项目贡献者共同完成，目的是“探索 C 语言能不能做得更好”。C 语言发展到现在，在操作系统、编译器等领域得到了广泛应用，故 Hare 取代 C 的可能性几乎是零，因此作者在介绍 Hare 时也使用了一个非常有意思的词：“to play with（玩）”。

• 合理利用软件开发中的二八原则，可有效降低开发成本：软件中 80% 的错误来自 20% 的功能；给定应用程序中 80% 的复杂性来自 20% 的代码库；对于 80% 的用户来说，应用程序中只有 20% 的给定功能集是重要的；80% 的用户可能不关心应用程序中 80% 的功能（他们只关心 20%）；工程团队将 80% 的时间花在 20% 的应用程序上…因此可以采取一些针对性手段，比如在沟通上，如果让客户来决定额外成本是否值得，可以用更少的钱来更快地开发软件；在管理上，让客户帮助工程师了解“80%”功能，那么工程师将成为软件开发过程中价值和成本的更好管家；另外，优秀的经理也需要了解工程师会在何时陷入“自我陷阱”，避免工程师“过度爱上自己的代码”，从而导致额外的成本和时间延迟。

• 索尼为 exFAT 的 Linux 驱动提供了 73% 以上的性能改进。另有开箱测试表明 Valve 新发售的 Steam Deck 在存储速度的表现上也令人惊艳。

05 【安全、开源&其他】开源不易、安全慎行

• 因无意中把一个 Repo 设为私有，知名开源项目 HTTPie 十余年来积累的 54万 Star 一夜归零。问题出在 GitHub 推出的“个人主页”功能上，激活此功能需要新建一个与自己 ID 同名的仓库，这个新仓库的 README.md 的内容便会显示在个人首页，但要想自定义 GitHub 组织的主页，需要新建的仓库名称是 name/.github，而不是 name/name。HTTPie 在官方博客中表示 GitHub 给出的提醒也存在一定的误导或者说混淆，从而酿成了这个悲剧；并且当他们向 GitHub 官方提出恢复请求时遭到了拒绝。

• Fedora 项目领导人 Matthew Miller 接受采访谈论了 Linux 的流行和开源的重要性。他认为 Linux 和自由开源软件运动并不是理所当然的，其中最值得警惕的一件事是 Chrome 操作系统的流行，Chrome 的上游项目 Chromium 是开源的，但它本身并不是作为一个开源社区项目运行的。他希望真正的开源项目如 Firefox 能重获新生。

• 国内知名安全专家余弦（@evilcos）及其慢雾团队发布的《区块链黑暗森林自救手册》堪称史上最硬核全面的 Crypto 安全手册。

• Check Point 的安全研究员发现了一个允许攻击者控制数百万 Android 设备的高危漏洞，该漏洞存在于 ALAC（Apple Lossless Audio Codec）编解码器中，利用该漏洞可强制解码器执行恶意代码。ALAC 是苹果在 2004 年推出的音频格式，苹果多年来一直维护自己的私有版本，而高通和联发科则使用了一个自 2011 年以来就没再更新过的开源版本。高通和联发科去年就释出了补丁，如果您手中安卓设备的最新补丁是在 2021 年 12 月之后，则该漏洞已修复。

• 美最高法院判处抓取领英数据合法。这个官司的意义可以媲美“甲骨文诉谷歌 Java 侵权案”。在大数据时代，一些互联网平台积累了大量用户数据，并以此建立自身资源优势：在和其他互联网企业与平台的竞争中，用户数据越多利用得越好，就越容易吸引更多用户，从而处于更有利的地位。这种滚雪球式的效应使得互联网企业往往将用户公共数据视为自己的核心资产，禁止外界爬取。在本案中，法官判定爬取领英公共数据不属于“未经授权访问受保护计算机”行为，并且还禁止领英用技术手段干扰数据爬取工作。一旦“未经授权”概念不适用于公共网站，那么包括 Ticketmaster、Amazon 等在线零售商，乃至 Twitter 等社交网络平台——都将暴露在批量部署的侵入性爬虫程序的面前。（另外需要注意的是中美法律不同，爬取中文网站法律风险更大。）

• Kubernetes 1.24 版本发布，该版本有一个重要变化，就是为了提高供应链安全，K8s 将在生产中采用 Sigstore 来签署工件和验证签名，能够为二进制文件、源代码包和容器镜像等自动进行数字签名和检查软件工件，使软件具有更安全的监管链，可以追溯到源头。

06 近期值得关注的会议

会议名称	会议时间	会议地址	主办方
【免费】2022年中国云计算和大数据技术与应用大会	2022年5月12日	北京新世纪日航饭店	中国电子学会
【收费】第二届中国数据中心建设与运维峰会	2022年6月7-8日	线上会议	ICT-Event
【免费】2022云原生产业大会	2022年6月15日	北京国宾酒店	中国信通院
【免费】2022软件与系统稳定性大会	2022年6月16日	北京国宾酒店	中国信通院
【收费】QCon 2022 北京站	2022年6月22-24日	北京国际会议中心	InfoQ
【收费】LVS 2022 上海站	2022年6月24-25日	上海海神诺富特大酒店	LVS社区

07【开源项目推荐】

• TiFlash开源了 - 这是 TiDB 中提供 HTAP 能力的重要组成部分，偏重于事务性数据的分析。

• Framework 笔记本电脑主板项目 - 是一个可 DIY 的笔记本电脑项目。

• Lexical - 是 Facebook 开源的一个可扩展文本编辑器库。

• Textualize – 针对终端（命令行窗口）的面向 Web 的 TUI（Text User Interface）开源框架。

• BinAbsInspector - 是腾讯科恩实验室最近开源的二进制文件自动化静态漏洞检测工具。目前国际上较为成功的商业化分析工具有 Coverity、 CodeSonar、 VeraCode等，在开源社区中也涌现出一批知名的二进制分析工具如 angr、BAP、cwe_、checker等。

中国开源走向第二梯队！

...彭慧中    责编|屠敏出品|CSDN（ID：CSDNnews）开源已成为迄今为止最先进、最广泛、最活跃的协同创新模式。近年来，中国开源的发展已成为全球最快，中国在国际社区中的贡献度日益提升，在国际开源生... 查看详情

共享开源技术，共建开放生态丨平凯星辰余梦杰出席2022世界互联网大会开源论坛圆桌对话

2022年11月9日下午，2022年世界互联网大会乌镇峰会开源技术生态创新发展论坛成功举办。论坛由中国科学院主办，中国科学院软件研究所、中国科学院计算技术研究所、浙江省互联网信息办公室等单位协办。平凯星辰余梦... 查看详情

1024分论坛：如何守护开源安全

...2 长沙·中国 1024 程序员节”线上线下同步举办。 目前开源正在吞噬全球软件，据Gartner统计，99%的组织在IT系统中使用了开源软件。软件供应链中80%-90%的代码来源于开源& 查看详情

深度kweaver：价值驱动，认知智能走向开源共创

...对提升中国前沿科技竞争力同样重要，这其中，开源的必要性毋庸置疑。但是，在全球范围内开源项目硕果累累的大背景下，中国开源过去的发展却不够快，直到最近几年才开始发力与加速。这个过程，有... 查看详情

声网赵斌：rte体验提升，新一代killerapp将成为现实丨rte2022

一年以来，在疫情及诸多综合因素的推动下，元宇宙、无人驾驶、IoT、电商直播等行业迎来井喷式发展，RTE实时互动技术也在越来越多的场景中发挥着关键作用。在刚刚过去的RTE2022第八届实时互联网大会上，声网... 查看详情

后疫情时代，rte“沉浸式”体验还能这么玩？丨rte2022编程挑战赛赛后专访

前言9月17日，由声网、环信与RTE开发者社区联合主办的“RTE2022编程挑战赛”圆满落幕。从300+支参赛队伍中冲出重围的27支决赛队伍，在元宇宙中用精彩的答辩掀起了一场头脑风暴，为历时两个多月的大赛划下了圆... 查看详情

后疫情时代，rte“沉浸式”体验还能这么玩？丨rte2022编程挑战赛赛后专访

前言9月17日，由声网、环信与RTE开发者社区联合主办的“RTE2022编程挑战赛”圆满落幕。从300+支参赛队伍中冲出重围的27支决赛队伍，在元宇宙中用精彩的答辩掀起了一场头脑风暴，为历时两个多月的大赛划下了圆... 查看详情

后疫情时代，rte“沉浸式”体验还能这么玩？丨rte2022编程挑战赛赛后专访

9月17日，由声网、环信与RTE开发者社区联合主办的“RTE2022编程挑战赛”圆满落幕。从300+支参赛队伍中冲出重围的27支决赛队伍，在元宇宙中用精彩的答辩掀起了一场头脑风暴，为历时两个多月的大赛划下了圆满的... 查看详情

开源与安全的“冰与火之歌”

...，世界各国政府、非营利基金会、智库都在高度关注开源安全领域：中国信通院成立“开源与安全”部门；OpenSSFGMBrianBehlendorf在美国国会陈述；Google等巨头斥巨资投入安全相关，包括漏洞修补等；开源占据... 查看详情

解码2022中国网安强星丨注重攻防实战化验证，长亭以安全原子能力打造体系化安全

科技云报道原创。由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之... 查看详情

排名前十的开源安全项目

 导读开源正在走向胜利，虽然这一天或许会来的晚一点，但是开源终将胜利。在网络安全社区里，尽管许多公司以商业软件的方式牢牢把握着自己的代码不放，但是也有很多安全方面的开源项目可供专业的安全人员使用。搜... 查看详情

如何理解autosar的rte

参考技术A学会以个软件，30天，你可以学会软件所以的功能，但是要知道，如何用软件做出好的东西 查看详情

解码2022中国网安强星丨构建企业第一重“安全感”，联软科技以零信任重塑网络安全边界

科技云报道原创。由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之... 查看详情

解码2022中国网安强星丨正向建反向查，华为构建数字化时代的网络安全防线

科技云报道原创。由中国网络安全产业联盟（CCIA）、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量照见未来”为主题，邀请荣获“2022年中国网安产业竞争力50强、成长之... 查看详情

gartner发布中国人工智能软件市场指南，激烈竞争下走向差异化

...级研究总监方琦供稿|Gartner人工智能（AI）软件是中国企业投资和关注的重点。中国的AI软件市场在持续快速增长，竞争非常激烈。AI软件企业使用一种或多种AI技术（见图1），帮助企业解读事件、完成决策... 查看详情

用最好的“积木”，在元宇宙中掀起一场头脑风暴吧！丨rte2022编程挑战赛圆满收官...

9月17日，由声网、环信与RTE开发者社区联合主办的「RTE2022编程挑战赛」圆满落幕。从300+支参赛队伍中冲出重围的27支决赛队伍，在元宇宙中用精彩的答辩掀起了一场头脑风暴，为历时2个多月的大赛划下了圆满的句... 查看详情

中国企业管理软件走向全球化国际化的路径探讨

...ff1f;什么是增量市场增量价值？我这几天在思考：中国企业管理软件走向全球化国际化，多米诺骨牌的第一张应该是什么？不应该是老生常谈的老功能老价值的全球化国际化（时区 查看详情

软件工程的第一性原理丨smartide

...技（北京）有限公司创始⼈/⾸席架构师/CEO/SmartIDE开源项⽬创始⼈。微软最有价值专家MVP，微软区域技术总监，华为云MVP，认证ScrumMaster，EXINDevOpsMaster/Professional认证讲师，中国最⼤的敏捷精益社区IDCF创... 查看详情