1. Major AWS Outage Happening (old.reddit.com)
Well, looks like we have a dumpster fire on DynamoDB in us-east-1 again.
42 篇热帖
Well, looks like we have a dumpster fire on DynamoDB in us-east-1 again.
项目概述 Servo 是一个用 Rust 语言编写的原型网页浏览器引擎项目。其核心目标是实现并行化处理,以提升性能和安全性。
支持的开发平台 Servo 目前支持在以下 64 位操作系统上进行开发和构建:
社区与协作 项目欢迎所有人参与贡献。开发协调通过以下方式进行:
环境配置与构建指南 详细构建说明请查阅《Servo Book》。以下为各平台核心步骤:
macOS
uv 和 rustup。./mach bootstrap 安装其他依赖。./mach build 构建 servoshell。Linux
curl。uv 和 rustup。./mach bootstrap 安装其他依赖。./mach build 构建 servoshell。Windows
uv、choco 和 rustup。在 Visual Studio 安装程序中需勾选“快速安装”。.\mach bootstrap 安装其他依赖。.\mach build 构建 servoshell。Android
ANDROID_SDK_ROOT 和 ANDROID_NDK_ROOT。sdkmanager 命令安装必要的组件(包括构建工具、模拟器、NDK 等)。OpenHarmony
DEVECO_SDK_HOME、OHOS_BASE_SDK_HOME、OHOS_SDK_NATIVE 以及应用签名配置文件路径 SERVO_OHOS_SIGNING_CONFIG。mach 命令传递 --flavor=<default|harmonyos> 参数来修改目标发行版。DeepSeek-OCR 是一个旨在探索视觉文本压缩边界的模型,专注于从大语言模型(LLM)中心视角研究视觉编码器的作用。
重要发布
环境与安装
推理与使用 该模型支持两种主要的推理框架:
支持模式与提示示例 模型支持多种分辨率模式:
<image>\n<|grounding|>Convert the document to markdown.<image>\n<|grounding|>OCR this image.<image>\nFree OCR.<image>\nParse the figure.<image>\nDescribe this image in detail.<image>\nLocate <|ref|>目标文本<|/ref|> in the image.致谢与引用 项目感谢了 Vary, GOT-OCR2.0, MinerU 等提供的模型和想法,并使用了 Fox, OminiDocBench 等基准。相关论文已发布于 arXiv。
AWS Health Dashboard 是一个用于查看 AWS 服务整体状态和运行状况的工具。通过该仪表板,用户可以监控 AWS 各项服务的实时健康信息。
文章总结:安德烈·卡帕西的课程成功建议
本文是安德烈·卡帕西为本科学生提供的课程学习指南,核心在于高效学习、充分备考,并平衡学业与长远发展。
一、 通用原则
二、 考试准备策略
三、 考试当日
四、 考试中技巧
五、 超越课程的建议(核心观点)
Linux 网络栈完整架构图 (2024) 摘要
该图表由 Ericsson Nikola Tesla 发布(版本 v7),全面描绘了 Linux 网络栈的整体结构,涵盖从应用层到物理网卡的各个层次,并包含优化与统计提示。其主要内容如下:
该图表是《操作系统与计算机网络:Linux 应用》一书的一部分,为理解和优化 Linux 网络性能提供了直观的参考。
本文探讨了BERT等掩码语言模型(MLM)与文本扩散模型之间的内在联系,并尝试通过微调RoBERTa模型来实现文本生成。
核心发现:掩码语言建模是文本扩散的特例
文章指出,离散语言扩散模型(如Google DeepMind的Gemini Diffusion)的本质,是将文本视为由逐步添加的“掩码噪声”所构成。其前向过程是按调度表随机将一部分词元替换为<MASK>,反向过程则训练模型在不同掩码率下预测被掩码的词元。作者认为,BERT的MLM目标(在固定掩码率下重建)实际上是文本扩散训练目标在单一掩码率下的特例。通过引入从0%到100%的变掩码率和对应的去噪步骤,可以将MLM转化为一个完整的生成过程。
实验:微调RoBERTa进行文本生成 作者基于此想法,使用RoBERTa模型进行了概念验证。
<MASK>。然后按照预定的掩码率调度(例如100% -> 0%),在每一步让模型预测所有掩码位置,再根据概率采样,最后将部分词元重新掩码,进入下一步迭代。如此逐步降低掩码率,最终得到完整文本。结果与结论
补充说明
阿里巴巴云声称其新开发的Aegaeon pooling系统在多个月的Beta测试中,将服务大型语言模型所需的Nvidia GPU数量减少了82%。该测试在其Model Studio市场中进行,结果发表于2025年ACM操作系统研讨会(SOSP)的同行评审论文中。
Aegaeon是一个推理时调度器,旨在最大化GPU利用率,尤其适用于需求突发或不可预测的模型。与传统方式不同,该系统在令牌级别虚拟化GPU访问,允许多个模型共享同一GPU池。例如,一个Nvidia H20 GPU可同时服务多个不同模型,使系统范围内的**“goodput”(有效输出测量)比旧的无服务器系统提升高达9倍**。
测试在生产环境中持续数月,由北京大学和阿里巴巴基础设施部门的作者(包括CTO Jingren Zhou)共同完成。支持数十个不同LLM(参数高达720亿)所需的GPU数量从1,192个减少到213个。测试使用了Nvidia H20 GPU,这是在美国出口管制下中国买家仍可获得的少数加速器之一。
阿里巴巴将收益归因于两个核心技术:
基准测试显示,Aegaeon的goodput比ServerlessLLM和MuxServe系统分别高出1.5倍至9倍。
然而,论文未指定测试中使用的精确网络结构。阿里巴巴拥有自研的eRDMA弹性RDMA网络,并构建了高度集成的GPU服务栈,因此结果可能依赖于优化的垂直集成环境。尽管如此,该成果有望吸引其他超大规模云服务提供商关注,以在加速器供应受限和推理需求增长的背景下提升现有硬件效率。
事件概述:AWS的us-east-1(北弗吉尼亚)区域发生服务中断,影响了多个服务。
关键细节:
总结:此事件凸显了云服务依赖的风险,即官方状态页面可能存在延迟,而用户社区的实时报告是察觉服务异常的早期关键渠道。
这篇文章分享了作者在为处理超过500万份文档的生产环境构建RAG系统(检索增强生成)过程中,总结的经验教训。核心发现是,简单的原型方案在生产环境中效果不佳,需要针对性优化。
项目背景与初期挑战 作者团队分别为Usul AI(900万页)和一个法律AI企业(400万页)构建RAG系统。最初跟随教程使用Langchain和Llamaindex,快速在小数据集(100份文档)上取得了良好原型效果。但扩展到全量生产数据后,结果令人失望,随后花费数月时间重写系统才达到预期性能。
关键优化措施(按投资回报率排序)
技术栈选择
开源贡献 作者将所学整合到一个开源项目 agentset-ai/agentset 中,采用MIT许可证。
一次亚马逊网络服务(AWS)的重大中断事故,导致众多知名网站和服务陷入瘫痪,波及范围远超单一云区域,引发全球性连锁反应。
该事件凸显了现代社会对少数大型云服务提供商的深度依赖。一旦关键云区域出现故障,可能通过数字生态系统的关联性产生广泛而剧烈的连锁反应,影响远超地理边界。
根据提供的Postman平台状态监控页面内容,当前所有系统服务均显示为**“Operational”(正常运行)**。页面列出了以下组件及其状态:
核心平台与服务:
历史事件记录: 从2026年5月18日至2026年6月1日,页面显示无任何事故报告,表明在此期间服务保持稳定。
结论: 页面状态表明Postman各项服务(包括本地桌面客户端、浏览器版及所有配套功能)均处于正常工作状态,无性能下降或服务中断记录。
美国国家运输安全委员会(NTSB)正在调查一起飞机事故,焦点集中在联合航空一架737 MAX飞机于科罗拉多州上空可能被气象气球的数据包击中的可能性。该事件导致飞行员受伤,并造成飞机挡风玻璃和机身损坏。
尽管具体原因仍在调查中,但此次事故凸显了高空飞行中意外撞击的罕见风险,目前无人员严重伤亡报告。
2025年10月20日,Docker多项核心SaaS服务遭遇访问和使用中断,影响范围广泛,涉及多个产品组件。事件经过调查后,已最终得到解决。
已解决(2025-10-20 10:05 UTC / 03:05 PDT)
监控中(2025-10-20 09:43 UTC / 02:43 PDT)
问题已识别(2025-10-20 08:22 UTC / 01:22 PDT)
调查中(2025-10-20 07:16 UTC / 00:16 PDT)
Forth由查尔斯·H·摩尔于1950年代末创建,最初是为了解决大型科学计算中频繁重新编译程序的繁琐问题。他在IBM 704计算机上开发了一个简单的命令解释器,通过直接输入指令来调整程序,避免了耗时的重新编译。这种“编程程序”的思想逐渐演变成一个完整的系统。
1968年,摩尔在Mohasco Industries的IBM 1130小型机上将其命名为“Forth”(取“第四代系统”之意)。他反对专利和标准化,认为Forth应是一个可自由定制和扩展的工具箱。
3 4 +),表达式无需括号即可清晰嵌套。IF...THEN)和注释。Forth因其简洁、高效、可移植和实时交互特性,被广泛应用于:
文章作者通过移植和实现JonesForth(一个教育用的Forth),深入理解了其内部机制。他创建了实验性的Meow5(一个完全内联的Forth变体),进一步体验了Forth的设计哲学。作者强调:
在摩尔晚期的工作(如GreenArrays GA144多核芯片)中,Forth的理念延伸到低功耗、高并发计算领域。随着对能效和可持续计算的需求增长,Forth及其思想在物联网、嵌入式系统和未来计算模型中可能迎来新的复兴。其核心精神——通过最少抽象实现最大控制——仍然具有持久的价值。
Just what were they thinking (and drinking)?
项目概述
这是一个针对N64游戏《Duke Nukem: Zero Hour》的逆向工程项目,已实现100%的反编译。使用此仓库前,用户必须拥有游戏合法副本。
系统依赖与安装
sudo apt install make git build-essential binutils-mips-linux-gnu cpp-mips-linux-gnu python3 python3-pip pip3 install -U splat64[mips]及pip3 install -r requirements.txt构建步骤
git clone https://github.com/Gillou68310/DukeNukemZeroHour.git --recursive baserom.us.z64放入仓库根目录,运行make提取ROM make构建,成功将生成build/us/dukenukemzerohour.z64其他版本支持
baserom.fr.z64,构建时添加VERSION=fr参数Docker环境
调试功能
MODERN=1参数编译以保留源码信息 辅助工具
本文以数据仪表板的形式展示了美国联邦政府自2013年以来的“正常运行”状态,核心数据是过去15年(截至信息列出时)的总体正常运行时间为 97.675146188%。
主要监测事件:政府停摆 监控器重点记录了对政府正常运行造成中断的重大事件——政府停摆,具体包括:
具体机构影响 监控器列出了多个联邦机构在停摆期间的状态及员工被迫休假的比例,显示影响程度不一:
重要说明 文末注明,该“美国政府正常运行时间监控器”并非美国政府的官方服务,其资金来源于“闲置的税款”。
全球卫生专业人士担忧,AI生成的极端贫困、儿童及性暴力幸存者的图片正涌入图库网站,并日益被主要的健康非政府组织使用,这标志着一个“贫困色情”新时代的来临。
文章指出,Anthropic的运营成本(尤其是云计算)远超其收入,且成本随业务扩张同步增长,缺乏有效的成本控制。通过“优先服务层”等手段向客户(如Cursor)转嫁成本,引发了行业内的“次级AI危机”。这暴露了当前基于大型语言模型的AI服务在经济上的不可持续性,最终可能导致消费者和企业面临价格上涨或服务价值缩水。
周一早晨,亚马逊网络服务(AWS)发生重大宕机,导致多项在线服务中断数小时,涉及亚马逊、Alexa、Snapchat、《堡垒之夜》、ChatGPT、Epic游戏商城及Epic在线服务等众多平台。
宕机影响了运行在AWS云网络上的众多平台和服务,包括:
部分平台(如《堡垒之夜》、Epic游戏商城、Perplexity)在亚马逊报告宕机约四小时后宣布恢复上线。
广泛使用的美东1区此前在2020年、2021年和2023年均曾发生宕机事件,导致众多主要服务中断,直至常规服务恢复。
(文章更新于10月20日及21日,补充了亚马逊的状态更新和解决情况。)
这是一个为 Claude Code 设计的 Playwright 浏览器自动化技能工具,其核心特点是相比 playwright-MCP 方案需要更少的上下文信息。它能让 Claude 自主编写并执行从简单页面测试到复杂多步骤流程的任意 Playwright 自动化脚本。
SKILL.md 说明和完整的 API 参考文档,节省上下文。该仓库以 Claude Code 插件 的形式结构化,包含一个嵌套的技能文件夹。
插件安装(推荐):通过 Claude Code 插件系统安装,支持自动更新和团队分发。
/plugin marketplace add lackeyjb/playwright-skill
/plugin install playwright-skill@playwright-skill
cd ~/.claude/plugins/marketplaces/playwright-skill/skills/playwright-skill
npm run setup
独立技能安装:手动将技能文件夹复制到 Claude Code 技能目录。
skills/playwright-skill 文件夹复制到 ~/.claude/skills/,然后运行 npm run setup。.claude/skills/ 目录下。下载发布包:从 GitHub Releases 下载,提取 skills/playwright-skill 文件夹到指定位置后运行 npm run setup。
安装后,可通过 /help 命令验证技能是否加载成功。
安装后,只需用自然语言向 Claude 描述需要测试或自动化的浏览器任务,例如:
Claude 会自动生成并执行定制的 Playwright 代码,并返回包含截图和控制台输出的结果。
run.js) 运行代码,处理模块解析。playwright-skill/
├── .claude-plugin/ # 插件元数据
└── skills/
└── playwright-skill/ # 技能核心
├── SKILL.md # Claude 读取的技能说明
├── run.js # 通用执行器
├── package.json # 依赖与设置脚本
└── lib/helpers.js # 可选辅助函数
npm run setup 安装)。API_REFERENCE.md。本文介绍了 Gleam 语言在 BEAM 虚拟机上如何利用 Erlang 的 OTP(Open Telecom Platform)框架构建容错、多核应用程序。Gleam OTP 包提供了对 OTP 核心概念的类型安全绑定,旨在实现强大的容错能力。
该包的设计遵循几个主要目标:
Gleam OTP 包提供了多种 actor 类型作为构建块:
process 模块定义在 gleam_erlang 库中。gen_server。它自动处理 OTP 系统消息以支持调试和跟踪功能。gleam/otp/static_supervisor 和 gleam/otp/factory_supervisor。以下是一个简单的 Gleam actor 示例,展示了如何创建 actor、发送消息以及进行同步调用:
// 启动一个初始状态为 0 的 actor
let assert Ok(actor) =
actor.new(0)
|> actor.on_message(handle_message)
|> actor.start
// 发送消息
actor.send(actor.data, Add(5))
actor.send(actor.data, Add(3))
// 发送消息并获取回复(同步调用)
assert actor.call(actor.data, waiting: 10, sending: Get) == 8
Gleam OTP 包为在 BEAM 上运行的 Gleam 程序提供了通往 Erlang/OTP 世界的类型安全桥梁。它通过 actor 模型和监控器机制,使开发者能够构建出具备容错、可伸缩和高性能特性的并发系统。然而,使用者仍需对 OTP 的核心原理有所了解以充分利用其能力。
VMware 迁移趋势:用户分享替代方案与经验
一、 迁移的核心驱动力:成本激增
二、 主流替代方案选择
微软 Hyper-V / Azure:
开源及第三方虚拟化平台:
容器化与云原生路径:
三、 关键讨论点与挑战
四、 总结趋势 VMware的高价策略正迫使整个行业重新评估其虚拟化基础设施。迁移浪潮呈现出 多路径并行 的特点:向主流云平台(Azure/AWS)迁移、转向成熟的商业替代品(Hyper-V、Nutanix)、或拥抱更灵活的开源及KVM生态(Proxmox、XCP-ng、CloudStack)。企业级支持能力和总拥有成本是决策中的核心权衡因素。这次迁移不仅是一次技术替换,也正在推动许多组织思考更广泛的基础架构现代化,包括容器化和混合云战略。
2025年10月19日周日,巴黎卢浮宫在开放后约30分钟内发生重大盗窃案。一伙专业盗贼利用篮式升降机从博物馆临塞纳河的外墙破窗而入,在四分钟内闯入阿波罗展厅,砸碎展柜,盗走8件拿破仑时期珍贵的王室珠宝后骑摩托车逃离。事件无人受伤,但失窃物品价值无法估量。
Valetudo 是一款旨在让扫地机器人摆脱云服务依赖、实现完全本地化操作的开源软件解决方案。自2018年启动以来,该项目已发展成一个稳定可靠的“部署后无需操心”的解决方案,被安装在数千台机器人上。该项目由 Sören Beye 创建和维护,并得到了 Dennis Giese 等人的贡献支持。
作者明确将 Valetudo 定义为个人业余项目,并无商业化或扩大用户群的意图。他使用了一个生动的比喻:将该项目比作一个私人拥有的公共花园。
微软在Windows 11 25H2十月更新(KB5066835)中确认了一个重大缺陷:该更新导致Windows恢复环境(WinRE)内的鼠标和键盘功能失效,使其完全无法使用。WinRE是Windows内置的故障排除工具包,用于在计算机遇到启动问题或系统故障时提供协助,通常会在系统崩溃或无法正常启动时自动激活,也可由用户手动访问以使用各类修复工具。
由于输入设备无法响应,WinRE功能实质上陷入瘫痪状态。微软澄清称,USB键盘和鼠标在Windows操作系统本身内仍正常工作,并表示“正在努力在未来几天内发布解决方案”,届时将提供更多信息。此事件是近期Windows 11更新引发的又一问题,此前更新曾导致本地主机功能故障。微软维护的Windows 11 25H2已知问题和通知网站已收录此问题并会提供状态更新。
更新于10月21日16:05 UTC:微软已发布紧急修复补丁。该公司称,此带外更新包含质量改进,是累积性更新,并整合了来自2025年10月14日安全更新(KB5066835)的安全修复与改进。
此前,微软还曾意外破坏了Windows媒体创建工具(MCT),恰在Windows 10终止支持前一天;此外,微软开始要求Windows 11安装必须使用在线账户,使绕过该要求变得更加困难。除本次WinRE问题及本地主机功能故障外,此前报告的其他问题均已得到处理或解决。当前,由于输入失效,用户无法启动任何恢复流程来解决操作系统问题。在微软发布修补程序之前,用户只能期待系统保持稳定无需干预。
Commodore 64 Ultimate 是一款对经典家用电脑 Commodore 64 的现代复兴产品,旨在提供怀旧体验与当代技术相结合的全新设备。
该产品系列包含两款主要型号:
两款型号在内部规格上完全相同,均提供经典的“BASIC Beige”米色版本。
Commodore 64 Ultimate 不是对过去的单纯复制品,而是利用原厂模具和现代技术,在保留经典 Commodore 64 核心体验的同时,融入当代便利性的设备。它强调“复古并非错误,而是我们做对的事情”,旨在让用户无需互联网时代的纷扰,重新体验计算机的本质乐趣。
Nvidia 与台积电合作,在美国本土生产了首款 Blackwell 芯片晶圆,这一里程碑事件在美国半导体制造业具有重要意义。
这一事件标志着高端芯片制造开始向美国回流,是应对供应链变化和地缘政治因素的重要一步。
Matrix Conference 2025 会议亮点
Matrix Conference 2025 取得巨大成功,会议氛围充满活力与热情。Element作为主要赞助商,感谢所有组织者、演讲者、赞助商及与会者。会议的核心主题是Matrix技术展现出的巨大发展势头,众多政府机构分享了其基于Matrix的举措,表明Matrix正成为政府及跨政府通信的未来。
主要演讲与内容
政府与公共部门部署案例(会议焦点) 众多政府及公共部门组织的实践展示了Matrix的实际价值,是会议的“真正明星”。相关演讲案例包括:
采用Matrix的关键驱动因素 作为基于开源软件的开放标准,Matrix满足了政府通信转型的核心需求:
欧洲多国政府正积极采用Matrix作为实时通信的基础。会议上有包括欧洲委员会、法国、德国、北约、联合国等在内的众多机构分享部署经验,同时也有许多其他政府机构参会学习,为未来的Matrix项目做准备。这预示着一个基于Matrix的未来,将深刻改变跨境协作,助力构建一个团结、数字主权的欧洲。
《神秘博士》(Doctor Who)档案专家近日分享了关于寻找该剧遗失剧集的积极进展,暗示未来的官方公告将为粉丝带来巨大惊喜。
由于BBC在20世纪60至70年代为节省存储空间和成本而擦除或重复使用磁带,该剧前六年的253集中有97集遗失,导致26个故事不完整。尽管部分遗失剧集近年通过幸存的音频录音被制作成动画,但业界一直推测仍有原版胶片存于私人收藏中,这一推测现已得到证实。
致力于保护英国脆弱电影收藏的慈善信托基金“Film is Fabulous!”的代表John Franklin证实,目前有多位私人收藏家和前业内人士手中掌握着多集遗失的《神秘博士》。该团队正与这些收藏家积极洽谈,计划完整接收、编目并管理他们的整个电影收藏,而非仅抽取《神秘博士》等单一稀有物品。
Franklin透露,自2023年起,团队一直在追踪一个包含数千部电影的庞大私人收藏,其中已确认至少包含一集遗失的《神秘博士》,且可能还有更多。由于该收藏家近期不幸离世,原本达成的接收协议面临法律变更。目前,“Film is Fabulous!”正向法院提出申请,以合法推进此前的协议,确保将该收藏及遗失剧集安全归还给版权方。
Franklin强调,信托基金坚持合法、合规地处理整个收藏,单独剥离单件物品是“非法且不道德的”。他呼吁粉丝给予团队空间以完成当前的法律与接收工作,并承诺最终的公告会让大家“非常高兴”。
此前,该团队的其他专家也曾表示,确信仍有遗失剧集存在于私人收藏中,并已掌握部分潜在线索。他们期望在时机成熟时,能成功将遗失剧集正式归还给BBC并举行交接仪式。
本文介绍如何逆向工程雅马哈DX7合成器的固件,主要面向具有技术背景但刚接触逆向工程或8位架构的读者。
核心方法:地址解码 在反汇编固件前,必须先理解CPU的内存映射。DX7的CPU通过地址解码电路将外围设备(如固件ROM、RAM、LCD屏幕)映射到特定的内存地址。通过分析电路图中的逻辑门(如AND、NOT)和解码器(如74LS138),可以确定每个设备的地址范围。例如:
0xC000 - 0xFFFF。0x1000 - 0x2800。0x2800,控制寄存器映射到 0x2801。固件反汇编与分析 使用Ghidra反汇编工具加载ROM文件,并根据已确定的地址设置内存映射。
0xFFFE)开始执行。重置函数负责初始化CPU端口、变量,并设置定时器中断。0x2800)出发,反向追踪代码,发现了用于初始化LCD、等待LCD就绪和写入指令/数据的函数。最终识别出完整的LCD打印函数,它处理字符串缓冲、设置显示位置、逐字符写入,并检查屏幕行列边界。为何选择DX7作为示例 DX7具有多个适合入门逆向工程的特点:其架构(单ROM、无复杂的bank switching)、存在LCD文本界面便于分析、相关文档(电路图、手册)齐全,并且可使用免费的Ghidra工具进行反汇编。
总结 逆向工程复古合成器固件的关键在于先通过硬件文档(电路图、数据手册)理解内存映射,再利用反汇编工具分析代码流。虽然具体架构和指令集各异,但这些基本方法(地址解码、跟踪重置/中断处理程序、分析外围设备驱动)适用于不同嵌入式系统的逆向工程。
Bible and Quran相关的应用程序在F-Droid应用仓库中被错误地标记为NSFW(不适合在工作场合浏览)。这一标记引发了用户关注和讨论。
用户dizzib在F-Droid上发布了其应用Bible Feed的v1.6.0版本。该应用基于Professor Grant Horner阅读计划跟踪器,用于阅读上帝的圣经。发布后,应用被自动标记为NSFW,并且元数据中新增了AntiFeatures部分,显示NSFW标记,描述部分内容为“Promote ■■■■ and vio…”(部分内容被模糊处理)。
此错误标记可能影响应用的正常访问和用户信任,引发了对F-Droid审核机制准确性的质疑。
2024年7月底,时任美国联邦贸易委员会(FTC)主席的林娜·卡恩在创业孵化器Y Combinator主办的活动上发表讲话,将自己定位为开源人工智能的支持者。当时加州立法者正考虑一项名为SB 1047的里程碑式法案,该法案将对人工智能公司施加新的测试和安全要求。卡恩呼吁采取限制较少的方式,并表示有了开放模型,“小玩家可以将他们的想法推向市场”。
博客文章被移除
背景与反应
本文探讨了2024年XZ Utils后门事件,并详细介绍了如何通过改进的Debian软件包审计实践来检测此类威胁。作者作为Debian开发者,分享了一套审计Debian软件包的方法论,并讨论了其对Debian软件供应链安全的启示。
XZ Utils 5.6.0/5.6.1版本中被植入后门,短暂进入Debian、Fedora等主流发行版,但因Andres Freund发现SSH性能下降并及时报告而迅速被移除。此事件引发了关于Linux发行版打包者为何未察觉异常、当前供应链是否易于审计以及是否可能潜伏其他未被发现的后门等问题。
审计重点应放在源代码包而非二进制文件上,并假设构建主机可信。主要步骤包括:
debsnap 工具从Debian存档下载特定软件包(如xz-utils)的多个历史版本。这些包包含上游源代码(.orig.tar.xz)、上游签名(.asc)、Debian打包源码(.debian.tar.xz)和Debian源码控制文件(.dsc)。gpg --verify 验证 .dsc 文件,需注意需单独验证密钥本身的可信度(如通过Debian密钥环)。.orig.tar.xz.asc 文件进行类似验证。uscan 工具辅助,但需注意经Debian重新打包的源码(因 Files-Excluded 等设置)可能无法直接比对。git log、git blame、git verify-tag 等工具查看详细的提交历史、代码溯源和验证上游提交签名。tag2upload 项目正在改善此问题,但目前仍不普遍。diff 命令直接比较通过 debsnap 下载的包与Git仓库中的 debian/ 目录内容,以发现不一致(如时间戳差异)。gbp import-dsc 或 gbp import-dscs 根据存档包创建合成的Git历史,确保内容与存档一致。dgit 也能创建合成历史,但功能侧重不同。git-buildpackage 时,导入提交(如 upstream/v5.8)会明确展示这些差异,可用 git difftool(如Meld)进行可视化比较。结论是:否,以合理努力无法检测。
m4/build-to-host.m4 中用于提取和植入恶意代码的修改。m4/build-to-host.m4)出现属正常现象。其复杂的m4/shell脚本语法及对反引号、eval 的使用是Autotools的常规特征。serial 30)异常高,但检查此点需要大量额外工作,且不切实际。作者甚至建议开源项目应逐渐淘汰Autotools。3.0 (quilt) 却配置为 1.0 (native))的情况。最后,作者呼吁对Debian感兴趣的组织支持其改进工作。
该平台是一个用于发现、比较和选择单板计算机的综合性工具,以真实基准测试和详细规格数据为核心,帮助用户做出明智决策。
用户可通过三个简单步骤找到合适的SBC:
平台提供快速分类链接,帮助用户根据特定需求快速找到匹配的板卡。
Dosbian是专为DOS环境设计的发行版,完全基于新版Trixie系统重写。启动后直接进入DOSBox界面,用户可自行安装系统或软件,构建理想的复古PC环境。适用于DOS游戏爱好者或旧版DOS软件用户,无需复杂配置,开机即可获得命令行操作界面。
支持树莓派3B、3B+、3A+、4B、400、5、500、500+型号。
开发团队还提供了Combian64发行版,可启动进入经典Commodore机器(64、128、Vic 20、PET等)环境。
Bat v0.26.0 版本更新摘要
--list-themes 命令支持分页显示。bat -r :-10 或 bat -r='-10:'。bat -r 30::5 或 bat -r 30:40:5。minus 分页器,可通过 bat --pager=builtin 使用。BAT_THEME_DARK 和 BAT_THEME_LIGHT 被忽略的问题。--list-themes 会输出默认主题信息到标准输出的问题。--map-syntax 的目标匹配未与 --language 保持大小写不敏感一致的问题。--style=changes 在文件未修改时会输出两空格缩进的问题。-n)和样式组件不显示的问题。go.mod, go.sum) 等编程语言。flake.lock、debsources、certbot 配置、.flatpakref/.flatpakrepo、.kshrc、dmesg 日志等添加或改进了语法映射。terminal-colorsaurus、console、onig_sys、syntect 等依赖库。vendored-libgit2 Cargo 特性,允许使用内置的 libgit2;优化了构建脚本和 CI/CD 配置。