相关分享
1
喜欢
bl
blog.delphij.net
/
2026-05-10 18:36
Postmortem: 关于 xzutil 后门事件的一些事后复盘
xzutils 后门事件是近年来最具代表性的开源供应链攻击案例之一。本文不是重复介绍漏洞原理,而是从 FreeBSD 维护者的角度,复盘这一事件如何影响系统发行版的第三方软件引入流程。
文章指出,FreeBSD 最终没有受到实际影响,很大程度上来自其重写 build 部分、删除用例代码等工程实践。但作者也坦承,这并不意味着流程无懈可击,尤其是在使用上游签名 tarball、比较 git 内容、运行构建脚本等环节,仍然存在被攻击者利用的空间。
最值得关注的是,文章把供应链攻击的目标从“最终用户系统”前移到了“维护者本人”。如果维护者在本机、非隔离环境中执行下载来的代码或生成脚本,攻击者完全可能先攻破维护者环境,再进一步污染下游生态。
这篇文章适合关注开源治理、发行版维护和软件供应链安全的读者阅读。它的价值不在于给出复杂技术细节,而在于提醒团队重新审视日常维护流程中的默认信任。
无图
1
喜欢
in
innei.in
/
2024-09-09 23:44
一种在 Electron 和 Web 环境下显示原生及自定义菜单的通用方法
在 Electron 和 Web 环境下如何统一展示原生和自定义菜单?本文提供了通用的解决方案,通过封装组件和调用方法,解决了两种环境下菜单交互不一致的问题。如果你正在开发跨平台应用,这篇文章能为你提供实用的开发技巧!
无图
1
喜欢
ix
ixyzero.com
/
2024-08-06 08:18
2024年CrowdStrike导致的Windows系统大规模蓝屏事件整理
本文整理了2024年7月19日因CrowdStrike导致的大规模Windows系统蓝屏事件。由于CrowdStrike更新其Falcon安全产品的配置文件,许多Windows系统出现蓝屏崩溃,影响全球多国的重要业务系统。此事件引发了对安全软件稳定性和供应链风险的反思。作者分析了事件的时间轴、技术原因及对安全产品设计的启示。
无图
1
喜欢
so
soulteary.com
/
2024-08-06 07:58
2024 年中总结 - 苏洋
本文总结了作者在2024年上半年的个人成长和技术进展。作者在GitHub上积极参与开源项目,分享了1100多次代码提交,推动了多个Docker项目的发展。同时,他在知乎和其他技术平台上取得了显著的写作成就,包括获得“大模型优秀答主”称号。此外,作者还参与了多个技术活动和社区交流,推动AI技术的普及和应用。文章还提到他在多平台上的活跃表现和未来的计划。
无图
1
喜欢
zh
www.zhangxinxu.com
/
2024-08-06 07:48
如何用简单的Web方法实现图片的马赛克效果
文章介绍了如何通过简单的Web技术实现图片的马赛克效果。作者主要讨论了使用SVG滤镜来实现此效果,尤其是通过使用像<feFlood>、<feComposite>和<feMorphology>等SVG元素。此外,文章还探讨了通过CSS属性image-rendering: pixelated来模拟马赛克效果的方法,即通过放大小图片来达到效果。文中提供了详细的示例和代码片段来帮助实现这些效果。
无图
1
喜欢
jo
jokerbai.com
/
2024-05-05 23:22
Kubernetes中的事件收集以及监控告警
随着微服务以及云原生的发展,越来越多的企业都将业务部署运行到Kubernetes中,主要是想依托Kubernetes的可扩展、可伸缩、自动化以及高稳定性来保障业务的稳定性。
然而,Kubernetes本身是一个复杂的管理系统,它既然是作为企业业务的基础设施,其本身以及运行在集群内部的业务系统对于企业来说都变得非常重要。
无图
1
喜欢
zh
www.zhangxinxu.com
/
2024-03-21 22:53
今天才知道,Web网页也能阻止息屏了
Chrome和Safari浏览器都支持了名为Screen Wake Lock的API,可以设置Web网页打开的状态下,显示器屏幕不会自动休眠。
无图
1
喜欢
li
lisenhui.cn
/
2024-03-13 13:20
记一次无法弹出移动硬盘的记录
或许在当下云计算时代,已经很少有人会用到移动硬盘或U盘的经验,亦或者大多数人都没有弹出移动设备后再拨出的习惯。笔者因早年在使用U盘时经历过直接拨出U盘导致其报废的“惨痛”教训,因此对移出设备的操作是铭记于心,万不敢直接拨插移动设备。但就是这个只需点击一次移出设备的操作,很多时候就会让我们有些烦恼,因为它有时候总喜欢和你对着干。这不今天就遇上一件无法解释的诡异现象:移动硬盘无法弹出,尝试过之前的各种妙招后仍是无济于事,最后也只是能祭出万能的关机大法才算是得以解脱。
无图
0
喜欢
te
tech.meituan.com
/
2024-01-28 23:48
美团RASP大规模研发部署实践总结
RASP是Runtime Application Self-Protection(运行时应用自我保护)的缩写,是一种应用程序安全技术。RASP 技术能够在应用程序运行时检测并阻止应用级别的攻击。随着云计算和大数据的发展,应用程序安全越来越受到重视。RASP 技术作为一种新型的安全防护手段,正在逐渐被业界接受并广泛应用。
无图
0
喜欢
zg
zgq.ink
/
2024-01-17 23:20
Web App: 从 HTML 到 Jamstack
Web 领域已发展得十分庞杂,就知识规模来说已不是你我一个人可以穷尽。从 Web 前后端开发角度来看,前端当下正流行着 Next.js、Remix 等 SSR 方案、以及 React 后续继续开发的 Server Component 等等;后端方面则搞出了“云原生”相关的一整套技术生态,各路轮子百花齐放,一不留神就容易沉迷其中而难以自拔。
对于开发者来说,越来越重要的事情也是,放下“穷尽一切”的执念,寻找属于自己的一隅落脚之地。在学习精力、时间有限的背景下,关注点也需要开始区分优先级,关于哪些技术细节值得关注,哪些其实不必花太多时间。
在这寻找落脚之地的旅程中,对事物发展的脉络有一个大致的把握,也变得越来越重要。大致也是需要搞清楚,当前 Web 技术大概发展到了什么样的程度,当下有什么问题正在被解决,哪些技术又可能成为历史包袱被淘汰。
想起我自初中开始接触编程至今,冥冥中伴随着 HTML5 技术从萌芽到成熟的过程,当下 HTML5 已融入我们生活方方面面,乃至于已向客户端开发领域进一步扩展。也许可以就我的所见所想,简单理一理其中经历的一些比较关键的形态,也让我对接下来时间精力大概可以投向的方向有所感知。至于技术细节,网络上有着丰富的资料,这里就不再赘述。
无图