2026-05-18
来源:oschina.net
24
Debian 13(trixie)稳定版迎来了第五次点版本更新——13.5。这类更新不重写发行版本身,只替换存在安全漏洞或严重缺陷的软件包。对于已经在跑 trixie 的服务器和工作站,意义很直接:升级即修复,无需重新安装。 Debian 的点版本发布(13.1 → 13.2 → … → 13.5)本质上是把过去几周单独发布的安全公告(DSA)和严重缺...
2026-05-18
来源:blog.cloudflare.com
29
把安全大模型直接指向生产环境里的活代码,听起来既激进又诱人——自动化漏洞发现、批量审计、减少人力瓶颈。Project Glasswing 正是在做这件事:他们把 Mythos 及其他安全导向的 LLM 部署到基础设施的关键代码上,让模型直接"读"真实仓库。结果有惊喜,也有明显的短板,离规模化还有一段路。 Mythos 在扫描中展现出几个值得注意的能力:...
2026-05-18
来源:postgr.es
32
你精心调好了 autovacuum,监控面板上 稳稳地在安全线以内,觉得自己已经把 XID 回卷这头猛兽驯服了——然后某天凌晨,数据库突然拒绝写入,报错信息指向一个你从未关注过的名字:MultiXact ID wraparound。 这不是理论推演。Richard Yen 在文章中提到,他见过不止一位资深 DBA 在这个坑里栽倒。原因很简单:所有人都盯...
2026-05-18
来源:oschina.net
27
一个能直接在你机器上读写文件、执行命令、装插件、访问网络的 AI 助手——听起来像是一个随时可能失控的超级用户。OpenClaw 就是这样的助手,但它团队的态度很明确:强大不等于盲目,不等于无边界,更不等于无法审计。他们刚发布了安全路线图,把"让 AI 助手变得可防御"这件事拆成了多层机制,文件系统安全是第一仗。 传统聊天型 AI 的风险边界很清晰:它...
2026-05-18
来源:istio.io
31
Istio 1.30 刚刚发布,正式支持 Kubernetes 1.32–1.36。这一版最值得关注的不是某个单一大功能,而是多条线同时推进——为 AI Agent 流量量身打造的数据面代理首次亮相,Gateway API 补齐 TLS 短板,Ambient 模式啃下了 CIDR 和 XFCC 两块硬骨头,流量管理新增了命名空间级继承和统一扩展 API...
2026-05-18
来源:istio.io
31
Istio 1.29.3 是一个以安全修复为主的补丁版本。如果你正在用 AuthorizationPolicy 做 SPIFFE 身份或命名空间匹配,或者依赖 XDS debug 端点做排障,这次升级不应拖延——两个授权绕过漏洞已被修复。此外,版本还加入了 Gateway API v1.4.1 支持、HBONE 连接窗口大小调优、AWS EKS amb...
2026-05-18
来源:istio.io
16
Istio 1.28.7 是一个聚焦于安全与健壮性的补丁版本。如果你正在运行 1.28.x 系列,这次升级不是"可选"——里面包含两个已确认的授权绕过漏洞,以及一个影响 AWS EKS Ambient Mesh 的 kubelet 健康检查修复。下面逐项拆解关键变更,并给出升级前的实操检查清单。 这是本次最严重的安全修复(Issue #59992)。问...
2026-05-18
来源:istio.io
13
Istio 1.30 是一个"补洞+填坑"型版本——Ambient 模式拿到了多项此前 sidecar 独占的能力,多网络和多集群场景下的一批顽固 bug 被修复,安全方面则一口气堵了四个 CVE。如果你正在评估或已经部署 Ambient,这个版本值得认真看。 Ambient 模式此前在 ServiceEntry 上只支持主机名解析,对 CIDR 地址...
2026-05-18
来源:oschina.net
27
Java 开发者对"工具类"的爱恨是矛盾的——Apache Commons、Guava 确实省了不少力气,但调用方式往往还是偏传统:静态方法、硬编码参数、返回值需要二次处理。feilong 工具库 4.5.2 把核心 API 全面转向 Lambda 风格,让集合操作、条件判断、转换逻辑都能用函数式写法一步到位,代码量肉眼可见地缩减。 日常开发中最常见的...
2026-05-15
来源:oschina.net
26
恶意软件组织主动把自家蠕虫源码推上 GitHub——这事不常见,但 TeamPCP 刚做了。安全研究机构 Ox 本周二在 GitHub 上发现了两个仓库,里面就是 TeamPCP 的 Shai-Hulud 蠕虫完整代码。仓库描述写得近乎挑衅:"是氛围编码吗?是的。它有效吗?让结果说话。自行更改密钥和 C2。致敬 — TeamPCP。"The Regis...