来源:blog.rust-lang.org
18
Rust 安全响应团队披露了一个影响所有 Cargo 版本的漏洞——CVE-2026-5223。恶意构造的 crate tarball 可以利用符号链接(symlink)绕过 Cargo 的目录保护,把文件提取到自身缓存目录的上一层,从而覆写同一注册源下其他 crate 的源码缓存。如果你只使用 crates.io,不受影响;但依赖第三方注册源(私有 ...
来源:blog.rust-lang.org
21
Rust 安全响应团队近日披露了 CVE-2026-5222:Cargo 在处理 sparse registry URL 时,错误地将原本只适用于 git 协议的 后缀剥离逻辑套用到了 HTTPS 端,导致在特定条件下攻击者可以窃取同一 registry 内其他用户的 Cargo 凭证。漏洞严重性评级为低——攻击前提极为苛刻,但理解其机制对维护私有 r...
来源:openai.com
11
OpenAI 宣布与巴西两大媒体集团 Grupo Folha 和 Grupo UOL 达成战略合作,将它们的新闻内容引入 ChatGPT 的回答中,并附带来源归属与透明标注。这不是简单的"数据采购"——它标志着 LLM 与可信新闻源之间一种新的集成模式正在成型:模型不再只靠爬取和推断,而是有意识地绑定授权内容,并在输出中回溯出处。 过去,当你在 Cha...
来源:oschina.net
17
前端圈有个老矛盾——喜欢 React 的 JSX 写法,又羡慕 Vue 的细粒度响应式更新。Rue.js(发音 /ruː/,中文名"后悔药.js")就是给这个矛盾开的方子:JSX/TSX 语法不变,底层却用 Rust 写的响应式系统驱动 DOM 编译,还通过 WebAssembly 把运行时扩展塞进浏览器。 Rue.js 的核心承诺很简单——你继续写熟...
来源:pytorch.org
34
一年前,PyTorch 基金会正式推出 Ambassador Program——这不是又一个挂名的荣誉头衔,而是对社区中那些持续输出内容、组织活动、帮助他人解决问题的独立技术声音的系统性支持。如果你曾在本地 Meetup 上讲过 PyTorch、写过教程、在论坛里反复回答新手问题,这个计划就是为你准备的。 PyTorch 基金会的大使计划核心目标很明确...
来源:oschina.net
21
Mozilla 近日做出一个标志性决定:Firefox 148 将默认禁用 SpiderMonkey 引擎中的 asm.js 优化,后续版本计划彻底移除相关代码。asm.js——这项曾让 JavaScript 跑出接近原生速度的"黑客级"技术实验,终于走到了终点。它的退出不是失败,而是 WebAssembly 已经站稳脚跟的信号:交接完成,老兵可以离场...
来源:aws.amazon.com
33
传统灾备防的是地震、断电这类"天灾",底层逻辑是:基础设施是可信的,只要把数据从异地拉起来,业务就能跑。但勒索软件和恶意破坏是"人祸"——攻击者不仅加密数据,还会刻意污染你的备份、窃取你的高权凭证、在基础设施里植入后门。 网络韧性(Cyber resilience)的核心不是防,也不是查,而是:当备份、凭证和部分基础设施都不再可信时,如何把工作负载恢复...
来源:oschina.net
22
前后端联调时最耗时间的环节是什么?不是写业务逻辑,而是反复对接接口——新增一个字段要改后端代码、重新部署、通知前端、再联调。腾讯开源的 APIJSON 用一种截然不同的思路解决这个问题:后端只配置权限和表结构,前端通过 JSON 本身描述要查什么、怎么查,后端全自动执行并返回结果。8 年多迭代到 8.1.8,这次带来了两个实用特性:容量预估和 Rust...
来源:postgr.es
27
pgBackRest 是 PostgreSQL 生态中最受信任的备份恢复方案,过去十年间由 David Steele 一人主导维护,支撑了全球大量企业的核心数据保护。当这个项目的未来突然变得不确定时,整个生态的反应速度和协作方式,值得每一个依赖开源基础设施的团队认真审视。 pgBackRest 的定位很明确:为 PostgreSQL 提供可靠、高性能的...
来源:postgr.es
33
越来越多的 AI 产品在技术栈里选了 PostgreSQL——不是因为它重新包装成"AI 数据库",而是因为它本来就是团队最熟悉、最可靠的那层基础设施。Supabase 的普及加速了这一趋势:每次创建 Supabase 项目,底层就是一个 PostgreSQL 实例。主流 AI 框架对 PostgreSQL 和 pgvector 的直接支持,让向量检索...