来源:oschina.net
17
5月18日,超过5700个恶意提交同时涌入 GitHub 仓库,攻击者把 GitHub Actions 工作流里的正常步骤替换成 base64 编码的密钥窃取 payload——这就是安全公司 SafeDep 披露的"Megalodon"攻击。Tiledesk 的9个仓库、Black-Iron-Project 的8个仓库,以及数百个其他项目全部中招。这...
来源:oschina.net
33
谷歌最近不小心把一个未修复 Chromium 漏洞的细节公开了——这个漏洞的核心问题:浏览器关掉之后,JavaScript 依然可以通过 Service Worker 在后台持续运行,攻击者借此能在设备上执行远程代码。安全研究员 Lyra Rebane 在 2022 年 12 月就报告了这个漏洞并被确认有效,但修复迟迟没有落地,而泄露让细节提前暴露在了...
来源:blogs.oracle.com
33
传统架构里,交易系统(OLTP)和分析系统(OLAP)往往分属不同数据库——MySQL 跑业务,ClickHouse 或 Snowflake 做报表,中间再架一层 ETL。数据同步延迟、运维复杂度、安全策略割裂,都是老问题。MySQL HeatWave 的思路很直接:在同一个 MySQL 实例上加挂一个内存加速引擎,让分析查询直接在行存 + 列存的混合...
来源:blog.cloudflare.com
28
当企业把 AI 工具引入日常工作流,一个现实问题立刻浮现——谁在用什么数据调用了模型、调用了多少、有没有违规操作?Cloudflare 最近把 Claude Compliance API 接入了自家 CASB(Cloud Access Security Broker),安全团队现在可以在 Cloudflare Dashboard 里直接查看 Claud...
来源:postgr.es
33
如果你最近访问过 docs.pgedge.com,大概率已经碰到了 Ellie——一个只从文档里找答案、不瞎编的 AI 助手。问她"多主复制怎么配"或"MCP Server 监听哪个端口",她会把相关文档片段拉出来拼成上下文,再交给 LLM 生成带来源引用的回答。Ellie 不是魔法,它背后跑的就是 pgEdge 刚开放出来的 RAG Server:一...
来源:postgr.es
25
新集群已经部署好了,数据同步也跑起来了,接下来就是切换(cutover)——把流量从旧集群切到新集群。很多人把切换当成迁移的最后一步,到了那个节点才去想怎么做。但实际上,切换策略决定了你怎么迁移,而不是反过来。它影响你怎么配复制、预留多少 replication slot、怎么处理 schema 变更、以及回滚路径长什么样。所以在搭复制之前,先把切换策...
来源:oschina.net
15
PyPI 每周新增包数量在 2025 年陡然攀升了 30%,曲线近乎指数级。开发者 Artem Golubin 的监测数据把这条曲线拉出来后,安全社区立刻警觉:这不是生态繁荣,更像是一场由 AI 编码工具驱动的"包海啸"。大量低质量、重复甚至恶意伪装的包正以机器速度涌入 Python 的核心仓库,而你的 可能正在不知不觉中把它们拉进生产环境。 30% ...
来源:oschina.net
13
2026 年 5 月 19 日,OpenBSD 发布了第 60 个版本——7.9。这个版本的核心线索很清晰:把更多硬件拉进"能跑、能跑好"的圈子里。DRM 图形驱动同步到 Linux 6.18,arm64 平台一口气吃下 Rockchip RK3588/RK3576 和 Apple Silicon 笔记本,RISC-V 也新增了 RV64K1 支持。对...
来源:oschina.net
31
Google 本周紧急推送 Chromium 安全更新,原因只有一个——攻击者已经在用它了。CVE-2025-10585,一个存在于 V8 JavaScript 引擎中的类型混淆缺陷,正被恶意网页利用,直接在受害者浏览器中执行任意代码。全球数以亿计的 Chrome 及基于 Chromium 的设备暴露在攻击面之下。 这不是一个"理论上可能"的漏洞,而是...
来源:oschina.net
15
5 月 19 日,安全公司 StepSecurity 和 SafeDep 同时发出警告:一场针对 npm 生态的大规模供应链攻击正在进行。攻击者入侵了热门开源项目维护者的账户,在短短 20 分钟内向 317 个 npm 包推送了超过 630 个恶意版本。这场攻击被研究人员命名为 "Mini Shai-Hulud"——它是此前更大规模 Shai-Hulu...