来源:infoq.com
19
微软最近公开了一套名为 MDASH(Multi-Model Agentic Security)的漏洞发现系统。这套系统不再依赖单模型"单打独斗",而是让超过 100 个专业化 AI Agent 协作完成从扫描、验证、辩论到最终证明漏洞的全流程。目标很明确——在 Windows 及其他微软大型代码库中,用自动化手段替代传统人工代码审计的瓶颈。 单模型做代...
来源:oschina.net
23
5 月 21 日,Bun 团队公布了一份针对其尚未发布的 Rust 重写版本的安全审计报告。这份借助 AI 辅助完成的审计,把整个代码库翻了个底朝天——结果令人既振奋又警醒:13,365 个 语法节点散布在 774 个文件、51 个子系统里,但经过逐项评估,约 69.4%(约 9,300 个)最终可以转为安全代码,真正必须保留的只有约 30.6%。 这...
来源:oschina.net
32
Java 应用监控领域有不少重量级选手——SkyWalking、Prometheus+JVM exporter、New Relic——但对很多中小项目来说,部署成本和侵入性才是真正的门槛。JavaMelody 一直走的是"零配置嵌入"路线:加一个 Maven 依赖、改一行 web.xml,就能拿到 HTTP 请求统计、SQL 执行耗时、内存与线程趋势图...
来源:oschina.net
16
在线 Markdown 编辑器 StackEdit 发布了 v6.0.12,三个改动看似不大,却精准戳中了日常写作的痛点:HTML 标签终于能带样式了、图片格式不再挑食、PWA 回调地址也不再"串台"。下面逐个拆开看。 Markdown 本身对排版控制很弱——居中、字体颜色、背景高亮,全得靠嵌入 HTML。但此前 StackEdit 对 HTML 的处...
来源:oschina.net
16
Goa 长期以来把 Bearer token 认证绑在 JWT 的 DSL 上——明明只是想校验一个 ,却得用 来描述设计。v3.27.0 终了这事:新增 和 ,让通用 bearer token API 的设计语言回归本意。同时,生成的代码也在多处做了收紧,方便实际项目开启更严格的类型和 lint 检查。 在 v3.27.0 之前,如果你的 API 只...
来源:oschina.net
23
在 Open Source Summit North America 2025 上,Linus Torvalds 与 Dirk Hohndel 的对谈把一个老问题又翻了出来——AI 会不会让程序员失业?Linus 的回答既不是硅谷式的狂热,也不是悲观主义者的哀嚎,而是一种更接地气的判断:AI 是工具,不是替代品,尤其在内核开发这种对正确性有极端要求的领...
来源:oschina.net
13
Spring AI 同时放出了 1.0.8、1.1.7 和 2.0.0-M7 三个版本,覆盖了维护线、稳定线和前沿里程碑线。这次更新不只是例行修修补补——1.1.7 和 2.0.0-M7 修补了一个编号为 CVE-2026-41863 的安全漏洞,而 1.0.8 则修复了一个让人头疼的数据丢失问题: 在静默删除时只保留了前 10 条消息(issue #...
来源:blog.rust-lang.org
18
Rust 安全响应团队披露了一个影响所有 Cargo 版本的漏洞——CVE-2026-5223。恶意构造的 crate tarball 可以利用符号链接(symlink)绕过 Cargo 的目录保护,把文件提取到自身缓存目录的上一层,从而覆写同一注册源下其他 crate 的源码缓存。如果你只使用 crates.io,不受影响;但依赖第三方注册源(私有 ...
来源:blog.rust-lang.org
21
Rust 安全响应团队近日披露了 CVE-2026-5222:Cargo 在处理 sparse registry URL 时,错误地将原本只适用于 git 协议的 后缀剥离逻辑套用到了 HTTPS 端,导致在特定条件下攻击者可以窃取同一 registry 内其他用户的 Cargo 凭证。漏洞严重性评级为低——攻击前提极为苛刻,但理解其机制对维护私有 r...
一个租户的请求从网关进入,经过鉴权、编排引擎、数据服务,最终落到下游第三方 API——中间跨越了十几条微服务调用。当这位租户反馈"响应变慢",你打开监控面板,看到的却是一堆散落在各服务日志里的碎片化 trace ID,根本拼不出一条完整链路。这就是大多数云原生 SaaS 平台在可观测性上的真实困境。 单租户系统里,一个 就能串联整条调用链。多租户平台引...