相关分享
1
喜欢
bl
blog.delphij.net
/
2026-05-10 18:36
Postmortem: 关于 xzutil 后门事件的一些事后复盘
xzutils 后门事件是近年来最具代表性的开源供应链攻击案例之一。本文不是重复介绍漏洞原理,而是从 FreeBSD 维护者的角度,复盘这一事件如何影响系统发行版的第三方软件引入流程。
文章指出,FreeBSD 最终没有受到实际影响,很大程度上来自其重写 build 部分、删除用例代码等工程实践。但作者也坦承,这并不意味着流程无懈可击,尤其是在使用上游签名 tarball、比较 git 内容、运行构建脚本等环节,仍然存在被攻击者利用的空间。
最值得关注的是,文章把供应链攻击的目标从“最终用户系统”前移到了“维护者本人”。如果维护者在本机、非隔离环境中执行下载来的代码或生成脚本,攻击者完全可能先攻破维护者环境,再进一步污染下游生态。
这篇文章适合关注开源治理、发行版维护和软件供应链安全的读者阅读。它的价值不在于给出复杂技术细节,而在于提醒团队重新审视日常维护流程中的默认信任。
无图
1
喜欢
ix
ixyzero.com
/
2024-08-06 08:18
2024年CrowdStrike导致的Windows系统大规模蓝屏事件整理
本文整理了2024年7月19日因CrowdStrike导致的大规模Windows系统蓝屏事件。由于CrowdStrike更新其Falcon安全产品的配置文件,许多Windows系统出现蓝屏崩溃,影响全球多国的重要业务系统。此事件引发了对安全软件稳定性和供应链风险的反思。作者分析了事件的时间轴、技术原因及对安全产品设计的启示。
无图
1
喜欢
jo
jokerbai.com
/
2024-05-05 23:22
Kubernetes中的事件收集以及监控告警
随着微服务以及云原生的发展,越来越多的企业都将业务部署运行到Kubernetes中,主要是想依托Kubernetes的可扩展、可伸缩、自动化以及高稳定性来保障业务的稳定性。
然而,Kubernetes本身是一个复杂的管理系统,它既然是作为企业业务的基础设施,其本身以及运行在集群内部的业务系统对于企业来说都变得非常重要。
无图
1
喜欢
pa
paper.seebug.org
/
2024-03-12 22:30
NoSQL 从 0 到1(MongoDB and InfluxDB)
NoSQL(NOT ONLY SQL),它和我们常见的sql注入很像。
它的危害有:
1、绕过身份验证或保护机制。
2、提取或编辑数据。
3、导致拒绝服务。
4、在服务器上执行代码。
其实注入的本质都是一样的,只是语法有些不一样。
无图
1
喜欢
te
tech.meituan.com
/
2023-12-26 22:00
AIOps在美团的探索与实践——事件管理篇
美团服务运维团队从事前防御、事中处理、事后运营多个阶段探索AIOps在事件管理领域的应用。本文介绍了在各个运维领域中AIOps的赋能场景,详细阐述了每一个运维场景的业务价值以及算法的具体的落地效果。
无图
1
喜欢
ad
www.addesp.com
/
2023-12-11 23:17
谈谈跨服聊天
跨服聊天是指交谈双方,不在同一语境下进行交流。多因双方的兴趣爱好/知识差异或聊天内容本身容易引发歧义引起。双方使用语言的环境不同,对语句的理解也不同。同一句话,在不同的主题会产生不同的理解。以「你幸福么?」为例:我姓曾。
跨服聊天通常会出现在作品中用来提供笑料。如此的话,直觉上跨服聊天应该离我们很远。真的么?以前我这么认为,但是现在我觉得离我很近。
无图
1
喜欢
jo
jokerbai.com
/
2023-11-29 23:48
谈谈晋升述职
年底了,该晋升的晋升,该总结的总结,不论是哪一种都逃不过PPT的魔咒。有幸今年参加了晋升述职,下面就简要说说我是怎么整理的PPT,以及要注意什么。
无图
1
喜欢
ya
yance.wiki
/
2023-07-30 17:29
聊聊 MongoDB
MongoDB 是目前主流的 NoSQL 数据库之一。由于历史原因,接手的一个项目底层大量使用了 MongoDB 。在学生时代对 MongoDB 也有一些了解,但是真正用到生产项目里面还是第一次。不出意外的,在使用过程中也伴随着许多不适应,也不止一次的怀念便捷的 ORM、熟悉的 SQL (甚至 InfluxDB 这种时序数据库也是兼容SQL查询的) 。这里主要讲一下,在过去一年里使用 MongoDB 中的一些新认识以及遇到的问题。
无图
2
喜欢
li
linux.cn
/
2023-06-24 23:32
软件开发 | 服务器推送事件:一种从服务器流式推送事件的简易方法
昨天见识到了一种从没见过的从服务器推送事件的炫酷方法:服务器推送事件server-sent events!如果你只需要让服务器发送事件,相较于 Websockets,它们或许是一个更简便的选择。本文聊一聊它们的用途、运作原理,以及昨日在试着运行它们的过程中遇到的几个错误。
无图
1
喜欢
bl
blog.alswl.com
/
2022-08-18 23:13
跟 Google 学开公司 - 谈谈方向、文化和人
大部分年轻人都在一个商业组织(即公司)中工作。 我们似乎对这个商业组织的运作已经很熟悉: 接触公司并进行面试和岗位匹配,在特定的岗位里面工作,过程也许开心或沮丧,通过组织的种种管理手段(KPI / OKR)来完成上级分发的任务。
这个过程中,我们往往遇到不少困惑,有些朋友还经历过职场 PUA(Pick-Up Artist);有些朋友可能感觉自己已经干的足够出色却无法得到晋升;有些朋友感慨合作的上下游太不专业了;总之,我们对公司不满是常态,而对公司满意则是反常。
其实很多时候,雇员的感受是公司运行的规律的投影。 我们制定 OKR 时候想去创造,应该通过什么方法论去开拓工作?这是公司战略决定的。 公司是怎么定义优秀人选的,我有没有机会获得晋升?这是公司用人态度决定的。 996 这么辛苦,我们该怎么去保持生活工作平衡?这是公司价值观和文化决定的。
无图