美国民主党总统候选人 Elizabeth Warren 上个月因选情不佳而退出，其竞选团队刚刚宣布开源在竞选中使用的软件，并为使用开源软件节省资金而感到自豪。Warren 竞选团队的技术部门依赖于开源技术，也希望回报社区，因此决定将其重要的项目开源，供任何人使用。这些项目包括：点对点短信平台 Spoke，投票位置查询工具 Pollaris，志愿者支持网站的前端和后端，数据工具 Redhook，等等。

LLVM 编译器套装项目释出了 10.0.0 版本。LLVM 项目目前的发布计划为每半年发布一个大版本。10.0.0 版本的主要变化包括：Clang 支持 C++ Concepts；Clang 默认不再运行在一个独立进程上；支持 Windows 10 内置的安全特性 Control Flow Guard (CFG)；支持更多处理器核心和特性，等等。更多可浏览 LLVM、Clang、Extra Clang Tools、lld 和 libc++ 的发布公告。

今天的主流浏览器几乎全部是基于开源浏览器，但开源社区流行的创建分支却日益变得不切实际，原因是 Web 和浏览器变得太复杂了。W3C 的规格数量以平均每年 200 个的速度增长，这些规格大约有 200 万字，一个新的浏览器团队要按照这一速率去实现规格是非常困难的。W3C 目前的规格总文字数为 1.14 亿，比 C11、C++17、UEFI、USB 3.2 和 POSIX 规格文本等加起来还要多几千万，构建一个新的浏览器基本上是不可能的了。创建一个新的浏览器已经相当于阿波罗登月任务或曼哈顿工程了。

HardenedLinux 写道 "srcinv旨在通过编译器编译时的中间信息搜集和分析全局角度审计整个项目，近日发布的v0.5版本实现了针对GCC编译的程序基于ALL_IPA_PASSES_END进行收集和解析的功能。当前Ubuntu 18.04下使用v5.3内核和GCC 8.3.0进行测试结果大概如下：内核编译(仅生成vmlinux)生成了30+G的数据文件，总共2537个.c源文件，解析生成了4G的索引数据，解析完成之后, 能够得到一级函数指针的调用关系（比如__vfs_read函数和tty_read）。未来的版本会基于稳定性修复的前提下去完成函数参数的回溯（例如函数调用时的实参为函数用以完善函数调用链），函数内部逻辑的梳理（入口到出口的执行流程）以及单条执行路径的状态指示（路径到达的必要条件和影响因素等），简单漏洞模型的静态检测和动态验证等feature。

匿名读者 写道 "WebP是一种同时提供了有损压缩与无损压缩的图片文件格式，目标是减少文件大小，但达到和JPEG格式几乎相同的图片质量。

生成单张 WebP 图片非常简单，批量转换也没太大难度。但是如果让点的图片可以无痛地以 WebP 格式输出，比如我们的博客上有 100+ 张图片转换该如何操作呢？

部分云服务商提供了转换服务，对于个人站点而言，为了同样在不改变站点原始 URL 的的情况下将图片压缩 WebP 格式输出，做到节省流量+提升页面加载速度的效果，WebP Server Go 应运而生。

使用 Go 编写的 WebP Server 是一个单一的 binary，性能优异，并且可以无缝转换JPG/PNG为webp。只需要一次配置即可在不改变 URL 的情况下将站点图片以 WebP 格式输出，唯一改变的只有 content-type 和 length，无痛加速站点。原来下载10M的图片要花10秒钟，使用WebP Server Go，只需要一秒钟就够了。"

FreeNAS 是设计用于 NAS(网络附加存储)设备的开源自由软件操作系统，该项目主要由 iXsystems 领导开发，该公司还有另一个相关联但独立的企业级 NAS 操作系统 TrueNAS。iXsystems 现在宣布将两个版本合并为一个版本，合并后的版本将使用 TrueNAS 的名字。iXsystems 称，FreeNAS 和 TrueNAS 共享了大部分代码，最新版本 FreeNAS 11.3 和 TrueNAS 11.3 共享了 95% 的代码。从 TrueNAS 12 开始，两者将合二为一，但该公司将会仍然提高两个版本，其中 TrueNAS CORE 为开源版本，TrueNAS Enterprise 为商业版本。

RISC-V 基金会执行董事 Calista Redmond 接受 InsideHPC 采访谈论了这一开源指令集架构的现状。她称 RISC-V 吸引了越来越多的信徒，其生态系统正以前所未有的速度快速扩张。已经启动的 RISC-V 项目从可穿戴健康监视器到扩展云数据中心的芯片。Semico Research 估计到 2025 年会有 624 亿个 RISC-V CPU 核心。RISC-V 的一个用例是自主驾驶汽车，自主驾驶汽车需要低功耗但高性能的处理器去实时处理数据。她指出亚马逊、Google 和阿里巴巴都在设计自己的芯片，而西部数据和英伟达已在其产品中包含了 RISC-V 微控制器。基金会在 2019 年举办了 20 场地区活动。在中国，基金会有 30 位成员，有超过 200 人参与了当地的协会。印度政府支持的一个项目将创造 6 个不同的 RISC-V 处理器。甚至巴基斯坦对 RISC-V 也非常热心，有 3000 人出席了两次当地活动。她相信 RISC-V 有机会对芯片行业产生破坏性冲击。

因正在爆发的新冠疫情，计划在近期举办的主要技术会议纷纷取消或延期。Google 宣布取消了线下的 Google I/O 大会；RedHat 取消了它的 2020 年峰会，改为 4 月 28 日和 29 日举办线上虚拟活动；计划今年 7 月在上海举办的 2020 KubeCon + CloudNativeCon China 会议取消，计划在 3 月 30 日到 4 月 2 日在阿姆斯特丹举办的欧洲会议 KubeCon + CloudNativeCon Europe 2020 会议延期到 7 月或 8 月。

OpenSSH 项目释出了 8.2 版本。上个月研究人员报告，SHA-1 哈希算法的构造前缀碰撞攻击成本降至 4.5 万美元。OpenSSH 开发者因此决定默认禁用 ssh-rsa 公钥签名算法，尽管存在更好的替代但 ssh-rsa 仍然使用广泛。这些替代算法包括 rsa-sha2-256/512、ssh-ed25519 和 ecdsa-sha2-nistp256/384/521 等。OpenSSH 将使用 UpdateHostKeys 检查服务器是否处理更安全的算法。OpenSSH 8.2 的另一个新特性是支持 FIDO/U2F 硬件令牌。

学生开源年会 写道 "学生开源年会组委会今日宣布：第 1 届中文学生开源年会 sosconf.zh 2020 将于 2020 年 5 月中旬在电子科技大学清水河校区举行。考虑到新型冠状病毒疫情影响，中文学生开源年会保留届时做日期调整的可能性，sosconf 的一切安排将以人的健康为第一原则以及国家防疫大局为重，敬请保持关注最新消息。详情请参见：《sosconf.zh 2020 第一届中文学生开源年会 5 月将在电子科技大学举办》"

代码搬运工 写道"MojoJS-Query（GitHub）是一个使用JS实现的CSS选择器引擎，其功能实现特点如下：

• 支持所有CSS3选择器，以及更多非标准选择器（如has，not）。
• 性能高效，只比native实现慢2~3倍。
• 代码结构极其简洁、短小、易懂。
• 非常容易扩展，自定义的非标准选择器实现。

最后，在线速度测试：提供了与native和sizzle（jQuery）的性能测试对比。"

The Document Foundation 正式释出 LibreOffice 6.4。新版显著改进了打开和保存电子表格和幻灯片的性能，改善了 DOCX、XLSX 和 PPTX 文档的兼容性。其它变化包括：Start Center 加入了应用程序图标，加强可识别性；二维码生成器支持任意文档内插入二维码，允许用户输入超链接或文本；统一超链接上下文菜单；Automatic Redaction 允许根据文本或正则表达式匹配隐藏文档内的机密数据；改进了帮助系统，等等。

代码搬运工 写道 "MojoJS-Animation是一个超级简洁高效的JS动画引擎（GitHub），功能特点如下： 

• 支持CSS Style和Transform动画。 
• 支持队列和并发动画。 
• 支持多个元素的组动画。 
• 支持动画延迟执行。 
• 支持组动画完成的事件回调（不是单个元素完成回调）。 
• 支持可配置的动画链式调用。 支持标准和自定义的Tween缓动算法。

当前版本v2.0.2，其通用的Tween缓动动画实现框架，可以使用任意编程语言移植实现，更多在线实例和代码。"

邮件客户端项目 Thunderbird 将由 Mozilla 基金会的全资子公司 MZLA Technologies Corporation 负责运营。这一变动不会影响 Thunderbird 项目的日常活动或使命，它仍然是一个开源自由软件项目，发布时间表没变，开发团队也没变。在 Mozilla Corporation 宣布不再支持它之后 Thunderbird 项目的未来一度悬而未决，但最近几年来自用户的捐赠允许该项目在 Mozilla 基金会下继续成长和有机发展。转到 MZLA Technologies Corporation 之后 Thunderbird 项目将能更灵活，探索新的可能，通过合作和非慈善捐赠获得收入。

ProtonMail 上周公开了旗下的 VPN 客户端 ProtonVPN 的源代码，包括了 Windows、macOS、Android 和 iOS 版本。ProtonMail 称，VPN 服务缺乏透明度和问责，是否有安全认证，是否遵守了隐私保护法律如 GDPR，公开所有应用程序的源代码是理所当然的下一步。ProtonVPN 的程序已经进过了  SEC Consult 的安全审计，Windows 版本的审计报告发现了两个低风险的漏洞；Android 版本发现了 4 个低风险漏洞，其中之一是不安全的登出；iOS 版本发现了 2 个中等风险的漏洞和 2 个低风险漏洞，最严重的漏洞是硬编码凭证和内存中包含有敏感数据。

2020 年 1 月 14 日，微软终止了对 Windows 7 的支持，结束了“毒害教育、侵犯隐私和威胁用户安全的十年历史”，自由软件基金会督促微软做做好事纠正错误，如开源 Windows 7，让 Windows 7 成为自由软件，交给社区去研究和改进它。微软未开源过 Windows 操作系统，但它最近拥抱了开源模式，公开了 Windows 多个核心工具的源代码。自由软件基金会呼吁：Windows 7 的生命并未结束，公开源代码让社区研究、改进和分享；督促微软尊重用户的自由和隐私；付诸实践而不是口头宣传。

微软开源了快速检查第三方开源组件安全问题的命令行工具 Application Inspector，源代码采用MIT 许可证发布在软件巨人旗下的托管平台 GitHub 上。这个静态源代码分析工具用于帮助开发者在整合第三方开源组件时处理潜在的安全问题。微软开发者称，代码复用有很多好处，但有时也会带来隐藏的复杂性和风险问题。现在的 Web 应用通常包含数以百计的第三方组件，开发者在使用时主要依靠作者的描述，至于软件安全不安全则并不清楚。Application Inspector 通过 500 多条规则模式快速识别可能存在安全问题的代码。

VVVVVV 作者 Terry Cavanagh 在游戏发布十周年之际宣布公开其源代码，代码发布在 GitHub 上，采用 VVVVVV Source Code License v1.0 许可证，开源的是关卡和文字等，图形和音乐等素材没有开源，个人使用可以免费获得素材。VVVVVV 最初是一个 Flash 游戏，开源的代码包含了两个库，其一是 Simon Roth 在 2011 年用 C++ 重写的桌面移植版本，该版本后由 Ethan Lee 更新和维护；其二是用 Actionscript for Adobe AIR 写的移动版本。

代码搬运工 写道 "MojoJson（Github）是一个超级轻量级和超级快速的 JSON 解析器，准确的说是一个通用的 JSON 解析算法，可以被任何编程语言实现。目前提供了 C# 的实现和 C 的实现，前者核心解析代码只有 400 行（不包括数据获取 API），后者只有 300 行（不包括基础数据结构）。

v1.2 版本优化了C#的实现，达到了无以复加的精快（就像叶问的咏春），并增加了 C 的实现版本，两种实现均无第三方依赖，一个文件导入任何项目，开启对 JSON 的数据掌控。

最后，MojoJson 执行 MIT License，无心智负担轻松使用。"

开源促进会联合创始人 Bruce Perens 宣布辞职，原因与软件许可证 Cryptographic Autonomy License （CAL）的批准流程有关。CAL 是律师 Van Lindberg 为 Holo 平台起草的软件许可证，正等待开源促进会批准是否是兼容开源定义的许可证。据知情人士称，Lindberg 私下游说开源促进会的董事对 CAL 放绿灯，而审批流程被认为应该公开进行。Lindberg 回应称，过程类型的沟通是完全合理的，批评很多人对 CAL 有成见。开源促进会许可证评估委员会主席 Pamela Chestek 表示对 Lindberg 是否游说不知情。Bruce Perens 对 CAL 有异议，认为它“不尊重自由”。