Материалы по тегу: open source

31.03.2024 [22:41], Александр Бенедичук

Время сверить версии: в Linux выявлена изощрённая атака на цепочку поставок

В xz/liblzma выявлен вредоносный код, направленный на получение несанкционированного удаленного доступа по SSH (бэкдор) и исполнение команд (CVE-2024-3094). Зловред был внедрён в версии 5.6.0 и 5.6.1 и, как передаёт OpenNet, успел попасть в сборки и репозитории Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide/40-beta, openSUSE factory/tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, MSYS2 mingw, HP-UX, Homebrew, KaOS, NixOS unstable, OpenIndiana, Parabola, PCLinuxOS, OpenMandriva cooker и rolling, pkgsrc current, Slackware current, Manjaro, Void Linux. Впрочем, далеко не везде бэкдор может быть активирован.

Ситуацию усугубляет то обстоятельство, что разработчик, оказавшийся под подозрением, в последние годы принимал участие и в смежных проектах сообщества. Поэтому нет оснований для доверия исходному коду xz до выяснения всех деталей и последствий произошедшего. В частности, соответствующий репозиторий на GitHub уже заблокирован с сообщением: «Доступ к этому репозиторию был заблокирован сотрудниками GitHub из-за нарушения условий предоставления услуг GitHub».

Тем, кто успел получить инфицированные варианты ПО, рекомендуется откатиться до версий 5.4.6 или 5.4.1. Последний вариант более предпочтителен, так как эта версия была сформирована предыдущим сопровождающим. Сама атака оказалась очень изощрённой, а на её реализацию ушло приблизительно два года. Проблему практически случайно обнаружил разработчик, обративший внимание на необычное замедление (разница в 0,5 с) работы ssh-сервера. Следить за развитием ситуации можно на сайте проекта. А версии пакетов xz в разных проектах можно отслеживать в Repology.

Постоянный URL: http://servernews.ru/1102549
31.03.2024 [21:39], Сергей Карасёв

СУБД Redis перешла на проприетарные лицензии: запущены форки проекта

Компания Redis Ltd. объявила о смене политики лицензирования: вместо ранее использовавшейся лицензии BSD (Berkeley Software Distribution) для свободного ПО будут применяться проприетарные лицензии Redis Source Available License (RSALv2) и Server Side Public License (SSPLv1).

Redis — это крайне популярная NoSQL-платформа. В 2010–2013 гг. разработку СУБД финансировала компания VMware, которая была приобретена корпорацией Broadcom за $69 млрд.

Сообщается, что лицензии RSALv2 и SSPLv1 будут применяться для версий СУБД начиная с релиза Redis 7.4. Говорится, что RSAL даёт возможность использовать, изменять, распространять и встраивать код в приложения, кроме тех случаев, когда продукт является коммерческим или используется для предоставления управляемых платных сервисов. В свою очередь, SSPL требует распространять под той же лицензией как код самого приложения, так и код всех компонентов, которые задействованы в составе, например, облачного сервиса.

 Источник: Redis

Источник: Redis

«На практике ничего не изменится для сообщества разработчиков Redis: они продолжат пользоваться разрешительным лицензированием в рамках двойной лицензии», — говорится в заявлении компании. В соответствии с новой политикой поставщики облачных услуг, размещающие сервисы Redis, больше не смогут бесплатно использовать исходный код проекта. Изменения, как утверждается, нацелены на поддержку сообщества разработчиков Redis. Дело в том, что некоторые облачные провайдеры создают коммерческие продукты на базе Redis, но не поддерживают собственно развитие СУБД. Новые лицензии призваны предотвратить подобную практику.

Между тем уже появились несколько форков Redis. Так, организация Linux Foundation запустила проект Valkey, который предполагает дальнейшее развитие Redis 7.2.4 по лицензии BSD с открытым исходным кодом. Для Valkey заявлена поддержка платформ Linux, macOS, OpenBSD, NetBSD и FreeBSD. В проекте Valkey принимают участие такие компании и облачные провайдеры, как Amazon Web Services (AWS), Google Cloud, Oracle, Ericsson и Snap Inc.

Кроме того, появился форк Redis под названием Redict. Его основателем является Дрю ДеВолт (Drew DeVault), создатель и генеральный директор SourceHut. Проект базируется на Redis версии 7.2.4, а в качестве лицензии используется LGPLv3. Исходный код Redict общедоступен на Codeberg.

Сообщается также, что на фоне изменения лицензионной политики Redis Ltd. заключила соглашение о приобретении Speedb — разработчика движка хранения данных. Redis будет использовать Speedb для улучшения процессов обработки информации в реальном времени и предоставления сервисов с малыми задержками. Ожидается, что Redis выпустит первую версию своей платформы, интегрированной со Speedb, до конца 2024 года. Финансовые условия сделки не раскрываются.

Отметим, что в конце 2018 года MongoDB сменила лицензию с GNU AGPLv3 на разрабатонную ею же SSPL (в дополнение к проприетарной лицензии), причём новая лицензия была введена ровно по той же причине, что и в случае Redis. SSPL не признаётся свободным ПО организацией Open Source Initiative (OSI) и некоторыми крупными дистрибутивами Linux.

Постоянный URL: http://servernews.ru/1102542
29.03.2024 [23:10], Алексей Степин

UXL Foundation делает ставку на OneAPI в борьбе с монополией NVIDIA CUDA

Несмотря на частые анонсы новых решений, ситуация на рынке ускорителей всё ещё складывается в пользу NVIDIA, которая существенно раньше своих соперников поняла всю важность этого рынка и делает всё возможное для продвижения собственной программной платформы CUDA.

CUDA позволяет разрабатывать приложения, работающие только на аппаратном обеспечении NVIDIA. С учётом взрывной популярности ИИ такая ситуация позволяет компании держать высокие цены, да и сама платформа хорошо отшлифована временем. Но вкупе с дефицитом ускорителей NVIDIA всё это негативно влияет на развитие индустрии ИИ в целом, что закономерно вызывает недовольство со стороны разработчиков.

С целью положить конец такому порядку ряд крупных компаний-разработчиков и полупроводниковых гигантов, включая Intel, Qualcomm, Samsung, Arm и Google сформировали альянс, названный The Unified Acceleration Foundation (UXL). Целью этого союза является создание универсального открытого ПО, которое позволит разработчикам ИИ-решений отказаться от CUDA и использовать ускорители других производителей.

 Источник изображения: Intel

Источник изображения: Intel

Сама группа UXL была сформирована ещё в сентябре прошлого года ведущими производителями микрочипов, но на днях она объявила о расширении, а также уточнила, как именно намерена бороться с CUDA. В основу нового, открытого мультиплатформенного стандарта ляжет Intel OneAPI, уходящий корнями в SYCL и OpenCL. В наследство достанутся и различные наработки Intel, включая инструмент SYCLomatic, позволяющий конвертировать CUD-код в SYCL-код, способный выполняться практически на любой платформе, в том числе и от NVIDIA.

UXL надеется сформировать стандартную модель программирования для ИИ-вычислений. Спецификации должны быть утверждены уже в I полугодии, а к концу 2024 года UXL, согласно планам, достигнет зрелого состояния. Группа намеревается привлечь и других производителей чипов, а также крупных провайдеров облачных услуг, включая Microsoft Azure и Amazon. Примечательно, что AMD к UXL решила не присоединяться.

Постоянный URL: http://servernews.ru/1102486
28.03.2024 [22:01], Владимир Мироненко

Databricks представила открытую LLM DBRX, превосходящую GPT-3.5 Turbo

Американский стартап в сфере аналитики больших данных и машинного обучения Databricks объявил о выходе DBRX, большой языковой модели (LLM) общего назначения, которая, по его словам, превосходит в стандартных бенчмарках все существующие LLM с открытым исходным кодом, а также некоторые проприетарные ИИ-модели.

Стартап заявил, что открывает исходный код модели, чтобы побудить пользователей отказаться от коммерческих альтернатив. Он отметил, что согласно исследованию Andreessen Horowitz LLC, почти 60 % лидеров в области ИИ-технологий заинтересованы в увеличении использования или переходе на open source, если открытые модели после тюнинга примерно соответствуют по производительности проприетарным моделям.

 Источник изображений: Databricks

Источник изображений: Databricks

«Я считаю, что самые ценные данные хранятся внутри предприятий. ИИ как бы исключён из этих сфер, поэтому мы пытаемся реализовать это с помощью моделей с открытым исходным кодом», — цитирует ресурс SiliconANGLE заявление гендиректора Databricks Али Годси (Ali Ghodsi) на брифинге с журналистами. По словам Годси, лучше всего DBRX подходит для сфер, где критически важны управление и безопасность, например, для финансовых услуг и здравоохранения, или там, где важен тон ответов, например, в области самообслуживании клиентов.

DBRX использует архитектуру Mixture of Experts (MoE, набор экспертов), которая делит процесс обучения между несколькими специализированными «экспертными» подсетями. Каждый «эксперт» владеет определёнными навыками, а исходный запрос оптимальным образом распределяется между «экспертами». Вице-президент Databricks по генеративному ИИ, перешедший в компанию вместе с приобретением MosaicML, соучредителем которой он был, заявил, что MoE работает даже лучше человека.

Хотя DBRX с 132 млрд параметром почти в два раза больше Llama 2, она всё равно вдвое быстрее. Также сообщается, что DBRX превзошла существующие LLM с открытым исходным кодом Llama 2 70B и Mixtral-8x7B (тоже MoE), а также запатентованную GPT-3.5 Turbo в тестах на понимание языка, программирование, математику и логику. Обучение модели на общедоступных и лицензированных источниках данных в течение двухмесячного периода обошлось Databricks всего в $10 млн с использованием 3 тыс. ускорителей NVIDIA H100.

По словам компании, при создании приложений генеративного ИИ модель DBRX можно использовать вместе с Databricks Mosaic AI, набором унифицированных инструментов для создания, развёртывания и мониторинга моделей ИИ. Базовая модель DBRX Base и продвинутая модель DBRX Instruct доступны по открытой лицензии для исследований и коммерческого использования на GitHub и Hugging Face. Разработчики могут уже сегодня создавать свои варианты DBRX на основе собственных данных на платформе Databricks.

Постоянный URL: http://servernews.ru/1102428
20.03.2024 [14:57], Сергей Карасёв

Проект российского аналога GitHub заморожен из-за отсутствия финансирования

Эксперимент по созданию национального репозитория открытого кода, по сообщению газеты «Ведомости», отложен на неопределённый срок. Причина заключается прежде всего в отсутствии необходимого финансирования. Кроме того, участники рынка говорят, что потребность в такой площадке фактически отпала в связи с появлением альтернативных частных платформ.

Национальный репозиторий кода задумывался в качестве аналога GitHub. Премьер-министр Михаил Мишустин выступил с предложением создать отечественную платформу для совместной разработки IT-проектов в сентябре 2021 года. Потребность в такой системе усилилась в связи с блокировкой аккаунтов российских разработчиков на GitHub. С 2022 года запущены несколько площадок для совместной разработки и хостинга кода: репозиторий Mos.Hub правительства Москвы, «РТК-Феникс» и «Лукоморье» от «Ростелекома», «Сфера» от T1, GitFlame от «Иннополиса», GitVerse от «Сбера» и др.

 Источник изображения: pixabay.com

Источник изображения: pixabay.com

Эксперимент с российским репозиторием планировалось провести с ноября 2022-го до конца апреля 2024 года. Ответственным за выполнение работ определён Российский фонд развития информационных технологий (РФРИТ). В декабре 2022 года Минцифры предложило передать на реализацию проекта 1,3 млрд руб., которые с 2007-го остаются невостребованными на счетах фонда «Росинфокоминвест» (создан правительством в 2007 году для инвестиций в отечественные IT-решения на ранних стадиях).

Однако деньги так и не были выделены. Более того, отмечается, что фокус проекта сместился на вопросы более активного использования ИИ в процедурах обработки данных и работы с кодом. Иными словами, концепция репозитория требует пересмотра. Кроме того, развёртывание платформы потребует регулярных инвестиций для поддержания её работы. По оценкам, в перспективе трёх лет затраты на аренду мощностей у одного из ведущих провайдеров («Яндекса», VK, Cloud.ru или «Ростелекома»), а также обеспечение отказоустойчивости и безопасности составят от 300 млн до 500 млн руб.

Постоянный URL: http://servernews.ru/1102003
19.03.2024 [16:53], Руслан Авдеев

Российский бизнес переходит с «закрытого» ПО на коммерческие open source-решения

К середине 2023 года доля используемых российским бизнесом IT-решений на базе коммерческих open source-решений (Commercial Open Source Software, COSS) выросла в сравнении с концом 2022 года в три раза (12 % и 4 % соответственно), передают «Ведомости» со ссылкой на данные Института изучения мировых рынков (ИИМР), который отнёс к COSS 26 отечественных программных продуктов, включая, например, ОС на базе Linux.

Анализу подверглись закупки ПО крупными и средними российскими компаниями. Учитывались данные закупок с февраля по июнь 2023 года. Согласно прогнозам НИМР, в ближайшие два года COSS-решения займут до 32 % отечественного рынка IT-решений для бизнеса, а «проприетарное» ПО потеряет свои позиции и его доля упадёт с 62 % сегодня до 32 % в будущем. Кроме того, 32 % будет приходиться на полностью бесплатные пакеты с открытым кодом (FOSS).

 Источник изображения: Luke Peters/unsplash.com

Источник изображения: Luke Peters/unsplash.com

Концепция COSS предусматривает заработок на дополнительных услугах, поскольку доступ к исходному коду зачастую бесплатен. Заказчики платят за техподдержку, обучение персонала, доработку продукта и т.п. Кроме того, если базовый вариант ПО бесплатен, Pro-версия может быть платной. Преимущества COSS перед ПО с закрытым кодом заключаются в возможности проводить аудит кода, если это необходимо, тестировать продукты без посредничества вендора, вносить собственные изменения, говорят эксперты.

По мнению экспертов, COSS-решения применяются всё чаще, причём коммерческие open source-решения будут доминировать над бесплатными вариантами. При этом доработка ПО может быть быстрее и качественнее, чем у бесплатных вариантов. COSS-решения безопаснее FOSS, поскольку их поддержкой и устранением недочётов занимаются специальные команды. Более того, для «чистого» open source сертификация ФСТЭК невозможна в отличие от доработанных вендорами решений.

Имеются и недостатки. Как сообщают «Ведомости», многие разработчики упоминают о проблеме «фейковых» вендоров, мешающих развитию рынка COSS-экосистем. Так, некоторые интеграторы просто продают «брендированные» бесплатные решения в собственной «обёртке», не занимаясь ни поддержкой, ни доработкой продуктов, что подрывает доверие к COSS в целом.

Постоянный URL: http://servernews.ru/1101943
01.03.2024 [14:49], Сергей Карасёв

СберТех открыл платформу GitVerse для совместной разработки и хостинга кода

IT-компания СберТех, дочерняя структура Сбера, занимающаяся созданием и сопровождением российского ПО серии Platform V, объявила о доступности специализированной платформы GitVerse для совместной разработки и хостинга кода.

На базе GitVerse можно бесплатно размещать проекты с открытым и закрытым кодом. Кроме того, программисты смогут привлекать других участников, организовывать совместную работу, общаться и обмениваться опытом, в том числе в области open source. Доступны средства для проверки кода и назначения задач.

Сервис создан и размещён в России, а поэтому исключены риски недоступности разработок и кода для российских пользователей. Реализованы функции быстрого переноса репозиториев с популярных git-площадок. Доступ к проекту может предоставляться только собственной команде или всему сообществу. Утверждается, что GitVerse обеспечивает высокую скорость выполнения всех операций. На платформе уже доступны open source версии некоторых продуктов СберТеха.

 Источник изображения: GitVerse

Источник изображения: GitVerse

Первые пользователи, зарегистрировавшиеся на GitVerse, смогут присоединиться к открытому тестированию GigaCode — персонального ИИ-ассистента, оказывающего помощь программистам. Этот сервис генерирует варианты завершения кода непосредственно в среде разработки в режиме реального времени. Поддерживаются более 15 языков программирования, включая Java, Python, TypeScript, C/C++ и пр. Помощник устанавливается как плагин в привычные среды разработки, такие как IDEA, PyCharm, VSCode и Jupyter. Отмечается, что GigaCode позволяет сократить время написания кода до 25 %.

«GitVerse позволяет не только публиковать свои проекты, но и взаимодействовать с open source сообществом, что сегодня крайне важно для рынка. Уверен, что GitVerse станет популярным и востребованным инструментом для всей IT-индустрии. Совместно с ведущими разработчиками мы будем работать над размещением на площадке ещё большего количества востребованных репозиториев и сервисов», — говорит старший вице-президент, руководитель блока «Технологии» Сбербанка.

Постоянный URL: http://servernews.ru/1101082
15.02.2024 [12:20], Сергей Карасёв

Один из ключевых разработчиков веб-сервера nginx создал альтернативный проект FreeNginx

Максим Дунин, один из ключевых разработчиков популярного веб-сервера nginx, сообщил об уходе из проекта. Вместо этого он начнёт развивать альтернативный продукт под названием FreeNginx. Цель этой инициативы, официально анонсированной 14 февраля 2024 года, заключается в том, чтобы «оградить разработку nginx от произвольного корпоративного влияния».

В открытом письме Дунин отмечает, что компания F5 (владелец nginx) закрыла московский офис в 2022 году, но сам Дунин остался в российской столице. При этом стороны заключили соглашение о том, что он продолжит участвовать в разработке nginx в качестве волонтёра. Так и было практически два года, однако затем произошли изменения на корпоративном уровне.

 Источник изображения: nginx

Источник изображения: nginx

«К сожалению, недавно новый нетехнический менеджмент F5 решил, что лучше знает, как управлять проектами open source. В частности, они решили вмешаться в политику безопасности nginx, реализуемую годами, игнорируя как устоявшиеся нормы, так и позицию разработчиков», — пишет Дунин.

По его словам, с точки зрения F5 как владельца nginx изменения понятны, но они противоречат соглашению о разработке. В этой связи, говорит Дунин, он больше не в состоянии контролировать изменения, вносящиеся в nginx, а поэтому не может рассматривать продукт как бесплатный проект open source, разработанный ради общественного блага.

«Поэтому с сегодняшнего дня я больше не буду участвовать в nginx. Вместо этого я начинаю альтернативный проект, которым будут управлять разработчики, а не корпорации», — заявляет Дунин.

Нужно отметить, что ранее разработчики nginx учредили в России компанию «Веб-Сервер», которая развивает альтернативный проект Angie. У это продукта имеется коммерческая PRO-версия, а сам веб-сервер включён в реестр отечественного ПО.

Постоянный URL: http://servernews.ru/1100294
31.01.2024 [15:36], Сергей Карасёв

Выстрел в ногу: смена политики доступа к исходному коду RHEL мешает развитию CentOS Stream

Изменения, которые компания Red Hat внесла в политику доступа к исходным кодам дистрибутива Red Hat Enterpise Linux (RHEL), создают непредвиденные сложности для команд разработчиков CentOS Special Interest Group (SIG), о чём сообщает ресурс Phoronix.

В июне 2023 года, напомним, Red Hat объявила о прекращении поддержки публикации исходного кода пакетов уже выпущенных релизов в репозитории CentOS. Публично остаются доступны только репозитории CentOS Stream, «вечной бета-версии» будущих релизов RHEL.

Исходники RHEL хранятся на клиентском портале Red Hat, доступном только при наличии контракта. Участники рынка заявили, что действия Red Hat создают нестабильность и не соответствуют принципам open source. Впоследствии CIQ, Oracle и SUSE создали совместную торговую ассоциацию Open Enterprise Linux Association (OpenELA), чтобы противостоять политике Red Hat.

 Источник изображения: Yang / Unsplash

Источник изображения: Yang / Unsplash

Однако новая практика этой компании продолжает оказывать негативное влияние на деятельность приближенных к ней разработчиков. В частности, группа Kmods SIG, поддерживающая дополнительные модули ядра для CentOS Stream и RHEL, в настоящее время «не может создавать пакеты для Red Hat Enterprise Linux по юридическим причинам». Разработчики пытаются решить этот вопрос с Red Hat и возобновить деятельность «как можно скорее», но конкретные сроки не называются. Со сложностями также столкнулась группа CentOS Hyperscale SIG. Hyperscale SIG теперь опирается на Fedora, а не на дерево CentOS/RHEL.

Постоянный URL: http://servernews.ru/1099563
11.01.2024 [02:17], Владимир Мироненко

В честь 20-летия сообщество OpenWrt выпустит Wi-Fi 6 роутер стоимостью менее $100

В 2024 году проекту OpenWrt, дистрибутиву Linux, разработанному для использования в маршрутизаторах и других сетевых и встраиваемых решенияз, исполняется 20 лет. Сообщество разработчиков OpenWrt решило отпраздновать юбилей созданием беспроводного роутера OpenWrt One (AP-24.X), построенного на плате в стиле Banana Pi.

Естественно, предполагается максимальное использование open source ПО (за исключением прошивки беспроводного чипа), наличие U-Boot и поддержка в ядре Linux. Ожидается, что стоимость устройства не будет превышать $100. Схемы сборки устройства будут поставляться с открытой лицензией. Продажей устройства займётся некоммерческая организация Software Freedom Conservancy, ответственная за юридическую защиту проекта OpenWrt.

 Изображение: Banana Pi

Изображение: Banana Pi

Платформа будет построена на SoC MediaTek MT7981B. Поддержку Wi-Fi 6 обеспечит чип MediaTek MT7976C (2×2 2,4 ГГц + 3×3/2×2 + DFS 5 ГГц). Объём оперативной памяти DDR4 составит 1 Гбайт, ёмкость флеш-памяти SPI NAND — 128 Мбайт, SPI NOR (загрузчик + служебные данные) — 4 Мбайт. Расширить память можно будет с помощью слота M.2 для NVMe SSD (PCIe 2.0 x1).

Устройство получит два разъёма Ethernet (2.5GbE + 1GbE), порты USB 2.0 Type-A и USB-C (UART, консоль, CDC-ACM, питание), JTAG, RTC (с разъёмом для батарейки) и слот mikroBUS. Также сообщается о кнопке сброса и пользовательской кнопке на корпусе, механическом переключателе режима загрузки (восстановление или штатный режим) и четырёх светодиодах. Создатели надеются получить собственный OUI-блок, который впоследствии можно будет задействовать в других open source проектах.

Разработчики намерены сделать устройство максимально защищённым, в том числе от «окирпичивания». Этому будут способствовать несколько режимов восстановления, простой доступ к консоли и применение внешнего аппаратного watchdog-монитора. А благодаря слоту M.2 можно будет выполнить загрузку дополнительных дистрибутивов, таких как Debian или Alpine.

Постоянный URL: http://servernews.ru/1098585
Система Orphus