永远的风

如果一切按计划进行，红帽(Red Hat)将成为第一家年收入超过10亿美元的开源软件厂商。这对于开源软件社区将是一个转折点。开源软件社区一直认为他们基于社区的开发方法是可行的、甚至是优越的、可替代传统的软件的开发方式。

红帽CEO吉姆·怀特赫斯特(Jim Whitehurst)称，我认为，我们将看到产生技术创新的地方将发生一个根本的转变，从几家软件公司的实验室转向庞大的开源软件的努力。

随着Linux、Apache Web server、Perl、Apache、Hadoop、OpenOffice、GIMP和几十个其它的开源软件计划给商业性软件带来更大的压力，开源软件在过去的几年里肯定给专有软件世界带来了混乱。但是，明天的开源软件的重量级产品是什么?下面是在2012年需要密切关注的五个项目。这些项目可能构成新的业务和新的行业的基础。这些项目也可能是仅仅因为能够更容易地或者更廉价地完成任务而受到了开发者和管理者的关注。

1.Nginx

在过去10年的大部分时间里，Web服务器软件的选择一直是稳定的。Apache一直在大多数Web服务器上应用，而微软的IIS(互联网信息服务)用于许多其它的服务器。然而，在过去的几年里，第三个进入这个市场的Nginx的应用一直在增长，因为这个软件能够轻松处理高容量的通讯。

据Nginx软件开发人员预测，Nginx目前已经在5000万个不同的互联网域名上运行，大约占整个互联网的10%。Nginx特别广泛地应用于通讯量非常大的网站，如Facebook、Zappos、Groupon、Hulu、Dropbox和WordPress。毫不奇怪，这个软件的创建者伊戈尔·西索夫(Igor Sysoev)在2004年设计Nginx软件的时候就是专门为处理大量同时使用网络的用户设计的，每台服务器最多有1万个连接。该公司共同创始人安德鲁·阿莱克谢耶夫(Andrew Alexeev)称，这是一个非常精细的架构。Nginx公司提供商业版本的Nginx软件。

即将到来的一年将是Nginx的一个好年景。Nginx去年从一些风险投资公司那里获得了300万美元，其中包括戴尔CEO迈克尔·戴尔(Michael Dell)支持的风险投资公司。Nginx与Jet-Stream合作为软件厂商的CDN(内容交付网络)软件包提供Nginx软件。该公司还与亚马逊合作为AWS(亚马逊Web服务)云服务优化Nginx软件。

除了用于大型网站运营之外，阿莱克谢耶夫预计Nginx将更广泛地用于新兴的云计算和共享的服务市场。他说，预计在明年推出的Nginx软件的下一个重要的发布版将更适合共享的托管环境。这个软件将能够更好地应对分布式拒绝服务攻击并且将配置额外的安全功能。

2.OpenStack

OpenStack项目进入云计算领域的时间比较晚。但是，这个项目有一个不可缺少的功能：可伸缩性。

OpenStack项目政策委员会主席乔纳森·布赖斯(Jonathan Bryce)称，我们正在谈论使用OpenStack运行一个拥有100台服务器或者1000台服务器的云。那里的其它选择确实没有考虑到这个规模。

自从2010年推出以来，OpenStack迅速赢得了惠普、英特尔和戴尔等云计算领域的IT公司的支持。OpenStack的贡献者喜欢把自己的工作称作增长速度最快的开源软件项目，参加者包括144家公司和2100多人。戴尔推出一个名为戴尔OpenStack云解决方案的软件包，把OpenStack与戴尔自己的服务器和软件结合在了一起。惠普也推出一个采用这个技术的测试版的公共云服务。

OpenStack的核心的计算组件是在美国航天局艾姆斯研究中心(Ames Research Center)为存储大量空间图片的一个内部云开发的。据曾经负责开发OpenStack云控制器前艾姆斯研究中心CIO克里斯·坎普(Chris Kemp)称，美国航天局管理人员原来试图使用Eucalyptus软件项目平台，但是，发现这个软件很难升级到需要的水平。

管理的托管提供商Rackspace的首席技术官约翰·安格斯(John Engates)说，为了帮助更广泛地应用，OpenStack正在配置许多新的功能，使这个软件更适合企业应用。一个名为“Keystone”的项目允许机构把OpenStack与自己的身份管理系统结合起来，或者与基于微软主动目录或者其它LDAP(轻型目录访问协议)的身份管理系统结合起来。此外，开发人员也正在为这个软件开发一个前端门户。Rackspace还将把这个项目剥离为一个完全独立的实体，希望它成为更多的云提供商的一个诱人的选择。

安格斯称，2011年将是这个产品打基础的一年。但是，我认为，2012年我们将真正开始利用这个基础在许多私有云和公共云中使用3.Stig

过去的一年是Cassandra、MongoDB、CouchDB和无数其它非关系数据库的应用显著增长的一年。但是，在9月份举行的“NoSQL Now”会议上，人们更多谈论的是尚未发布的数据存储Stig。如果幸运的话，我们将在2012年看到Stig。

Stig的维护者称，Stig是为社交网络网站的独特的工作量设计的。Stig是社交网络网站Tagged的软件工程师杰森·卢卡斯(Jason Lucas)创建的。他把这个技术称作分布式图表数据库。Stig旨在支持大量互动的和社交网络应用。这个数据商店的架构允许进行推论性的搜索，允许用户和应用程序查找信息的不同部分的联系。由于Stig是用Haskell功能编程语言编写的，它能够轻松地把自己的工作量分散到多台服务器。

Stig仍然有一些神秘感，因为它到目前为止还没有发布。但是，观察人士预测，它适合社交网络和其它保持广泛的数据的应用。卢卡斯解释说，社交网络的需求从一开始就与其它类型的工作不同，因此将受益于适合它需求的数据库。如果不能升级到行星的规模，你在这个领域就不能成为一个相关的服务。

Stig目前在Tagged网站的一台服务器上运行，不过，该公司预计将把Stig扩大应用为该公司唯一的数据库。开发人员原计划在12月开放这个软件的源代码，但是，后来推迟到2012年的某个时候。

咨询公司Kelly-McCreary & Associates的语义解决方案设计师丹·麦克里(Dan McCreary)说，我看到的情况是非常有趣的。他赞扬这个数据库的功能语言架构。这个架构将使这个数据库在多台服务器上部署更方便。

4.Linux Mint

尽管开源软件支持者的多年宣传，Linux从来没有广泛应用于台式电脑。但是，一直有一个用户友好的Linux发布版作为替代微软Windows的软件在使用。在最近几年，Canonical公司的Ubuntu已经完成了自己的任务，尽管日益流行的Linux Min也许会因为更容易使用而超过Ubuntu。

软件工程师克莱门特·勒费布尔(Clement Lefebvre)在评估了在线论坛中的各种Linux发布版之后首先创建了Linux Mint。勒费布尔在这个工作中产生了在这个理想的发布版中应该有什么功能的想法。就像Canonical为自己非常流行的Ubuntu感谢Debian Linux发布版一样，勒费布尔把Ubuntu作为Linux Mint的基础。现在，Linux Mint项目得到了捐献者的资金、自己网站的广告收入和来自用户搜索的收入。最后一项收入是通过与DuckDuckGo建立的一个有争议的合作实现的。

Linux Mint是仅需要桌面操作系统而不想了解更多的Linux工作原理的用户设计的。这个方法使安装和运行这个软件非常容易，维护也不成问题。更胜过Ubuntu的是，Linux Mint强调轻松的使用性，在新功能证明自己值得使用之前，一般不使用新的功能。

例如，Linux Mint避开有些争议的“Unity”桌面界面。Canonical应用这个界面更轻松地把Ubuntu移植到移动平台。相反，Linux Mint坚持使用更知名的和更成熟的Gnome界面。

事实上，由于Ubuntu的伤害，这种严格坚持可用性的做法也许有助于Linux Mint。Linux Mint称它的操作系统是全球排名第四位的桌面操作系统，仅次于Windows、苹果Mac和Ubuntu。在过去的一年里，Linux Mint在DistroWatch Linux新闻网站产生的网页浏览量甚至超过了Ubuntu。这个指标反映了Linux发布版的流行程度。毫无疑问，2012年将看到Linux Mint更多的增长。

5. Gluster

红帽能够给存储软件领域带来它曾给Unix操作系统市场带来的那种革命性的变化吗?今年10月，红帽收购了开源软件公司Gluster。这家公司制作的开源软件GlusterFS且文件系统能够把商品化SATA(串行高级技术附件)硬盘和NAS(网络附加存储)系统连接到大规模的可伸缩的存储池。红帽计划使用它占领Linux操作系统市场的方法统治存储领域。

据红帽CEO吉姆·怀特赫斯特称，存储软件市场每年收入达40亿美元，不过，这不是红帽对这个技术感兴趣的原因。相反，红帽感兴趣的是找到一种能够使云迁移更方便的存储技术。他说，我们寻找一些开源软件能够作为更强大的技术创新的方式的地方。我们正在寻找一些能够盈利的地方。在这方面，还没有其它的解决方案。

这个软件已经有一些增长势头，至少在管理员下载和测试这个软件方面是如此。在过去的一年里，GlusterFS的下载量增长了300%。在今年11月，这个软件的下载次数超过了3.7万次。(编译/胡杨)

本文转载自企业级IT信息服务平台-网界网-CNW.com.cn
原文地址：http://www.cnw.com.cn/news-report/htm2012/20120103_240087_2.shtml

云计算已经如此广泛地被人们接受，因此不能列为2012年的一个令人兴奋的发展。相反，人们将看到更多的有组织的合作利用资源与核心IT部门进一步推动云应用。下面是2012年云计算领域预计将发生的主要事情。

1. 2012：混合云之年

这个趋势的最明确的表述是认真关注私有云计算。在这方面，更多的企业数据中心将应用虚拟化的和自动化的操作，包括最终用户的自助服务。为什么，因为如果得不到完全的信赖的话，公共云只能是这个领域的长期参与者。向内部云计算过渡与公共云并不是对立的。相反，这个情况反映了IT内部日益认识到它自己的环境需要尽可能的高效率和兼容性。

对于兼容EC2的通用的Nimbula Director云操作系统Eucalyptus Systems和OpenStack的关注显示了认真的私有云计划和实施的全部迹象。如果虚拟化止步于虚拟化的服务器边缘，VMware的云计划就会失败。但是，虚拟化没有止步于虚拟化的服务器边缘。虚拟化扩展到了存储、I/O和网络。把这些资源作为一个虚拟化的池进行管理是向内部云计算迈出了一大步。戴尔支持VMware的云软件和VMware吸引程序员参加其Cloud Foundry的能力都表明人们有兴趣使用未来的私有云计算。

2.在云中实施软件开发

谈到Cloud Foundry，这个今年4月推出的不同寻常的开源软件计划(对于专有软件公司VMware来说是不同寻常的)已经结出了不同寻常的果实。人们越来越多地理解：云中的应用程序是不同的;除非云的开发迁移到云中，否则，这个敏捷的软件开发永远达不到开发运营要求。这些认识支持在市场研究公司Evans Data最近对程序员实施的调查中把Cloud Foundry提名为最佳开发平台。它必须击败微软的Azure和IBM的Smart Cloud(智能云)。微软和IBM的软件都是使用开发人员工具以及谷歌应用引擎设置的。

Cloud Foundry为什么会取胜?业界人士认为Evans Data的调查对于独立的程序员有吸引力。这些人不经常使用IBM Rational或者微软Visual Studio开发工具。此外，VMware正在小心翼翼地培养一个让所有的人都欢迎的开放的氛围。Cloud Foundry是Java程序员的“Spring Framework”计划的起点。但是，在11月中旬，Tier3和Uhuru软件贡献了.Net框架的支持。Cloud Foundry本身是用Ruby语言编写的并且将支持PHP和Python等动态语言。它将成为少数得到广泛支持的开发平台之一。许多编程团体将采用这个平台。因此，更多的开发将迁移到云中。

3.虚拟化的客户机

然而，比开发更大的趋势是支持虚拟化的客户机。到目前为止，成功的故事一直是虚拟化的服务器，大量的困惑的客户机远远地落在后面。在2012年，这种情况将发生改变。在思杰系统公司的领导下，保护客户机的安全在某些方面已经去到巨大进步。如果虚拟桌面比物理台式电脑更安全，那么，采用虚拟桌面的一个重要的成本理由就成立了。能够从一个设备迁移到另一个设备的虚拟用户界面将解决阻止在工作中使用个人计算机的一些冲突。看看主要ATM机供应商Diebold解释的它如何利用虚拟最终用户交易保证其ATM网络的安全。如果用户数据不在端点交易机器上，用户数据就不会被窃。如果这对于ATM机起作用，它也会对你的最终用户客户机起作用。

4.深入的云安全

Capgemini首席技术官乔·科伊尔(Joe Coyle)在一次谈话中做出了一个有趣的预测：2012年将出现一个让人们接受的安全模式。亚马逊在2011年开始推出新的执行PCI标准的评级系统并且表示在EC2服务中可以执行安全的信用卡交易。在2011年，云提供商Terremark在佛罗里达州迈阿密的美国数据中心的网络接入点通过了美国国防部的资讯保证验证与认证过程。同时，Harris采用市场领先的纵深防御技术部署了用于健康医疗数据处理的集成中心。这是客户和厂商对谁承担哪方面责任的理解问题。在2012年，将推出一个如何实现这个目标的蓝图。

5. 节能的数据中心

包括Facebook、谷歌、亚马逊和微软在内的新的数据中心的建设者都吹嘘他们达到的新的节能水平。人们不久就能向密切监视家庭耗电一样监视单个数据中心的耗电情况。节能的云对于IT部门和消费者都是有吸引力的。并非所以的应用都需要300瓦、高容量和高速度的服务器。在某些情况下，15或20瓦就能完成任务。高级的节能的数据中心可能大量使用移动设备，采用惠普曾宣布的配置Calxeda公司的ARM芯片的服务器。采用Cortex芯片的服务器耗电量比普通服务器减少89%，也许不是传送球赛等视频的最佳平台。但是，这些服务器适用于偶尔发布数据告诉你比赛的得分。这些服务器可以使你避开能源消耗太多的红色区域。

6.将发生黑客攻击公共云服务事件

在2012年，我们将看到黑客突破公共云的第一起事故并且产生危害和破坏。这个黑客似乎理解公共云基础设施、公共云防御措施并且阻止被驱逐出去。首席信息官杰里·约翰逊(Jerry Johnson)解释的黑客如何进入Pacific Northwest National Lab(太平洋西北国家实验室)的理由是一个非常诱人的故事，使人们相信公共云有更好的防御。在云计算的目前阶段，通向公共云的有许多大门不断地打开和关闭以便让防御措施发现所有可能发生的事件。纵深防御是需要的并且将推出。但是，纵深防御还不足以阻止事件的发生。(编译/胡杨)

本文转载自企业级IT信息服务平台-网界网-CNW.com.cn
原文地址：http://www.cnw.com.cn/news-international/htm2012/20120102_240086.shtml

在2010年新年前夜，由于无人知道密码，旧金山无法获取其紧急行动中心上运行的备份系统，这或许可以被视为一个不祥的预兆。

2011年即将过去，我们需要回顾并盘点一下这一年中发生的重大IT安全事件。其中的一些事件甚至可能被定性为2011年度高级持续性威胁。

3.15黑客攻击事件

RSA执行总裁Art Coviello在3月15日称，RSA遭到黑客攻击，获取认证的SecurID相关信息被窃取。而这只是麻烦的开始。在这起数据泄露事件中，黑客随后攻击了RSA客户，包括洛克希德马丁公司。Coviello的声明让高级持续性威胁(APT)成为了一个流行词汇。

APT一词最初由美国空军使用，现在演变为专指对网络不间断的攻击行为。RSA的数据泄露在去年第二季度为其母公司EMC带来了5500万美元的损失。

APT在2011年全面爆发。挪威国家安全局在11月称，石油、天然气和防务公司已经成为了这一复杂攻击的目标，这些公司的行业秘密和机密合同谈判等信息均遭到了窃取。据称，有10家挪威公司遭到了带有病毒的特制邮件的攻击，而邮件中的病毒却不会触发反恶意软件探测系统。不过，挪威安全部门并没有透露这些APT可能的来源。

修补这个漏洞!

YGN道德黑客组织(The YGN Ethical Hacker Group)发现安全厂商迈克菲的网站McAfee.com存在严重漏洞，并私下与迈克菲取得了联系，向该公司通报了隐患情况。由于迈克菲迟迟没有解决这些隐患，YGN在3月份对外公布了这一情况。YGN的这一举动让迈克菲非常尴尬，并向客户解释并不存在风险。此外，YGN还在苹果开发者网站上发现安全漏洞的消息。YGN为缅甸的网络安全研究机构，身份为白帽黑客。尽管他们仅进行“道德”攻击，以发现软件存在的弱点，但是他们在实际操作中对公共网站进行未经授权的弱点测试违反了美国的法律。

芝麻开门!开源也遭黑

开源软件的领军公司MySQL.com、拥有Linux.com和Linux.org的Linux基金会、Kernel.org以及开源的OS Commerce软件都遭到了恶意软件的黑手。一名俄罗斯黑客甚至以3000美元的价格叫卖My.SQL域名的超级用户访问权限。

你能听到我的呼唤吗?

Verizon在2010年12月推出的4G LTE网络出现全国性的大面积中断。大面积的网络中断事件在去年不只出现这么一起。黑莓的数据服务在10月份出现了持续四天的全球范围内的中断。在黑莓正在全力让迎战苹果iPhone的挑战时候，出现这种情况想必也是黑莓不愿意看到的。RIM号称的“双冗余、双容量的核心交换机” 出现故障，备份交换机也未能激活，这导致全球的黑莓用户要么出现了问题，要么没有服务。RIM公司在首席执行Mike Lazaridis被迫为此事件公开向用户道歉，并表示这次特殊的服务中断事件是公司历史上最糟糕的事件。

在11月份，北美和欧洲之间出现了短暂的互联网中断。这一事件明显与进行边界网关协议升级的Juniper路由器存在泄漏有关，这导致美国宽带运营商Level3等公司受到了影响。这一事件提醒我们，我们每天习以为常的互联网很容易出现故障。

或许根本就不在云上……

微软基于云的BPOS通信与协作套件在6月份出现了服务中断，此前亚马逊的EC2服务在2月份出现过访问问题并在8月份出现了短暂的中断。VMware的Cloud Foundry服务在测试期间就出现了服务中断事件。此外，我们不应当忘记诺斯罗普格鲁门公司。该公司已经同意向弗吉尼亚州的26个政府部门支付500万美元，以作为数据中心服务中断的赔偿金。

到底是俄罗斯黑客攻击了伊利诺斯州供水系统，还是承包商碰巧在俄罗斯旅行?

是俄罗斯境内的IP地址11月份对伊利诺斯州Curran-Gardner城区供水系统的SCADA系统发动攻击，远程遥控水泵频繁开关并最终导致烧毁的吗?伊利诺斯州反恐与情报中心(STIC)在11月份针对此事件提交了一份秘密报告，不过能源行业分析师Joe Weiss在当月就向《华盛顿邮报》的记者披露了报告的内容。在媒体纷纷报道这一事件的时候，美国FBI和国土安全部表示，他们已经调查了伊利诺斯州反恐与情报中心的报告，但是手中没有证据能够证明这些猜测。消息人士称，网络访问来自俄罗斯这一疑问目前与Curran-Gardner城区供水系统承包商碰巧在俄罗斯远程访问Curran-Gardner网络有关。不过，美国国土安全部表示，事件分析还在进行当中。

2011年数据泄露排行榜

在4月份发生的“索尼被黑”事件导致黑客从索尼在线PlayStation网络中窃取了7700万客户的信息，包括信用卡账号。这一黑客攻击事件导致索尼被迫关闭了该服务。索尼在5月份表示，攻击导致其损失了1.7亿美元。

Epsilon公司在4月份称，一名黑客窃取了其大约2%的用户名和客户地址，这些客户包括了Walgreens、百思买、花旗银行、摩根大通、Kroger连锁超市。

在Comodo、DigiNotar和GlobalSign等SSL数字认证提供商纷纷发生数据泄露问题之时，一名自称为“Comodohacker”的21岁伊朗学生声称对其中的部分公司发动了攻击。攻击手法包括伪造谷歌证书，通过这种方法，攻击者可以窃取用户Gmail账户登录细节，同时用户的浏览器也不会发出用户所登录的网站并不是真正谷歌网站的警告。这一黑客攻击发生后，荷兰政府禁止使用DigiNotar证书，这最终导致荷兰Vasco安全系统旗下的DigiNotar破产倒闭。

美国政府的研究实验室一直以来都是黑客攻击的目标。4月份发生的网络攻击迫使位于田纳西州的橡树岭国家实验室关闭了其电子邮件和互联网访问。在这起网络攻击中，该实验室的573名雇员均收到了钓鱼邮件。由于在今年夏季收到了类似的鱼叉式网络钓鱼攻击，美国能源部下属的太平洋西北实验室也关闭了其电子邮件和互联网连接。

6月份，花旗集团承认有黑客侵入并有超过36万用户的信用卡数据被黑客盗取。这起黑客入侵事件为花旗集团造成了270万美元的损失。

由于德克萨斯州320万市民的社保账号和个人信息被泄露，该州审计官办公室解雇了其信息安全主管和创新与技术主管。

11月份，有大量Facebook用户的信息流中出现了色情和暴力图片,其中部分是伪造的贾斯汀·比伯(Justin Bieber)和其他名人的不雅照。Facebook被迫清除了这些色情数据。

罗马尼亚有关部门逮捕了一名26岁的黑客，指控其非法侵入多个NASA服务器，导致美国宇航局的系统损失了50万美元。

谁在关注应用商店?

由于发现了恶意应用，谷歌在3月份被迫从其安卓市场上下架了大约50个安卓应用，这是一个令人震惊的消息。DroidDream恶意软件的影响远远超过了之前谷歌安卓市场遭到的任何攻击。

Anonymous黑客组织崛起

2011年是活跃的黑客组织Anonymous崛起的一年。该组织通常以全球的商业和政府机构为攻击目标，他们窃取数据后并对外公布，或是发动攻击迫使网站下线。由于试图跟踪Anonymous黑客组织，该组织在去年冬季对安全技术公司HBGary Federal公司发动了攻击，并引起了外界高度重视。据信，Anonymous领导了对美国科氏工业集团、美国银行和北约的攻击，以及对纽交所的DDoS攻击。Anonymous在 “占领华尔街”和旧金山湾区疾速交通网(BART)的抗议运动中非常活跃。

此外，外界认为Anonymous还参与了针对突尼斯、巴西、津巴布韦、土耳其、澳大利亚、马来西亚政府和佛罗里达商会的攻击行动。近期，Anonymous活跃分子将攻击目标转向了儿童色情网站和墨西哥贩毒集团，后者被指绑架了Anonymous成员。

Duqu病毒：我们并不期盼的东西

Duqu病毒在10月份被发现。匈牙利研究实验室CrySyS与全球顶级反病毒厂商分享了他们对这一新威胁的分析情况。

卡巴斯基实验室在苏丹和伊朗均发现了Duqu病毒感染案例。据信，Duqu病毒与震网蠕虫病毒有着密切的联系。Duqu为非常灵活的恶意软件传输架构，其可用于偷运数据。

木马主要模块由三个部分组成：将流氓库(DLL)注入至系统程序中的核心驱动;用于诸如写入注册表或执行文件等处理与命令与控制服务器和其它系统操作间通信的DLL;配置文件。

CrySyS最终公布了一个用于探测与删除病毒的工具包。微软也公布了一个专用工具，允许Windows用户手动修补系统，以应对Duqu病毒威胁。

Duqu病毒据信已经发起了多起针对机构的定向攻击。该病毒极可能在2012年大爆发。

十天大雨

在3月份，韩国境内的计算机受到了一个多层僵尸网络为期十天的攻击，这一事件证明僵尸网络是一种极难对付的威胁。然而正当人们开始全力应对时，攻击戛然而止，同时恶意软件突然给予僵尸计算机致命一击，破坏了其文件并让机器无法启动。迈克菲的安全专家称，攻击是由朝鲜发起的，整个攻击设置极为复杂——40个命令与控制服务器、能针对探测进行的代码、多重加密表，这些已经远远超过了发动有效DDoS攻击的需要。迈克菲的观点是：这起被称为“十天大雨”的攻击事件旨在侦察和评估韩国政府和军事承包商的应对速度，这对于日后发动毁灭性攻击是一个非常有价值的情报。

本文转载自企业级IT信息服务平台-网界网-CNW.com.cn
原文地址：http://www.cnw.com.cn/news-international/htm2011/20111205_238625.shtml