Sign up to save your podcasts
Or
Share Hacker News 每日播报 2025-09-18
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
Hacker News 每日播报 2025-09-18
欢迎收看 Hacker News 每日播报,今天我们聊聊英伟达与英特尔的世纪联手、Meta 智能眼镜的未来一瞥、Slack 的天价账单、一个能获取所有 Entra ID 租户权限的史诗级漏洞,以及 CERN 充满奇思妙想的“鼠标收容所”。
Slack 每年向我们多收取 19.5 万美元
SaaS 服务的价格上涨是许多企业用户心中永远的痛。最近,一篇标题直白的帖子在社区引发热议:“Slack 每年向我们多收取 19.5 万美元。”这笔巨款背后,是 Slack 计费模式的调整,也触动了企业在选择 SaaS 服务时关于成本、便利性和供应商锁定的敏感神经。
涨价的根源
文章作者所在的公司拥有数千名员工,账单突然暴涨并非因为用户激增,而是 Slack 调整了计费策略。新的计费模式似乎对“非活跃用户”或“偶尔登录的用户”不再宽容,将更多账户纳入了付费席位的范畴。对于大型企业而言,许多员工可能仅在特定项目或偶尔需要使用 Slack,这种“一刀切”的计费方式无疑会让成本急剧攀升。这笔突如其来的开支,迫使该公司重新审视与 Slack 的合作关系。
社区的广泛讨论
这一事件迅速引发了关于 SaaS 商业模式的广泛讨论。许多人认为这是典型的“先用低价吸引用户,待用户深度依赖后大幅提价”的策略,尤其是在 Salesforce 收购 Slack 之后,这种为了追求营收增长而采取的激进手段似乎变得更加常见。
面对高昂的成本,大家纷纷开始探讨替代方案。Microsoft Teams 因其与 Microsoft 365 捆绑,常被视为“免费”的首选。此外,Mattermost、Zulip 等开源自托管方案也备受推崇,它们为企业提供了更高的控制权和更低的长期成本。
当然,也有观点认为,企业自身的用户管理策略也值得反思。定期清理不活跃账户、为不同活跃度的员工选择不同的沟通工具,或许是更高效的管理方式。少数声音也为 Slack 辩护,认为其出色的用户体验和强大的集成能力,对于高度依赖即时沟通的团队来说,依然是值得的投资。归根结底,Slack 的这次涨价提醒了所有企业:在享受技术便利的同时,必须警惕供应商锁定带来的商业风险。
英伟达投资 50 亿美元入股英特尔
科技界投下了一枚重磅炸弹:长期以来的竞争对手英伟达(Nvidia)和英特尔(Intel)宣布达成“地震级”合作。英伟达不仅向英特尔投资 50 亿美元,两家公司还将联手开发全新的 x86 处理器,此举无疑将重塑半导体行业的竞争格局。
合作的核心内容
这项合作主要涵盖两大领域:
与此同时,英伟达以 50 亿美元购买了英特尔约 5% 的股权,这笔资金对英特尔推进其 IDM 2.0 战略、追赶台积电至关重要。
市场震动与担忧
这一“万万没想到”的合作在科技圈引发了剧烈反响。许多人认为,AMD 现在肯定“压力山大”,因为英特尔在笔记本 CPU 市场的统治地位与英伟达在游戏 GPU 市场的绝对优势相结合,将形成一股强大的市场力量。
然而,强强联手也引发了对垄断的担忧。有人直言,这是“英伟达在巩固其垄断地位,同时扶持一个正在衰落的垄断者”。这种合作是否会扼杀市场竞争,是许多人心中的疑问。此外,英特尔自家 GPU 部门(Xe 图形架构)的未来也变得扑朔迷离,是否会被边缘化还有待观察。
从技术角度看,英伟达强大的 CUDA 软件生态将是新产品的巨大优势,这可能比任何硬件组合都更具吸引力。这次合作无疑是半导体行业的一次重大洗牌,为英特尔的复兴之路注入了新活力,也让未来的市场竞争充满了变数。
Meta 发布带显示屏的 Ray-Ban 智能眼镜
Meta 在 Connect 大会上发布了一款重磅新品——Meta Ray-Ban Display 智能眼镜,并配套推出了 Meta Neural Band 腕带。这不仅仅是又一款智能眼镜,更被 Meta 定义为一个“突破性的 AI 眼镜品类”,旨在帮助用户“抬头看世界”,在不掏出手机的情况下完成日常任务。
核心亮点
技术与隐私的权衡
这款售价 799 美元起的产品,代表了 Meta 在可穿戴 AI 设备领域的一次大胆尝试。它无疑会引发关于技术、隐私和社会接受度的广泛讨论。
一方面,EMG 腕带的交互方式被认为是“魔法般”的,其在人机交互领域的潜力令人兴奋。将显示屏、AI、电池等集成到时尚的镜框中,也展示了其强大的工程能力。
另一方面,隐私问题依然是绕不开的话题。内置摄像头和麦克风的设计,即使有 LED 指示灯,也难以完全消除公众对被录制监控的担忧。Meta 作为一家数据驱动的公司,其对用户数据的处理方式将持续受到严格审视。这款产品能否在便利性与隐私担忧之间找到平衡,并被市场广泛接受,还有待时间的检验。
Show HN: 截屏时文字会消失
一个有趣的 Show HN 项目向大家发起挑战:“你无法截屏这个。”它展示了一个独特的网页功能:当用户尝试对页面上的文字进行截屏时,这些文字会神奇地消失。这个巧妙的技术演示,引发了人们对前端技术边界和内容保护的思考。
实现原理猜想
虽然项目没有透露具体实现细节,但其背后很可能运用了巧妙的前端技术。常见的实现方式包括:
实用性与局限性
这个项目不仅展示了技术的趣味性,也引发了关于其应用场景和局限性的讨论。虽然它可以用于保护敏感信息或防止内容盗用,但这种“防截屏”机制很容易被绕过,例如用手机拍照、使用开发者工具查看源码,或者禁用 JavaScript。
因此,它更多地被看作是一种“安全剧场”(security theater)——表面上看起来安全,但实际效果有限。同时,这种机制也可能带来糟糕的用户体验,阻碍了用户进行正常的记录和分享。尽管如此,这个项目依然是一个典型而有趣的 Hacker News 话题,它展示了前端技术的无限可能性,并促使社区深入思考技术、用户体验和伦理之间的关系。
KDE 现在是我最喜欢的桌面环境
一位开发者分享了他从 Sway 切换到 KDE Plasma 桌面环境的经历,并由衷地赞叹 KDE 已经成为他最喜欢的桌面,甚至认为其体验超越了 Windows 和 macOS。
功能强大且高度集成
作者最初是为了让家人能更轻松地使用电脑而安装了 KDE,但很快就被其丰富的功能和出色的性能所折服。他列举了几个亮点:
性能与体验
作者主观感觉 KDE 比 Windows 11 更快,系统设置等原生应用的启动几乎是瞬时的。即使与 M2 Pro 芯片的 MacBook Pro 相比,KDE 的流畅度也毫不逊色。这得益于 KDE 近年来的不断优化,尤其是在 Plasma 6 版本之后,其稳定性和性能得到了显著提升。
这篇文章引发了许多 Linux 用户的共鸣。大家普遍认为,KDE 的高度可定制性和强大功能集是其核心优势。当然,也有关于 GNOME 的简洁哲学、XFCE 的轻量级等不同桌面环境的讨论。KDE 的成功,也反映了整个 Linux 桌面生态在易用性和功能性上的长足进步。
无聊是好事
在人工智能的热潮中,一篇名为《无聊是好事》的文章为我们提供了一个冷静而务实的视角。作者认为,大型语言模型(LLM)领域正从狂热的炒作转向务实、甚至“无聊”的应用,而这恰恰是技术走向成熟的标志。
从大型到小型的演进
文章指出,技术的发展趋势往往是“顺流而下”,从大型、集中式向小型、分布式演进。LLM 也不例外。开源社区正在推动小型语言模型(SLM)的发展,这些模型虽然参数更少,但在特定任务上表现出色。SLM 的价值不在于通过律师资格考试,而在于默默无闻地执行后台任务,例如优化搜索查询、自动分类邮件等,这些“无聊”的应用能实实在在地提升效率,且不易产生幻觉,成本也更低。
增强而非替代
作者认为,我们常常从错误的道路开始,试图用新技术去自动化复杂的创造性过程。他以自己用 LLM 辅助写作的经历为例,发现写作是一个需要深度思考和探索的过程,LLM 的“智能”反而会打断这种心流。相反,当他将 LLM 用于校对、整理语音笔记等基于语法和结构的“无聊”任务时,却取得了显著成效。
文章的结论是,LLM 并非真正智能,我们应该停止自上而下的自动化尝试,转而采取自下而上的增强策略。未来的 AI 将是小型化、高效化、专注于低级语言任务的 SLM,它们将成为基础设施的一部分,变得更可靠、更“无聊”,最终像电力一样,默默无闻地解决问题。
一个令牌统治一切:获取所有 Entra ID 租户的全局管理员权限
一篇安全研究报告揭露了一个极其严重的 Entra ID(前身为 Azure AD)漏洞,理论上可能允许攻击者获取全球所有 Entra ID 租户的全局管理员权限,堪称“史诗级”漏洞。
漏洞核心原理
该漏洞由两个关键缺陷组合而成:
这意味着,攻击者可以在自己的测试租户中请求一个 Actor token,然后利用这个令牌,以任何用户(包括全局管理员)的身份,在任何其他 Entra ID 租户中进行操作。
悄无声息的攻击
更可怕的是,这种攻击方式可以完全绕过条件访问(Conditional Access)等安全策略,并且在受害者租户中不会留下任何日志。攻击者可以悄无声息地读取甚至修改租户中的所有敏感数据,如果模拟的是全局管理员,则可以完全控制该租户及其关联的 Microsoft 365 和 Azure 资源。
研究人员还发现了一种巧妙的攻击方法,即利用 B2B 访客用户的信任关系,从一个受损的边缘租户开始,像跳板一样逐个渗透到其他租户,理论上可以实现指数级的扩散。
幸运的是,研究人员负责任地向微软报告了此漏洞,微软在几天内就完成了修复,并确认该漏洞未被恶意利用。这一事件再次敲响了云服务安全的警钟,即使是顶级云服务提供商,其核心系统也可能存在深层次的风险,同时也凸显了白帽黑客和负责任披露在维护网络安全中的重要作用。
CERN 电脑鼠标动物收容所 (2011)
一篇来自 2011 年 CERN 网站的旧文,以一种极富创意和幽默感的方式,探讨了计算机安全与用户行为之间的关系。文章宣布“CERN 电脑鼠标动物收容所”重新开放,并煞有介事地描述了收容所里“动物们”(即电脑鼠标)的日常生活。
这篇看似温馨的文章,其真正的讽刺意味隐藏在“赞助商信息”中。赞助商——CERN 计算机安全部门——首先提出了经典的安全建议:“停止—思考—点击”。但紧接着,它话锋一转,以一种荒诞的逻辑指出,为了“完全避免点击”带来的风险,所有 CERN 用户都被要求将他们的电脑鼠标送到这个“动物收容所”来。
这篇幽默之作巧妙地讽刺了在追求极致安全时可能出现的过度或不切实际的措施。它以一种轻松的方式提醒人们,安全策略需要在安全性和可用性之间找到平衡。这种高级的幽默感不仅展现了 CERN 科学家们严谨工作之外的创意和玩心,也让人们在会心一笑的同时,反思自己在网络安全实践中的行为。
pnpm 引入新设置以抵御供应链攻击
流行的 JavaScript 包管理器 pnpm 在其 10.16 版本中引入了一项重要的新功能,旨在增强软件供应链的安全性,以应对日益猖獗的恶意包攻击。
延迟安装新发布的包
新版本中最引人注目的更新是引入了 minimumReleaseAge 设置。它允许用户指定一个时间(以分钟为单位),只有当一个包的版本发布超过这个时间后,pnpm 才会允许安装它。
其背后的逻辑是,大多数供应链攻击在发布后的短时间内(通常是一小时内)就会被社区发现,恶意版本也会被迅速从注册表中移除。通过引入这个安装延迟,可以极大地降低开发者,尤其是在 CI/CD 自动化环境中,安装到受损版本的风险。pnpm 也提供了 minimumReleaseAgeExclude 选项,允许为某些可信的依赖项设置豁免。
增强的依赖项过滤
此外,新版本还引入了“查找器函数”(finders),极大地增强了依赖项过滤的灵活性。开发者现在可以根据依赖项的任何属性(如 peerDependencies 或许可证信息)进行高级搜索和过滤,这对于大型项目或需要进行复杂依赖审计的场景来说,是一个非常强大的工具。
pnpm 的这次更新,无论是从安全角度还是从开发效率角度,都为 Node.js 生态系统带来了重要的价值,体现了其在提升开发者体验和保障生态安全方面的积极努力。
用 Rust 编写 Hypervisor 教程
一篇名为《Hypervisor 101 in Rust》的深度技术教程,为开发者提供了一个为期一天的课程,旨在帮助他们快速理解虚拟机监控器(Hypervisor)的内部工作原理,并学习如何使用 Rust 语言从零开始编写一个,特别强调了其在高性能模糊测试(fuzzing)中的应用。
课程核心内容
这门课程深入浅出地讲解了硬件辅助虚拟化技术的基础知识,包括:
这篇教程不仅提供了丰富的理论知识,更强调动手实践,通过一系列练习,让学习者能够亲手构建一个功能性的 Hypervisor。对于希望深入了解底层系统编程、硬件虚拟化和系统安全的开发者来说,这是一个非常宝贵的学习资源。
相关链接:
- Slack has raised our charges by $195k per year
- Nvidia buys $5B in Intel
- Meta Ray-Ban Display
- Show HN: The text disappears when you screenshot it
- KDE is now my favorite desktop
- Boring is good
- One Token to rule them all – Obtaining Global Admin in every Entra ID tenant
- CERN Animal Shelter for Computer Mice (2011)
- Pnpm has a new setting to stave off supply chain attacks
- Hypervisor 101 in Rust
View all episodes
By Agili 的 Hacker Podcast欢迎收看 Hacker News 每日播报,今天我们聊聊英伟达与英特尔的世纪联手、Meta 智能眼镜的未来一瞥、Slack 的天价账单、一个能获取所有 Entra ID 租户权限的史诗级漏洞,以及 CERN 充满奇思妙想的“鼠标收容所”。
Slack 每年向我们多收取 19.5 万美元
SaaS 服务的价格上涨是许多企业用户心中永远的痛。最近,一篇标题直白的帖子在社区引发热议:“Slack 每年向我们多收取 19.5 万美元。”这笔巨款背后,是 Slack 计费模式的调整,也触动了企业在选择 SaaS 服务时关于成本、便利性和供应商锁定的敏感神经。
涨价的根源
文章作者所在的公司拥有数千名员工,账单突然暴涨并非因为用户激增,而是 Slack 调整了计费策略。新的计费模式似乎对“非活跃用户”或“偶尔登录的用户”不再宽容,将更多账户纳入了付费席位的范畴。对于大型企业而言,许多员工可能仅在特定项目或偶尔需要使用 Slack,这种“一刀切”的计费方式无疑会让成本急剧攀升。这笔突如其来的开支,迫使该公司重新审视与 Slack 的合作关系。
社区的广泛讨论
这一事件迅速引发了关于 SaaS 商业模式的广泛讨论。许多人认为这是典型的“先用低价吸引用户,待用户深度依赖后大幅提价”的策略,尤其是在 Salesforce 收购 Slack 之后,这种为了追求营收增长而采取的激进手段似乎变得更加常见。
面对高昂的成本,大家纷纷开始探讨替代方案。Microsoft Teams 因其与 Microsoft 365 捆绑,常被视为“免费”的首选。此外,Mattermost、Zulip 等开源自托管方案也备受推崇,它们为企业提供了更高的控制权和更低的长期成本。
当然,也有观点认为,企业自身的用户管理策略也值得反思。定期清理不活跃账户、为不同活跃度的员工选择不同的沟通工具,或许是更高效的管理方式。少数声音也为 Slack 辩护,认为其出色的用户体验和强大的集成能力,对于高度依赖即时沟通的团队来说,依然是值得的投资。归根结底,Slack 的这次涨价提醒了所有企业:在享受技术便利的同时,必须警惕供应商锁定带来的商业风险。
英伟达投资 50 亿美元入股英特尔
科技界投下了一枚重磅炸弹:长期以来的竞争对手英伟达(Nvidia)和英特尔(Intel)宣布达成“地震级”合作。英伟达不仅向英特尔投资 50 亿美元,两家公司还将联手开发全新的 x86 处理器,此举无疑将重塑半导体行业的竞争格局。
合作的核心内容
这项合作主要涵盖两大领域:
与此同时,英伟达以 50 亿美元购买了英特尔约 5% 的股权,这笔资金对英特尔推进其 IDM 2.0 战略、追赶台积电至关重要。
市场震动与担忧
这一“万万没想到”的合作在科技圈引发了剧烈反响。许多人认为,AMD 现在肯定“压力山大”,因为英特尔在笔记本 CPU 市场的统治地位与英伟达在游戏 GPU 市场的绝对优势相结合,将形成一股强大的市场力量。
然而,强强联手也引发了对垄断的担忧。有人直言,这是“英伟达在巩固其垄断地位,同时扶持一个正在衰落的垄断者”。这种合作是否会扼杀市场竞争,是许多人心中的疑问。此外,英特尔自家 GPU 部门(Xe 图形架构)的未来也变得扑朔迷离,是否会被边缘化还有待观察。
从技术角度看,英伟达强大的 CUDA 软件生态将是新产品的巨大优势,这可能比任何硬件组合都更具吸引力。这次合作无疑是半导体行业的一次重大洗牌,为英特尔的复兴之路注入了新活力,也让未来的市场竞争充满了变数。
Meta 发布带显示屏的 Ray-Ban 智能眼镜
Meta 在 Connect 大会上发布了一款重磅新品——Meta Ray-Ban Display 智能眼镜,并配套推出了 Meta Neural Band 腕带。这不仅仅是又一款智能眼镜,更被 Meta 定义为一个“突破性的 AI 眼镜品类”,旨在帮助用户“抬头看世界”,在不掏出手机的情况下完成日常任务。
核心亮点
技术与隐私的权衡
这款售价 799 美元起的产品,代表了 Meta 在可穿戴 AI 设备领域的一次大胆尝试。它无疑会引发关于技术、隐私和社会接受度的广泛讨论。
一方面,EMG 腕带的交互方式被认为是“魔法般”的,其在人机交互领域的潜力令人兴奋。将显示屏、AI、电池等集成到时尚的镜框中,也展示了其强大的工程能力。
另一方面,隐私问题依然是绕不开的话题。内置摄像头和麦克风的设计,即使有 LED 指示灯,也难以完全消除公众对被录制监控的担忧。Meta 作为一家数据驱动的公司,其对用户数据的处理方式将持续受到严格审视。这款产品能否在便利性与隐私担忧之间找到平衡,并被市场广泛接受,还有待时间的检验。
Show HN: 截屏时文字会消失
一个有趣的 Show HN 项目向大家发起挑战:“你无法截屏这个。”它展示了一个独特的网页功能:当用户尝试对页面上的文字进行截屏时,这些文字会神奇地消失。这个巧妙的技术演示,引发了人们对前端技术边界和内容保护的思考。
实现原理猜想
虽然项目没有透露具体实现细节,但其背后很可能运用了巧妙的前端技术。常见的实现方式包括:
实用性与局限性
这个项目不仅展示了技术的趣味性,也引发了关于其应用场景和局限性的讨论。虽然它可以用于保护敏感信息或防止内容盗用,但这种“防截屏”机制很容易被绕过,例如用手机拍照、使用开发者工具查看源码,或者禁用 JavaScript。
因此,它更多地被看作是一种“安全剧场”(security theater)——表面上看起来安全,但实际效果有限。同时,这种机制也可能带来糟糕的用户体验,阻碍了用户进行正常的记录和分享。尽管如此,这个项目依然是一个典型而有趣的 Hacker News 话题,它展示了前端技术的无限可能性,并促使社区深入思考技术、用户体验和伦理之间的关系。
KDE 现在是我最喜欢的桌面环境
一位开发者分享了他从 Sway 切换到 KDE Plasma 桌面环境的经历,并由衷地赞叹 KDE 已经成为他最喜欢的桌面,甚至认为其体验超越了 Windows 和 macOS。
功能强大且高度集成
作者最初是为了让家人能更轻松地使用电脑而安装了 KDE,但很快就被其丰富的功能和出色的性能所折服。他列举了几个亮点:
性能与体验
作者主观感觉 KDE 比 Windows 11 更快,系统设置等原生应用的启动几乎是瞬时的。即使与 M2 Pro 芯片的 MacBook Pro 相比,KDE 的流畅度也毫不逊色。这得益于 KDE 近年来的不断优化,尤其是在 Plasma 6 版本之后,其稳定性和性能得到了显著提升。
这篇文章引发了许多 Linux 用户的共鸣。大家普遍认为,KDE 的高度可定制性和强大功能集是其核心优势。当然,也有关于 GNOME 的简洁哲学、XFCE 的轻量级等不同桌面环境的讨论。KDE 的成功,也反映了整个 Linux 桌面生态在易用性和功能性上的长足进步。
无聊是好事
在人工智能的热潮中,一篇名为《无聊是好事》的文章为我们提供了一个冷静而务实的视角。作者认为,大型语言模型(LLM)领域正从狂热的炒作转向务实、甚至“无聊”的应用,而这恰恰是技术走向成熟的标志。
从大型到小型的演进
文章指出,技术的发展趋势往往是“顺流而下”,从大型、集中式向小型、分布式演进。LLM 也不例外。开源社区正在推动小型语言模型(SLM)的发展,这些模型虽然参数更少,但在特定任务上表现出色。SLM 的价值不在于通过律师资格考试,而在于默默无闻地执行后台任务,例如优化搜索查询、自动分类邮件等,这些“无聊”的应用能实实在在地提升效率,且不易产生幻觉,成本也更低。
增强而非替代
作者认为,我们常常从错误的道路开始,试图用新技术去自动化复杂的创造性过程。他以自己用 LLM 辅助写作的经历为例,发现写作是一个需要深度思考和探索的过程,LLM 的“智能”反而会打断这种心流。相反,当他将 LLM 用于校对、整理语音笔记等基于语法和结构的“无聊”任务时,却取得了显著成效。
文章的结论是,LLM 并非真正智能,我们应该停止自上而下的自动化尝试,转而采取自下而上的增强策略。未来的 AI 将是小型化、高效化、专注于低级语言任务的 SLM,它们将成为基础设施的一部分,变得更可靠、更“无聊”,最终像电力一样,默默无闻地解决问题。
一个令牌统治一切:获取所有 Entra ID 租户的全局管理员权限
一篇安全研究报告揭露了一个极其严重的 Entra ID(前身为 Azure AD)漏洞,理论上可能允许攻击者获取全球所有 Entra ID 租户的全局管理员权限,堪称“史诗级”漏洞。
漏洞核心原理
该漏洞由两个关键缺陷组合而成:
这意味着,攻击者可以在自己的测试租户中请求一个 Actor token,然后利用这个令牌,以任何用户(包括全局管理员)的身份,在任何其他 Entra ID 租户中进行操作。
悄无声息的攻击
更可怕的是,这种攻击方式可以完全绕过条件访问(Conditional Access)等安全策略,并且在受害者租户中不会留下任何日志。攻击者可以悄无声息地读取甚至修改租户中的所有敏感数据,如果模拟的是全局管理员,则可以完全控制该租户及其关联的 Microsoft 365 和 Azure 资源。
研究人员还发现了一种巧妙的攻击方法,即利用 B2B 访客用户的信任关系,从一个受损的边缘租户开始,像跳板一样逐个渗透到其他租户,理论上可以实现指数级的扩散。
幸运的是,研究人员负责任地向微软报告了此漏洞,微软在几天内就完成了修复,并确认该漏洞未被恶意利用。这一事件再次敲响了云服务安全的警钟,即使是顶级云服务提供商,其核心系统也可能存在深层次的风险,同时也凸显了白帽黑客和负责任披露在维护网络安全中的重要作用。
CERN 电脑鼠标动物收容所 (2011)
一篇来自 2011 年 CERN 网站的旧文,以一种极富创意和幽默感的方式,探讨了计算机安全与用户行为之间的关系。文章宣布“CERN 电脑鼠标动物收容所”重新开放,并煞有介事地描述了收容所里“动物们”(即电脑鼠标)的日常生活。
这篇看似温馨的文章,其真正的讽刺意味隐藏在“赞助商信息”中。赞助商——CERN 计算机安全部门——首先提出了经典的安全建议:“停止—思考—点击”。但紧接着,它话锋一转,以一种荒诞的逻辑指出,为了“完全避免点击”带来的风险,所有 CERN 用户都被要求将他们的电脑鼠标送到这个“动物收容所”来。
这篇幽默之作巧妙地讽刺了在追求极致安全时可能出现的过度或不切实际的措施。它以一种轻松的方式提醒人们,安全策略需要在安全性和可用性之间找到平衡。这种高级的幽默感不仅展现了 CERN 科学家们严谨工作之外的创意和玩心,也让人们在会心一笑的同时,反思自己在网络安全实践中的行为。
pnpm 引入新设置以抵御供应链攻击
流行的 JavaScript 包管理器 pnpm 在其 10.16 版本中引入了一项重要的新功能,旨在增强软件供应链的安全性,以应对日益猖獗的恶意包攻击。
延迟安装新发布的包
新版本中最引人注目的更新是引入了 minimumReleaseAge 设置。它允许用户指定一个时间(以分钟为单位),只有当一个包的版本发布超过这个时间后,pnpm 才会允许安装它。
其背后的逻辑是,大多数供应链攻击在发布后的短时间内(通常是一小时内)就会被社区发现,恶意版本也会被迅速从注册表中移除。通过引入这个安装延迟,可以极大地降低开发者,尤其是在 CI/CD 自动化环境中,安装到受损版本的风险。pnpm 也提供了 minimumReleaseAgeExclude 选项,允许为某些可信的依赖项设置豁免。
增强的依赖项过滤
此外,新版本还引入了“查找器函数”(finders),极大地增强了依赖项过滤的灵活性。开发者现在可以根据依赖项的任何属性(如 peerDependencies 或许可证信息)进行高级搜索和过滤,这对于大型项目或需要进行复杂依赖审计的场景来说,是一个非常强大的工具。
pnpm 的这次更新,无论是从安全角度还是从开发效率角度,都为 Node.js 生态系统带来了重要的价值,体现了其在提升开发者体验和保障生态安全方面的积极努力。
用 Rust 编写 Hypervisor 教程
一篇名为《Hypervisor 101 in Rust》的深度技术教程,为开发者提供了一个为期一天的课程,旨在帮助他们快速理解虚拟机监控器(Hypervisor)的内部工作原理,并学习如何使用 Rust 语言从零开始编写一个,特别强调了其在高性能模糊测试(fuzzing)中的应用。
课程核心内容
这门课程深入浅出地讲解了硬件辅助虚拟化技术的基础知识,包括:
这篇教程不仅提供了丰富的理论知识,更强调动手实践,通过一系列练习,让学习者能够亲手构建一个功能性的 Hypervisor。对于希望深入了解底层系统编程、硬件虚拟化和系统安全的开发者来说,这是一个非常宝贵的学习资源。
相关链接:
- Slack has raised our charges by $195k per year
- Nvidia buys $5B in Intel
- Meta Ray-Ban Display
- Show HN: The text disappears when you screenshot it
- KDE is now my favorite desktop
- Boring is good
- One Token to rule them all – Obtaining Global Admin in every Entra ID tenant
- CERN Animal Shelter for Computer Mice (2011)
- Pnpm has a new setting to stave off supply chain attacks
- Hypervisor 101 in Rust