2026-05-31
来源:infoq.com
18
传统 SAST 工具的核心逻辑是"匹配模式"——拿一套规则库逐行比对源码,命中就报漏洞。这套方法对硬编码密码、SQL 拼接这类局部缺陷还算管用,但面对跨组件的数据流污染、条件分支间的逻辑矛盾,基本只能输出一堆低信噪比的告警,然后靠人工逐条甄别。Arm 刚刚开源的 Metis 换了一条路:让 AI Agent 自主阅读代码、理解语义、追踪跨模块依赖,再用...
2026-05-31
来源:infoq.com
36
静态分析工具(SAST)跑完一轮,报告里堆满了低优先级的警告,真正危险的跨组件漏洞却漏掉了——这不是个别团队的体验,而是规则匹配式工具的结构性短板。Arm 最近开源了 Metis,一个基于 Agent 的 AI 安全框架,试图用语义推理替代模式匹配,自主发现复杂漏洞并给出自然语言解释。 主流 SAST 工具的核心逻辑是规则匹配:扫描源码,命中预定义的模...
2026-05-30
来源:infoq.com
36
每天从 MySQL 搬运数 PB 级的社交图谱数据到下游数据仓库,任何一次管线迁移都像在高速行驶的汽车上换引擎——稍有不慎,就是全局性的数据延迟或丢失。Meta 最近完成了这项硬核操作,不仅实现了零停机迁移,还把管线的可靠性拉到了新水位。他们靠的不是运气,而是两套精准的工程利器:反向影子测试与持续校验监控。 社交图谱数据是 Meta 生态的命脉。好友关...
现代软件交付的瓶颈早已不在应用代码本身——它卡在跑代码的平台上。团队写好了服务,却要花大量时间处理集群配置、权限审批、镜像签名、环境漂移。内部开发者平台(Internal Developer Platform,IDP)的目标就是把这些摩擦抹掉:开发者声明"我要一个生产环境的前端服务",平台自动完成从集群分配到镜像构建到安全校验到部署的全链路。 下面拆解...
2026-05-29
来源:oschina.net
19
开源组件已经渗透到几乎所有企业软件的骨架里,但"用得越多、担得越多"——供应链攻击、未修补的 CVE、上游维护者倦怠,这些风险正从边缘议题变成生产事故。IBM 和红帽这次没有再发白皮书,而是直接掏出了 50 亿美元和两万名工程师,启动了 Project Lightwell,试图从上游代码到生产部署全链路重建企业对开源的信任。 过去几年,开源安全事件反复...
2026-05-29
来源:oschina.net
19
Rust 1.96.0 稳定版落地了。这次更新最值得动手试的是一套全新的 Range 类型——它们终于支持 ,迭代方式也从 切换到了 。此外新增的断言匹配宏让测试中的结构化断言更简洁,Cargo 也修补了两个安全相关问题。下面逐项拆开看。 旧版 (比如 )有个长期痛点:它实现了 ,但不支持 。这意味着你把一个 range 传给函数后再想用它,就得重新构...
2026-05-29
来源:oschina.net
17
Arm 把内部安全研究团队打磨多年的漏洞发现框架 Metis 完全开源了。这不是又一个"AI 扫描器"的 demo——它在 Arm 内部 130 多个软件项目里已经跑出真阳性率提升 10 倍、误报降低 50% 的硬数据,并计划 2026 年底前覆盖 Arm 全系产品。对于做安全审计、代码扫描的工程师来说,这个架构值得拆开看一遍。 静态分析工具(Cove...
2026-05-29
来源:oschina.net
16
一位安全研究员披露了 Windows 零日漏洞,结果 GitHub 账号被封、Microsoft 账户被删,被迫整体迁移到 GitLab。研究员 Nightmare-Eclipse(又名 Chaotic Eclipse)公开指控微软"报复性执法",并暗示将在 7 月 14 日做出"清算"。这件事在安全社区炸开了锅——它暴露的不仅是单次冲突,而是整个漏洞...
2026-05-29
来源:blogs.oracle.com
22
用户画像、IoT 遥测、AI 提示词日志、商品目录——现代应用每天都在吞吐大量半结构化数据。这些数据天生带着 JSON 的灵活基因,字段随时增减,嵌套层级深浅不一,硬塞进严苛的关系型表结构里,往往意味着无休止的 和痛苦的 ORM 映射。 但另一方面,企业又很难彻底拥抱纯文档数据库。事务一致性、细粒度权限控制、成熟的运维生态,以及最关键的——对海量数据做...
2026-05-29
来源:istio.io
25
Istio 的版本维护策略很明确——每个小版本在 N+2 版本发布六周后停止支持。Istio 1.30 已于 2026 年 5 月 18 日发布,这意味着 1.28 的维护窗口将在 2026 年 6 月 28 日正式关闭。届时,安全漏洞和关键 bug 的修复不会再回溯到 1.28。如果你还在跑 1.28,现在就是规划升级的时间点,拖下去只会让未来的紧急...