印度政府在 Apache v2 许可证下开源了它的接触者跟踪应用 Aarogya Setu，源代码托管在 GitHub 上。印度政府是在四月初发布了 Aarogya Setu，不到两个月时间其安装量超过了 1.14 亿。印度政府首先公开的是 Android 版本的源代码，iOS 和 KaiOS（基于 Firefox OS）版本的源代码将在未来几周内释出。 印度电子和信息技术部部长 Ajay Prakash Sawhney 表示公开源代码允许其他人检查和寻找漏洞，政府将提供最高 1,325 美元的奖励给发现和报告漏洞的人。其它国家也在 GitHub 上释出了官方接触者跟踪应用的源代码，如澳大利亚。     （稿源：solidot，封面源自网络。）

德国和法国的研究人员在预印本网站 arXiv 上发表论文（PDF），分析了过去几年发生的开源软件供应链攻击。软件供应链攻击有两类：其一是在软件产品中植入恶意代码去感染终端用户，此类攻击的一个著名例子是发生在乌克兰的 NotPetya 勒索软件攻击。 攻击者入侵了乌克兰流行会计软件的更新服务器释出了恶意更新，这次攻击造成了数十亿美元的损失，是已知最具破坏性的网络攻击之一。 另一个例子是 CCleaner 的恶意版本通过官网传播给终端用户，它在长达一个多月时间里被下载了 230 万次。另一类软件供应链攻击是向软件产品的依赖包植入恶意代码。随着开源软件开发模式的流行，此类的攻击日益常见。 研究人员分析了 npm、PyPI 和 RubyGems 软件包管理系统发现的 174 个恶意依赖包，他们发现 56% 的软件包在安装时触发恶意行为，41% 使用额外的条件去判断是否运行。61% 的恶意软件包利用了名字相似性向开源生态系统植入恶意包。攻击者的主要目的是析取数据。     （稿源：solidot，封面源自网络。）

本周二微软在GitHub上发布了名为“ElectionGuard”的开源软件，并表示该软件已经融入到美国的票选系统中，从而避免这次美国总统大选免受黑客的攻击。早在今年7月份，微软就已经公开演示了ElectionGuard软件，旨在保护电子投票系统免受黑客攻击。 图片来自于 微软 微软表示随着对网络攻击的担忧不断升级，该软件使电子投票系统更加安全。在过去1年中，微软已经向超过10,000名已经被外国列为攻击目标的用户发出警告，避免他们受到伤害。微软在7月份表示，这些网络攻击主要目的是获取信息以及干扰选民，主要来自于伊朗、朝鲜和俄罗斯。 ElectionGuard允许人们直接在屏幕上投票，获取跟踪代码以确认他们的投票已被计数且未被更改，然后获得实际的打印确认。微软周二表示：“ ElectroGuard可以通过设计获得，它将使投票在美国或世界各地的民主国家中使用的任何地方都更加安全，可验证和高效。”   （稿源：cnBeta，封面源自网络。）