哈喽,大家好,我是强哥。
GitHub停用俄罗斯公司开发者账号;7-Zip 安全漏洞;Git 2.6发布;甲骨文修复 Java “年度加密漏洞”;FASTJSON 2.0 发布;Node.js 18 发布;星星(start)的失而复得;计算机类PDF电子书下载;程序员延寿指南;30 秒的代码;山姆抢购。
科技资讯
GitHub停用俄罗斯公司开发者账号
据俄媒Habr报道,从4月13日起,GitHub开始屏蔽受美国制裁公司的俄罗斯开发者账户,其中包括俄罗斯银行Sberbank、俄罗斯最大的私人银行Alfa-Bank和其他公司的账户,以及个人个体开发商的账户。
据悉,被停用的个人账号与被制裁实体有关联,即使是已经离开了这些公司的人,也可能会遭到GitHub封锁,因此,俄罗斯开发者账号可能随时会面临被停用风险,账号下面的项目被抹除、暂停等情况。
而就封锁俄罗斯开发者账号一事,GitHub在回复外媒Bleeping Computer时表示:
与在美国开展业务的任何公司一样,GitHub 可能必须限制被认定为特别指定国民 (SDN)或根据美国和其他适用的制裁法律被拒绝或被阻止的用户和客户,或者可能代表被阻止使用 GitHub 的用户和客户团体。
同时,GitHub 的愿景是成为开发者协作的全球平台,无论开发者居住在哪里。我们会彻底审查政府制裁,以确保用户和客户不会受到超出法律要求的影响。
7-Zip 安全漏洞
7-Zip 是一款开源的解压缩软件,主要应用在微软 Windows 操作系统上。7-Zip 的作者曾在去年 3 月发布了首个针对 Linux 的官方版本,让 Linux 用户可以使用官方开发的 7-Zip 替换掉年久失修的 p7zip。
近日,研究人员 Kağan Çapar 在 7-Zip 中发现了一个漏洞,该漏洞可能导致黑客被赋予更高的权限以及执行任意指令。该漏洞的 CVE ID 为 CVE-2022-29072,漏洞影响 7-Zip 所有版本,其中也包括目前最新的 21.07 版本。
漏洞是由于 7z.dll 的错误配置和堆栈溢出所导致的。在软件安装后,「帮助 > 内容」区域中的文件通过 Windows HTML Helper 进行工作,但在进行命令注入后,7zFM.exe 下会出现一个子进程,由于 7z.dll 文件存在内存交互,调出的 cmd.exe 子进程会被授予管理员模式。
7-Zip 的开发者暂时还没提供软件更新来修复该漏洞,也尚不清楚 7-Zip 何时会解决该问题。虽然官方还没有提供更新来修复该漏洞,但该漏洞是由安装文件夹中包含的 7-zip.chm 文件所引起的,因此目前的临时解决方案就是删除这个受影响的文件。
为了删除该文件,必须首先打开压缩程序的文件夹。一般情况下,该文件可以在 C:\Programs\ 下找到。调出 "7-Zp" 文件夹后,可以简单地通过右键点击删除 7-zip.chm 文件。除了删除 7-zip.chm 文件,用户还可以撤销 7-Zip 程序的写入权限,让 7-Zip 只能运行和读取文件。
Git 2.6发布
分布式版本控制工具Git 2.6正式发布,该版本由717个非合并提交完成,该版本修复了向后兼容缺陷、对UI、Workflow&功能、性能、内部实施、开发支持进行了修复与功能开发,其中* "git name-rev --stdin "已被弃用,使用时会发出警告。
更多详情可查看:https://lore.kernel.org/git/xmqqh76qz791.fsf@gitster.g/T/#u
甲骨文修复 Java “年度加密漏洞”
甲骨文于近日推送了安全更新修复了一个漏洞,该漏洞允许攻击者伪造某些种类的 SSL 证书和握手、双因素认证信息,以及由一系列广泛使用的开放标准产生的授权凭证。这使得攻击者可以轻松地对文件和其他数据进行数字签名。
该漏洞影响了 Java 15 及以上版本中对 ECDSA(椭圆曲线数字签名算法)的实现。ECDSA 是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与 RSA 或其他加密算法相比,ECDSA 的一个关键优势是它生成的密钥较小,非常适合用于包括基于 FIDO 的 2FA、SMAL 和 OpenID 等标准。
这个漏洞的 CVE ID 为 CVE-2022-21449,最初是由 ForgeRock 安全研究员 Neil Madden 所发现的,他在漏洞说明中写道:
如果你在这些安全机制中使用 ECDSA 签名,并且如果你的服务器在 2022 年 4 月关键补丁更新(CPU)之前运行任何 Java 15、16、17 或 18 版本,攻击者就可以轻而易举地完全绕过它们。 如今几乎所有的 WebAuthn/FIDO 设备(包括 Yubikeys)都使用 ECDSA 签名,许多 OIDC 提供商也在使用 ECDSA 签名的 JWT。
FASTJSON 2.0 发布
FASTJSON 2.0 是 FASTJSON 项目的重要升级,目标是为下一个十年提供一个高性能的 JSON 库,同一套 API 支持 JSON/JSONB 两种协议,JSONPath 是一等公民,支持全量解析和部分解析,支持 Java 服务端、客户端 Android、大数据场景。
FASTJSON 2 性能有了很大提升,具体性能数据看这:
https://github.com/alibaba/fastjson2/wiki/fastjson_benchmark
Node.js 18 发布
Node.js 18 已发布,该版本的亮点包括将 V8 JavaScript 引擎更新到 10.1、默认启用全局 Fetch API 以及核心测试运行器模块。Node.js 18 是未来 6 个月的“当前”版本,然后在 2022 年 10 月升级为 LTS ,升级为 LTS 后将支持到 2025 年 4 月。
这个版本包含了如下修改:
- 新的浏览器兼容 API
- 全局 Fetch API(实验性)
- Web Streams API(实验性)
- 其他全局 API
- 测试运行器模块(实验性)
- 工具链和编译器升级
- V8 更新到 10.1
完整更新列表如下:https://github.com/nodejs/node/releases/tag/v18.0.0
AlmaLinux 9 测试版发布
美东时间 4 月 19 日,AlmaLinux 团队今天宣布了他们 9.0 测试版的里程碑。该团队表示,AlmaLinux 9.0 Beta 目前适用于所有受支持的架构,包括 x86_64、AArch64、PPC64LE 和 s390x。
在过去的一年中,AlmaLinux 已经证明了自己有能力成为一个受欢迎的、基于社区的 RHEL 替代品,它是在红帽宣布将停止零成本的 CentOS Linux 下游版本后开始发展的,最初由 CloudLinux 创建,提供一个社区支持的生产级企业操作系统。AlmaLinux 的第一个稳定版本于 2021 年 3 月 30 日发布。
红帽为什么要停用 CentOS 项目?
2020 年,红帽公司宣布,将在 2021 年 12 月 31 日和 2024 年 6 月 30 日分别终止对 CentOS 8 和 CentOS 的服务支持,把 CentOS 项目的工作和投资集中在 CentOS Stream 上。
红帽全球副总裁兼大中华区总裁曹衡康表示,过往,很多客户和开发者基于 CentOS 加了很多功能以后不会回馈上游社区,就变成了一个分支,久而久之这些分支因为无人维护又变成了社区里的“孤儿”,红帽希望可以改变这种现状,恢复社区上游优先的概念,把 CentOS Stream 放在 RHEL 的前面,生态伙伴可以将创新记录在 CentOS Stream 中。
当然,作为用户来说,面对 CentOS 的停服,选择当然不只是 CentOS Stream 一个,除了 AlmaLinux,CentOS 创始人 Gregory Kurtzer 以及社区希望开源能继续造福社会,也发起了 Rocky Linux 项目。相对来说,Rocky Linux 发布时间是较晚的。上线三天内,Rocky Linux 便吸引了 8 万人下载。
开源热点
星星(start)的失而复得
HTTPie(发音为aitch-tee-tee-pie)是一个命令行 HTTP 客户端。它的目标是使 CLI 与 Web 服务的交互尽可能人性化。HTTPie 设计用于测试、调试以及通常与 API 和 HTTP 服务器交互。http&https命令允许创建和发送任意 HTTP 请求。它们使用简单自然的语法,并提供格式化和彩色输出。
不过,这个项目最近GitHub仓库上的星星数却经历了一次U型过山车。起因是作者不小心将这个仓库设为私有,而 GitHub 删除了他们项目花了十年时间建立的社区和仓库的星星。
也就是说,如果你是下游维护者或以前watch httpie/httpie项目以获取通知的任何人,你将需要重新订阅仓库。start也是一样,如果你是在过去十年中的任何时候为项目仓库加注星标的54K的人之一,那么 repo 不再是你加星标的项目之一。不过,在作者发出相应的申明博客之后,还好,项目的星星还是很快的恢复了上来,网友还是很喜欢这个项目的啊。
地址:https://github.com/httpie/httpie
计算机类PDF电子书下载
计算机类的书籍非常贵,天天买纸质书是不可能的了,所以对电子书的需求量还是挺多的。同时很多小伙伴不知道哪些书是经典,哪些是辣鸡,现在有了这个项目,大家就可以直接去下载。
作者已经把电子书同步到了百度网盘上,书籍很多,且都是经典书籍。
由于不知道具体是否违规,所以强哥就不直接放地址了,大家可以:
后台输入「PDF」来获取项目地址
。
程序员延寿指南
哈哈,继上次程序员炒菜指南之后,现在关于这种非主流的项目真是层出不穷啊。
这次「程序员延寿指南」冲上热搜,项目目标也很明确:稳健的活得更久。关键结果:
- 降低66.67%全因死亡率
- 增加~20年预期寿命
具体延寿行动如下:
怕死的小伙伴可以关注下这个项目,可能真的能延寿哦~
地址:https://github.com/geekan/HowToLiveLonger
30 秒的代码
满足你所有开发需求的简短 JavaScript 代码片段:项目网站提供了非常丰富的我们在开发过程中可能会用到的代码片段。你可以按名称、标签、语言或使用片段的描述进行搜索。只需开始输入一个术语,看看会发生什么。
额,不过强哥个人感觉网站用处不大,毕竟很少会以这种方式去查想要的代码,还是Google方便点
地址:https://github.com/30-seconds/30-seconds-of-code
山姆抢购
嗯,不用多说了,这个和之前强哥推的叮咚买菜抢购如出一辙,也是个抢购的工具。
由go编写,具体运行应该也挺简单:
有需要的可以自行获取。
地址: https://github.com/robGoods/sams