Oracle внесла изменения в лицензионное соглашение, касающееся пакета Oracle JDK. Отныне при соблюдении условий лицензии этот пакет можно использовать бесплатно не только для личных, но и для коммерческих нужд. Новые правила работают, начиная с Oracle JDK 17.

Новая лицензия NFTC (Oracle No-Fee Terms and Conditions) подразумевает бесплатное получение обновлений в течение года после следующего выпуска LTS. То есть, речь идёт не обо всё сроке сопровождения. К примеру, если поддержка Java SE 17 запланирована до 2029 года, то бесплатные обновления будут доступны до осени 2024 года.

Также отмечается, что теперь не нужно подтверждать загрузку на сайте, что позволяет загружать пакет автоматически с помощью скрипта. При этом параллельно компания будет выпускать OpenJDK под лицензией GPL с той же периодичностью и условиями, что были актуальны для Java 9.

Отметим, что ранее набор Oracle JDK был доступен под лицензией Oracle Technology Network (OTN). Этот формат лицензии допускал бесплатное использование только для персональных проектов, тестирования, создания прототипов и демонстрации приложений. Коммерческое использование не допускалось.

Linux Foundation, Joint Development Foundation и сообщество SPDX на днях объявили, что спецификация Software Package Data Exchange (SPDX) опубликована как ISO / IEC 5962: 2021 и признана международным открытым стандартом безопасности при распространении программного обеспечения.

Как отмечается, уже многие компании используют SPDX. В их числе Intel, Microsoft, Siemens, Sony, Synopsys, VMware и WindRiver. Как отмечается, стандарт укрепляет доверие к разработке и системам распространения ПО. Также отмечено, что SPDX идеально подходит для поддержки международных требований к безопасности и целостности программного обеспечения на протяжении всей цепочки поставок.

Сам стандарт разрабатывался порядка 10 лет специалистами различных отраслей. Это делает его наиболее надёжным решением такого класса.

Отметим, что стандартизацию проводила швейцарская независимая неправительственная международная организация ISO / IEC JTC 1. Она базируется Женеве и объединяет более 165 национальных ведомств по стандартизации, в состав которых входят эксперты в различных областях.

Холдинг «Росэлектроника», входящий в состав государственной корпорации «Ростехнологии» (Ростех), объявил о планах по созданию территориально-распределённого центра коллективного проектирования электронных и радиоэлектронных изделий.

В основу нового сервиса будут положены облачные технологии. Инфраструктура центра позволит группам разработчиков из разных регионов России использовать единое рабочее окружение, получать доступ к вычислительным мощностям, системам автоматизированного проектирования (САПР), библиотекам элементов и цифровым моделям.

Источник изображения: «Росэлектроника»

Сообщается, что центр коллективного проектирования позволит подключить к единой платформе более 250 предприятий, обеспечить создание специализированных инженерных программных модулей и компонентов, а также создать геораспределённые вычислительные ресурсы высокой мощности. Реализация проекта сократит затраты организаций радиоэлектронной отрасли и увеличит выручку от вновь разрабатываемой и выпускаемой продукции.

«Новый сервис значительно снизит издержки на использование специализированного программного обеспечения, а также упростит отраслевое и межкорпоративное взаимодействие за счёт работы в едином информационном пространстве. В свою очередь это ускорит процессы проектирования и производства новых высокотехнологичных изделий», — говорится в заявлении холдинга.

Почти половина (45 %) IT-специалистов в России считают важной концепцию DevSecOps (сокращённо от Development, Security и Operations), а 36 % отечественных организаций уже включили меры по обеспечению безопасности в цикл разработки программного обеспечения и наработали определённую практику. Об этом свидетельствует исследование, проведённое Positive Technologies.

Модель DevSecOps подразумевает аудит, сканирование и тестирование программного кода на предмет уязвимостей на всех этапах разработки ПО, начиная от проектирования, написания исходного кода, компиляции и отладки до интеграции, развёртывания и доставки софта заказчику. Такой подход автоматизирует процессы по обеспечению безопасности приложений и позволяет разделить ответственность за надёжность создаваемых продуктов между специалистами по разработке, безопасности и эксплуатации IT-систем.

Проведённые Positive Technologies опросы показали, что у 50 % специалистов в настоящий момент отсутствует понимание того, что DevSecOps может защитить разрабатываемый продукт от хакеров, а в 37 % компаний и вовсе не видят смысла в интеграции задач безопасности в свои производственные процессы. Всё это сдерживает и тормозит масштабный переход бизнеса к методологии DevSecOps и внедрению культуры кибербезопасности в процессы разработки ПО. Нельзя списывать со счётов и тот факт, что данная концепция подходит далеко не всем компаниям в силу специфики их бизнеса.

«Место DevSecOps в безопасности компаний сильно зависит от профиля бизнеса и особенностей её приложений. В любой организации существуют программные решения, эксплуатация уязвимостей в которых является недопустимым с точки зрения бизнеса событием. Если они становятся доступны хакеру, то в конечном итоге их взлом приведёт к опасным последствиям для жертвы. В данном случае безопасность кода — очевидный приоритет для бизнеса», — комментирует результаты исследования Алексей Жуков, эксперт отдела систем защиты приложений Positive Technologies.

Компания AMD запустила Infinity Hub, новый портал для проектов с открытым исходным кодом, которые используются в HPC. Это не первая инициатива компании в данной области, но, пожалуй, пока самая интересная и многообещающая. Infinity Hub ориентирован на решения для высокопроизводительных вычислений (HPC), которые будут работать в первую очередь на ускорителях AMD Instinct, а не на Radeon.

Портал «заточен» на перенос существующего ПО на платформу Radeon Open Compute (ROCm), а не разработку новых решений с нуля. Сейчас на портале есть инструкции о том, как получить и использовать версии пакетов AMBER, Chroma, CP2K, GROMACS, NAMD, OpenMM, PyTorch, SPECFEM3D и TensorFlow, оптимизированных для ROCm. Некоторые из этих проектов уже имеют поддержку ROCm, так что в этом случае просто описываются технические аспекты.

Хотя ROCm может работать и с некоторыми потребительскими ускорителями Radeon, всё-так больше внимания уделяется именно Instinct. Как отмечается, AMD стремится сделать Infinity Hub ресурсом, который упростит развертывание рабочих нагрузок HPC на ускорителях вычислений. Эта инициатива также позволяет объединить все необходимые данные в одном месте.

Современные литографические процессы, используемые при создании микросхем, очень сложны и требуют серьёзных вычислительных мощностей. Подразделение IBM Research предлагает использовать для этих целей облачные кластеры и уже добилось успехов на платформе IBM Cloud.

Никто не станет спорить с тем, что содержание суперкомпьютера — удовольствие не из дешёвых. Однако в эпоху развития облачных технологий есть выход, позволяющий задействовать внушительные вычислительные ресурсы, не тратя огромные суммы на содержание аппаратной инфраструктуры класса HPC.

Проектируемая и реальная структуры без процесса коррекции (сверху) и с OPC

В случае с IBM Research речь идёт о вычислениях, связанных с так называемой коррекцией эффектов оптической близости (optical proximity correction, OPC). Дело в том, что современные техпроцессы настолько тонки, что изготовление фотолитографических масок для них сталкивается с рядом проблем, вызываемых как дифракцией, так и неточностями самой технологии. В итоге при переносе на реальный кремний геометрия получившейся структуры может быть далека от эталонной, заданной на этапе проектирования.

Основные стадии при проектировании литографических масок

К счастью, метод OPC позволяет в существенной мере нивелировать негативные эффекты, но при этом он требует достаточно серьёзных вычислительных мощностей, ведь структур, для которых необходимо провести предварительную коррекцию, в современных чипах очень и очень много, а масочных слоёв — более 50. Для примера, даже на 2000 ядрах CPU процесс обсчёта OPC может занять больше недели.

Структура участвовавшего в эксперименте виртуального кластера

Но как сообщает IBM Research, алгоритмы OPC хорошо поддаются параллелизации и отлично ложатся на идею «облачных кластеров». В проведённом исследовании удалось не просто задействовать облачные ресурсы для запуска Synopsys Proteus (ПО, в котором осуществлялась коррекция), но и объединить в единый кластер вычислительные регионы, один из которых физически расположен на юге США, а другой — в Великобритании. Пиковый показатель, достигнутый при этом, составил 11 400 ядер.

В качестве примера был выбран один из чиплетов IBM площадью 172 мм², производимый с использованием техпроцесса EUV класса «менее 5 нм». Симуляция оказалась полностью удачной, а идея применения облачных кластеров для OPC полностью подтвердилась, причём экономия времени практически линейно возрастала по мере роста задействованных вычислительных ядер. Подробности об эксперименте можно найти на сайте IBM.

Компания Red Hat провела исследование интереса разработчиков ПО к контейнерам и Kubernetes. Как оказалось, этот показатель влияет на возможность карьерного роста программистов. Чему, впрочем, удивляться не стоит — рост популярности контейнеризации повлиял на всю индустрию.

Маркус Эйзеле (Markus Eisele), руководитель программы привлечения разработчиков Red Hat в регионе EMEA, сообщает, что появление контейнеров изменило подход к формированию архитектуры приложений. Появление же платформ оркестрации позволило изменить и облака. В Red Hat обратились к компании CCS Insight, чтобы изучить состояние дел с использованием контейнеров в организациях, в том числе в России. Как оказалось, контейнеризация позитивно оценивается многими компаниями.

По данным аналитической компании IDC, к 2024 году 75% предприятий будут отдавать приоритет гибкости инфраструктуры и операционной эффективности. Это увеличит количество облачных архитектур для основных бизнес-приложений впятеро. Исследования самой Red Hat показывают, что главным плюсом контейнеров для бизнес-приложений считаются облака (так считают 33% опрошенных), масштабируемость операций (30%) и повышение производительности (29%).

Потому разработка на основе контейнеров считается приоритетной среди 91% разработчиков. 30% из них считают, что эта технология улучшает поддержку бизнес-группы своей организации, а ещё 19% думают, что это повышает эффективность работы бизнес-приложений. Помимо этого, 34% считают, что поддержка работы в гибридных средах — это самое важное преимущество контейнеров с точки зрения разработки и эксплуатации.

Сейчас многие компании используют гибридные облака, потому многие специалисты считают, что они обеспечивают ускорение работы, а также упрощают интеграцию и повышают согласованность внутренних систем и компонентов. В целом, подытоживает Red Hat, контейнеры можно считать основой для долгосрочных бизнес-проектов и необходимой технологией для компаний.

Несмотря на то, что Linux используется повсеместно, у проекта всё же есть некоторые проблемы. Как сообщается в блоге Google, речь идёт о нехватке персонала для работы с ядром системы, что прямо влияет на безопасность. Давний разработчик ядра Кис Кук (Kees Cook) из Google Security Team сообщил в блоге, что проблема является весьма обширной.

Для ядра каждую неделю поступает около 100 новых исправлений, но не все они успевают пройти тестирование. Поэтому поставщики не всегда используют последние исправления или в некоторых случаях просто пытаются выбрать «важные» (как им кажется) патчи, игнорируя другие. Разумеется, можно и нужно использовать стабильные версии ядер или версии с длительной поддержкой (LTS), которые включают все исправления, но этого зачастую не происходит.

Динамика исправления ошибок в ядре

При этом конечные пользователи не всегда знают, какие компоненты добавили поставщики, насколько они стабильны и защищены. Эксперт отметил, что около 40% ошибок и уязвимостей исправлялись очень быстро, а другие могли «жить» в ядре годами. Поэтому он призывает нанимать больше инженеров, чтобы они проверяли код ядра, исправляли ошибки до релиза, проводили тестирование и так далее.

Кроме того, по словам Кука, не хватает инженеров в области средств разработки, которые сейчас во многом отделены от ядра. Отмечается, что нужно как минимум ещё 100 специалистов для работы с основной веткой ядра. А поскольку подавляющее большинство инженеров, занятых ею, является сотрудниками сторонних компаний, Кук призывает эти компании нанимать больше специалистов.

Разработчики представили вторую версию проекта Scorecards — автоматизированного инструмента безопасности, который выдает «оценку риска» для проектов с открытым исходным кодом. В нём добавлены новые методики проверки безопасности, расширен список проектов, а данные стали легко доступны для анализа.

Как отмечается, новая версия позволит сократить затраты и время на тестирование open source проектов, что позволит быстро оценить их безопасность, а также безопасность зависимостей. К примеру, проверка Branch-Protection позволяет убедиться, что проект требует обязательной проверки кода другим разработчиком перед выходом в релиз. В настоящее время эту проверку может выполнить только администратор репозитория из-за ограничений API GitHub. Для сторонних репозиториев можно использовать менее информативный Code-Review.

nordicapis.com

Также добавлена проверка, которая позволяет отслеживать потенциально уязвимый код в системе контроля версий. Помимо этого, новая система проверяет зависимости тех или иных пакетов, чтобы гарантировать безопасность. Для этого используются хtши, поскольку при изменениях в зависимостях, меняются и значения хэшей. В целом, Scorecards версии 2 поддерживает анализ более чем 50 тысяч проектов с открытым исходным кодом, что позволяет оценивать их по разным критериям.

Разработчик Юй Венруо (Qu Wenruo) из SUSE, который занимается сопровождением файловой системы Btrfs, обратил внимание на большое количество патчей для ядра Linux c корпоративного адреса компании Huawei. При этом изменения зачастую были минимальными — исправление опечаток или вовсе добавление отступов. Такой подход усложняет работу мейнтейнеров, поскольку процедура проверки патчей требует времени и соблюдения определённых стандартов, что и вызвало недовольство Юй.

Во-первых, эти патчи отправлялись по отдельности, а не в составе крупного изменения. Во-вторых, таких случаев было несколько, и Юй обратил внимание, что ранее уже возникали трения с другими сопровождающими, которые тоже отказывались принимать такие правки. Предполагается, что таким образом разработчики пытаются поддерживать высокий уровень эффективности (KPI), заданный работодателем. Иначе говоря, это имитация бурной деятельности.

medyaradar.com

Кроме того, это может повлиять на оценку вклада компании в развитие ядра, хотя Huawei и так является одним из крупнейших разработчиков ядра Linux. Активность компании заметно выросла в последние годы и, в частности, статистика по последнему LTS-ядру Linux 5.10 показывает, что она стала лидером по суммарному количеству принятых изменений, опередив Intel, но не по количеству изменённых строк кода.

Аналогичные проблемы с такими малополезными, но массовыми патчами наблюдаются и в других проектах open source. Самый крупный подобный инцидент случился в прошлом году во время проведения очередного соревнования Hacktoberfest от Digital Ocean, в рамках которого за отправку четырёх и более патчей в открытые проекты на GitHub выдавалась футболка. Однако в результате львиная доля правок касалась опечаток, фраз в файле ReadMe, комментариев в коде и так далее. Компании пришлось извиниться и пересмотреть правила соревнования.