,翻译过来大概就是“我也是很无语了”。因为 event-stream 包突然多出了一个名为 flatmap-stream 的依赖项,而这个依赖项正在窃取用户的数字货币。...event-stream 被很多的前端流行框架和库使用,每月有几千万的下载量。在 Vue 的官方脚手架 vue-cli 中也使用了这个依赖,作为最流行的前端框架之一,这个影响还是挺大的。...flatmap-stream 中的恶意代码会扫描用户的 nodemodules 目录,因为所有从 npm 下载的模块都会放在此目录。...如果使用 yarn 则可以运行: $ yarn why flatmap-stream 根据 issue 的描述,这次事件还非常具有戏剧性,因为攻击者(@right9ctrl)在大概 3 个月前明目张胆的添加了攻击代码...直到几天前这个有漏洞的仓库才被发现,然后 npm 紧急将这个含有恶意代码的 flatmap-stream 模块删除了。 这段恶意代码目前还能在 GitHub 上看到,感兴趣的可以自己去分析。
“因此,他们的所有代码提交都必须从内核树中返回,并且需要再次进行审查,以确定它们是否确实是有效的修复程序还是恶意的漏洞。”...当然,这是一个错误的行为,但你的批评明显带着强烈的偏见,你的指责没有给出理由,也不会对我们的改进有任何帮助。我不会再发送任何补丁,因为你们这种态度不仅不可取,也是对新手和非专家从业者的伤害。...随后,Croha-Hartman回应说: Linux开发人员社区讨厌这种行为,建议你去其他社区,这里不欢迎你。我们将删除你以前所有的贡献,因为这些贡献明显是在恶意挑起事端。...我们应该尊重维护者的努力,并在可能的情况下增加潜在的激励措施,以鼓励更多的人加入维护者。 网友@anonymocities则认为Linux方面也存在问题:“还有什么比内核更好的项目吗?...对此,网友@Mourningblade提出了这样的建议: “有很多方法可以在符合道德的情况下进行此类研究。例如:私下与主要维护人员联系,并列出打算做什么研 究。只要同意补丁无法发布,就可以了。
因为只有少数组织或个人有能力驾驭网络安全相关的技术与经验,而绝大多数的即使是专业做网站开发的公司也不一定有知识有能力或有意识去考虑安全性问题. ...,输入需要做什么验证? ...那现在我要问几个问题:你能保证每种角色只能做其份内的事儿?你是如何去保证的呢?方法可靠吗?有没有漏洞?...... 这,就是我要说的角色验证或认证。BTW:为什么我会说验证或认证呢?...现在的问题是:我可以替你操作吗,我可以替你发表文章吗?我能修改你的个性设置吗?如果不能,CSDN是如何实现的?...具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL
event-stream包是一个Node.js 流数据的 JavaScript 软件包,每周下载量在200万次以上,截止到目前为止已经有大约800万次的下载量,持续时间为2.5个月。...目前 npm 已经删除了带有恶意版本的 event-stream,如果你想继续使用 event-stream,可更新到最新版本的 event-stream 4.0.1。...如果在输出里面包含了 flatmap-stream 则说明你也可能被攻击。...,Vue CLI 对其依赖关系仅在用 UI 终止任务时存在,已创建项目通过纯 CLI 使用的不受影响。...为彻底杜绝问题,建议重装全局的 @vue/cli。 最后,GitHub 的评论区都在争论开源项目作者是否应该对类似事件负责,因为它关乎上万开发者和项目的安全,而此事是作者的失职,对此,你怎么看?
毕竟,它是免费的。 指纹识别? Okay! 等等… 看看这上写的什么: “完整的病毒,恶意软件扫描程序”:什么?...无论哪种方式,这里有一些建议: 删除诈骗和给用户退款:最明显的。 只需雇人定期检查这些顶级应用程序并删除诈骗分子。 对于购买了诈骗订阅的用户,自动并全额退款。...作为奖励,在这里展示该应用的最有用/最近的评分或评论。 对订阅进行更严格的审查:苹果是怎样把一个每月收费400美元的所谓的“完整病毒,恶意软件扫描程序”通过审核的? 有人在家吗?...对于这样的一些应用程序,尽管其应用被命名为“免费试用高级版”,但它不是一个试用版 - 它是立即购买。...至少,苹果应该在运行前,检查该广告是否存在潜在的欺诈行为(Facebook和谷歌都这样做),对于排名靠前的广告结果,标实为广告。 罚款并采取法律行动:这个建议是最后一个,因为苹果不太可能这样做。
NPM模块event-stream被黑客攻击 这件事闹得沸沸扬扬,不过只是有很多噱头,如果认真分析黑客干了什么,其真实影响没那么大,至少Vue开发者没啥好担心的: 比特币钱包copay依赖event-stream...模块; 黑客从骗取了event-stream模块的npm发布权限; 黑客为event-stream模块添加了依赖flatmap-stream; flatmap-stream含有黑客代码,仅会在copay...这里不妨引用尤雨溪的一句话: 至于重构、设计什么的,我只想说,看的是使用的人的水平,跟用什么语言没那么大关系。水平烂的人用 TS 一样写的是翔一样的代码,看看 java 就知道了。...使用原生代码重写了2个依赖于jQuery的模块jquery-pjax和facebox。 开发一个定制的jQuery版本,一旦完全移除某个jQuery方法,就删除jQuery中的对应代码。...原因无疑是JS的跨平台特性。同一套代码多处运行,虽然现在还有很多问题,但是这样的未来不是挺好么?
我一直从事这个行业有十年了,这篇文章帮大家深入的了解一下这项工作都在做什么,以及从事这项工作在现在企业安全中起到了什么作用?是否有价值?然后再教大家如何入门学习恶意样本分析。...安全包含的内容很多,现在做企业安全能给企业客户解决安全问题,才能体现做安全的价值。 上面我已经说了恶意样本分析对企业安全的价值,以及恶意样本从业人员具体都在做什么,是否有价值?...之前我在一个安全博客网站上看到过一篇文章,好像叫十分钟学会恶意样本分析,后面我在星球写也一篇文章《恶意样本在线分析网站,你想要的都在这里》,帮助一些没有安全分析能力的朋友快速分析样本,也是为了可以让一些没有安全分析能力的安全应急响应人员和安全服务人员对病毒分析有一些简单的了解...为啥一定要深入的研究和学习,因为这些在线分析网站并不能解决所有的恶意样本了,大多数高端的样本都可以轻松的躲避到这些在线的分析网站,如果这些在线分析网站能解决所有的样本分析工作了,那还需要恶意样本分析人员做什么...我列举了一个学习线路,可以按照下面的步骤进行学习: 1.病毒形为分析 通过一些样本动态形为监控工具,对样本的基本行为进行分析,同量还可以通过一些威胁情报网站进行查询分析,对病毒了有一个基本的了解。
另外你需要面对常见的Android问题如Activity生命周期,然后你还应该问问自己下面这些问题: 我应该保存presenter的状态吗? 我应该将presenter做持久化处理吗?...我可以命名方法onScrolledToEnd()让具体的presenter处理具体做什么。...Presenter和view有1对1的关系 如果没有view的话presenter就没有意义了。presenter随着view一起被创建也随着view一起被销毁。...所以我建议定义一个方法start()(或类似的方法)来运行Presenter中的业务。 关于detach()呢? 如果你有一个叫start()的方法,那么你可能至少还需要一个来释放依赖的方法。...但考虑到上面的第二条准则就不能这么做了。你不能将数据序列化到Bundle中,因为这样的话presenter就与Android类耦合了。 我说presenter应该是无状态的,但其实也不然。
6 如果你不能把它与业务联系起来,那就无所谓了 你可以重构一个代码库,对其进行大幅清理,使每个人都更容易理解,也让代码库更容易扩展,但如果该代码库在四个月后因为该项目对业务没有帮助而被删除,那么所有这些就都不重要了...9 最佳实践通常是基于这样的假设:你知道代码应该做什么 如果你确切地知道要构建什么,那么最佳实践和模式可以给你带来帮助,为你提供如何进行构建的建议。...13 总是在一天结束的时候留点未完成的事 一个失败的测试,一个编译错误,一个未写完的语句,以其中某一项结束你的一天,第二天早上你就可以坐下来继续你的工作,完全跳过了“嗯,我今天应该做什么……”。...我认为,在某种程度上,指着什么说它的坏处,然后耸耸肩说,我早就料到这不是什么好事(每件事都是坏事,对吗?)这很容易做到,也很容易被误认为是一种能够发现缺陷和最坏情况的工程思维(其实不是这样的)。...即使它现在没有做任何有用的工作,有它在身边也无妨,不是吗?不是的。务必删除它并继续前进。如果有必要,从版本控制中恢复即可。 对测试来说也是如此,我要是早知道就好了。
本文涉及到不少容器的基础概念,建议复习阅读我的上一篇文章“画地为牢,细谈VM和容器”。 估计有不少朋友会疑惑:容器不是被禁锢在namespace里面吗?...不是说一个容器不能触碰到namespace之外的数据吗?不是说容器看到的文件系统以及配置都是自己独有的吗? 是的,以上的问题的答案都是YES。但事实情况远比这个来得残酷。...下文中docker container指docker image的运行实例,image是静态的,而docker container是动态的,它是一个进程。 不安全的应用和库。...现在的最佳实践都劝大家把镜像做成immutable的,也就是镜像运行时,rootfs应该都是只读的,不应该发生安装应用到/bin目录之类的写操作,当然写数据到临时目录除外。 这样做的后果很容易想到。...理论上它们应该会被很好地进行安全方面的加固,但实际上不断有漏洞被研究人员发现,这些漏洞使得运行于容器内部的恶意代码可以触碰到容器外面的环境。
我们不能确认这个评论就是由 Nicolas Tomb 发表的,因为这个 Disqus 账户最近才被创建,也只有一条评论与之相关联。现在,我们假设他是。...根据该软件运行时间,多少系统安装过,挖掘出了什么加密货币,我们能否知道违规者获取的是一点钱还是一笔钱。一个更长远的问题是:Canonical 公司将来有能力捕捉到这样的违规情况吗?...这真的是一个恶意软件吗? 许多新闻网站将之报道为恶意软件感染。我想我甚至可以看到这个事件被称为 Linux 的第一个恶意软件。我不确定这个术语是否精确。...一旦他们被抓了,他们就声称这仅仅为了通过应用程序获利。如果真的是这样,他们应该在 snap 应用的描述中提到才对。隐藏加密矿工并不是什么新鲜事。他们通常是一种盗取计算能力的方法。...我希望 Canonical 公司已经具备了解决这个问题的功能,盼望这些功能能很快出来。 你对 Snap 应用商店的“恶意软件风波”有什么看法?你将如何改善这种情况?请在下面的评论中告诉我们。
本着对技术的好奇,我也去了解了一下到底它攻击了什么、如何修复这个问题、有什么办法可以解决这种攻击方式。...代码到底攻击了什么 首先罪魁祸首是这个 flatmap-stream-0.1.1.tgz 包,他被 event-stream 这个包所依赖。event-stream 包的周下载量高达 180 万。...的话,就不作操作,因为在 test 网络下,虚拟货币就算拿到也不能换钱。...如何修复 其实修复的方式很简单,你只需要删除 node_modules 文件夹,然后重新安装依赖即可,目前 event-stream 已经移除了 flatmap-stream 依赖。...-g @vue/cli npm install -g @vue/cli 对于这种攻击有什么好的解决办法 既然攻击出现过一次,那么后人就会去模仿,我们应该考虑有什么办法防止这类问题。
Git会永远持续下去吗,或者你预见另一个版本控制系统会出现在另一个十年里?你会是其中的编写者之一吗? Torvalds:我不会是编写者之一。...举个例子来说,在大多数SCM中,合并的概念被普遍认为是非常痛苦和困难的,你不得不计划合并,因为处理量是巨大的。这是我不能接受的,而且最大的开销不应该在合并上,而是在测试结果上。...“CVS背景”的事物已经远去,现在可能有很多程序员从不使用CVS,并且会觉得CVS的方式非常混乱。为什么呢?因为他们先学的Git。 如果不用Git,你认为Linux内核开发速度能够跟上目前的速度吗?...Torvalds:GitHub是一个优秀的托管服务,我没有任何需要针对它的地方。我要抱怨的是GitHub作为一个开发平台,提交、请求、跟踪问题等不能工作的很好。...项目具体是做什么并不重要,重要的是你可以做到了。 您最近还有其它项目吗?有其它可以在未来若干年主导软件开发的项目吗? Torvalds:目前没有,如果有的话我会告诉你。
为Rust有很多字符串类型而烦恼吗?好吧,它没有必要 众所周知Rust有几种不同的字符串类型。两个主要的竞争者是: &str是一个 "字符串引用"。它是不可调整大小的,它的可变性是有限的。...几天前,我问是否有人对C FFI之外的二进制库发行有什么建议,人们不断地给我指出各种 "hack "解决方案,对此我非常感激(尽管这些hack的方法在我的特定情况下没有帮助,C FFI看起来仍然是最不坏的解决方案...这涉及到对cargo的hack式滥用,我没必要推荐其他用例 -- 在我们有限的事例下,它是有效的,因为我们可以控制一切的编译 -- 但相当难以处理。它很可能无法扩展到支持闭源应用程序或库的分发。...显然,我意识到,在运行时动态地重新链接单独编译的二进制文件中的符号/依赖关系是非常愚蠢和乏味的,这些符号/依赖关系在构建时是静态链接的,与实际运行的系统实例中存在的这些依赖关系的版本相一致。...不管怎么说,我只是觉得应该把我的想法说出来,在这里分享我的经验,让对话进行下去,看看其他人有什么意见。
这可能是你在面试中遇到的最简单的问题。我的建议是首先给出版本控制的定义:它是一个记录文件变化的系统,以便你以后可以调用特定版本的文件。...创建此分支将启动下一个发布周期,因此在这之后不能添加任何新功能,只有错误修复、文档补齐和其它面向发布的任务能够包含在此分支中。一旦准备好发布,该版本将合并到 master 中并标记版本号。...此外,尽管自发布以来开发分支可能已经有新的代码更新,但它依然应该被合并回开发分支。 最后告诉他们分支策略因组织而异,所以我知道基本的分支操作:如删除,合并,检出分支等。...在此脚本中,可以运行其它工具,例如 linters,并对提交到存储库中的更改执行完整性检查。 最后给出一个例子,你可以参考下面的脚本: #!...当检查未通过时,通过以非零状态退出,脚本能有效地阻止该提交应用于存储库。 Q12:如何找到特定提交中已更改的文件列表? 对于这个问题,不应该仅仅只解释这个命令是什么,而应该解释这个命令究竟会做什么。
但是,这种重点的改变可能会严重破坏现有流程。这也适用于标准化工作吗? Bernard: 最重要的是,我们正在努力收集所有这些证据,这些证据将提交给W3C以声明我们已为建议的建议阶段做好了准备。...曾经有一种称为ORTC的替代建议,有时被定位为WebRTC的后继者,我们将对此进行大讨论。WebRTC 1.0已围绕我们讨论的当前规范进行合并。尽管如此,关于接下来会发生什么仍然有很多争论。...SFU应该纯粹基于对描述的依赖来做出前向决策,以允许端到端加密。因此,从本质上讲,您已经进入了下一个模型,在此模型中,SFU现在可能可以独立于编解码器。...在插入流的情况下,它被打包并通过有线发送。 有一些棘手的方面。已经提交了一些错误。它现在可以与VP8和VP9一起使用,它不能与H264一起使用。...但是,我认为它会带给您一些可能的东西以及可以做什么的感觉。人们会对其中的某些技术很快面世感到惊讶。
想要撤销一次因为重构而将行为改变引入到版本库中的提交是极为麻烦的。 昂贵的人工审查时间应该花在程序逻辑方面,而不是对样式、语法或格式的辩论上 -- 那些应该用自动化工具解决掉。...因此代码审核应该麻利些(以小时计而非天),团队成员和领导也需要优先对待审查并承诺完成的时间。如果你觉得不能按时完成一次审查,请让提交者马上知晓,以便另请高明。...函数和类的存在应该有意义;当审查者对其意义不明确时,可能就意味着这段代码需要重写、注释或测试了。 实现 想想如果换成你会怎样解决问题。如果有差别,是为什么?你的代码能处理更多(边际)情况吗?...所做更改是否增加了编译时或运行时的依赖(特别是在子项目中)?我们希望保持产品的松耦合,依赖越少越好。对依赖和构建系统的改变应该事无巨细的检查。 易读性和样式 考虑你的阅读体验。...避免人物之间的比较,带上评价就更不好:“你改代码之前我的代码明明能运行的”、“你的函数有 bug” 等等。避免绝对的判断:“这样根本运行不了”、“结果总是错的”。
(一)从身边的开放数据做起 上章讲解了大数据是什么,本章就带领大家怎么去管理,去删除网上所留下的信息,对我们每个人来说在互联网已经是家喻户晓了,每个人都可以从互联网上获得自己想要的信息。...4、吧不能手动修改的信息通过客服修改掉,因为后台一般是不存在删除的一般都是伪删除。...有一个可行的解决方案是使用ghostery这样的工具。3、并不是所有的在线通信设备都是安全的,因此您必须有选择性地选择您每天使用的工具进行数据通信。...网上遇到了一个感兴趣的项目或者社区这个时候就要去确认这个企业的可靠性以及网上稳定性去了解有大的变动吗,再通过maltego工具去寻找该企业在网络上的蛛丝马迹。...通过我上面的描述以及我说过的案例相信大家已经体会到了信息的重要性,但现在任然有许多人对自己的隐私不重视认为这些微不住道的东西不足挂齿。我认为这点需要各位去想想自己这些数据的重要。
当你的家被闯入时,你可能最初无法理解被拿走了什么,或者造成了什么损害。这就是 Linux 社区 目前对最近发现的 xz 后门安全漏洞的担忧。...错误的代码已被迅速清除,但现在的问题是这个后门已经造成的潜在损害——以及是谁植入了这个诡计,他们的目的是什么。...Jia Tan 只能访问托管在 GitHub 上的 xz 文件;Collin 保留对网站的控制权。...恶意代码实际上被嵌入到 sshd 本身中,这要归功于最近的 sshd 补丁,以支持 systemd-notify,允许其他服务(包括 liblzma)在 sshd 运行时收到警报。...鉴于上面列出的这些条件,如果你正在运行一个可公开访问的 SSH 的服务器实例,James 建议你应该“立即立即立即更新。” 他强调,目前已知的关于后门触发器及其感染版本的信息非常有限。
伟创力作死的事儿我看看,笑笑,吐槽之余脑海里突然有一个闪念:软件项目为什么没有供应链管理呢?如果要为软件项目定义供应链,那么其 BOM 应该是什么? 樱吹思婷。...,所做产品的基石更像个黑箱,它是否牢靠,我们并不完全清楚,也不能掌控。...做 javascript 的人应该还记得几年前的 leftpad 事件吧[3]:一个程序员因为 npm 的 admin 私自把他的一个 module “kik” 转给了 kik 这家公司(kik 的律师让他...这样 right9ctrl 就达到了神不知鬼不觉让无数用户使用了有攻击代码的 flatmap-stream。费了这么大的劲儿,他想干什么?如果不是为了窃取受害者的信息,那么就是偷盗受害者的财富。...这些权限请求会和依赖文件一样,生成一个文本,可以被 review。 我觉得未来在这个领域,应该会诞生出来一些公司,一些工具。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
