본문으로 건너뛰기

2024-07-31

Homebrew 감사

  • macOS 및 Linux용 중요한 패키지 관리자 Homebrew에 대한 감사에서 예상치 못한 코드 실행과 CI/CD 워크플로우 손상을 초래할 수 있는 비중요 보안 문제가 드러났습니다.
  • 주요 발견 사항으로는 샌드박스 탈출 및 권한 상승과 같은 brew CLI의 취약점과 쉘 인젝션 취약점과 같은 CI/CD 워크플로우의 문제점이 포함되었습니다.
  • 오픈 테크 펀드가 후원한 이번 감사는 중요한 인터넷 인프라를 보호하는 것을 목표로 했으며, 홈브루의 보안이 그 광범위한 사용을 고려할 때 중요하다는 점을 강조했습니다.

반응

  • Trail of Bits는 macOS용 인기 오픈 소스 패키지 관리자 Homebrew에 대한 포괄적인 보안 감사를 수행하여 여러 보안 문제와 개선이 필요한 영역을 밝혀냈습니다.
  • 이번 감사는 오픈 소스 패키지 관리 플랫폼의 고유한 공급망 보안 문제에 대한 논의를 촉발시켰으며, 신뢰할 수 없는 소스에 대한 더 나은 검증 절차와 신속한 대응의 필요성을 강조하고 있습니다.
  • 감사 결과는 일부 사용자들이 더 안전하고 유연하다고 생각하는 Nix와 같은 대체 패키지 관리자에 대한 관심을 증가시켰습니다, 비록 그것이 복잡하더라도.

도커 내 QEMU에서 macOS

  • Docker-OSX는 사용자가 Docker 컨테이너에서 macOS를 거의 네이티브 성능으로 실행할 수 있게 하며, High Sierra부터 Sonoma까지의 버전을 지원합니다.
  • 이 프로젝트는 Sick.Codes에 의해 유지 관리되며 X11 포워딩, iMessage 보안 연구, iPhone USB 패스스루와 같은 기능을 포함합니다.
  • 이 도구는 Linux와 Windows 환경을 모두 사용하여 macOS에서 보안 연구를 수행하는 데 특히 유용합니다.

반응

  • QEMU 내에서 Docker로 macOS를 실행하는 것은 가능하지만, 특히 GPU 가속과 관련하여 한계가 있습니다. 최신 Intel 및 NVIDIA GPU는 지원되지 않습니다.
  • Docker-OSX는 Docker에서 macOS 가상 머신을 실행할 수 있게 하여 Unity나 React Native와 같은 도구를 사용한 iOS 빌드에 유용합니다.
  • macOS 이미지를 재배포하는 것은 macOS를 Apple 하드웨어로 제한하는 Apple 최종 사용자 라이선스 계약(EULA)을 위반할 수 있지만, 이 프로젝트는 개발 및 테스트 목적으로 인기가 있습니다.

find+mkdir`는 튜링 완전하다

반응

  • ‘find’와 ‘mkdir’ 명령어를 사용하는 것이 튜링 완전하다는 주장은 결함 있는 증명으로 인해 철회되었습니다.
  • 논의는 파일 시스템, 디렉터리 항목, Windows의 마스터 파일 테이블(MFT)에 대한 기술적 세부 사항과 C 및 Python과 같은 다양한 시스템의 튜링 완전성에 대한 토론을 포함합니다.
  • 대화는 또한 튜링 기계, 규칙 110, 그리고 기능적 완전성의 이론적 측면을 탐구하며, 증명이 수정되면 업데이트를 약속합니다.

메타, 세그먼트 애니띵 모델 2 도입

  • 메타는 클릭, 박스 또는 마스크를 입력으로 사용하여 이미지와 비디오에서 정확한 객체 선택을 위한 세분화 모델인 Segment Anything Model 2 (SAM 2)를 도입했습니다.
  • SAM 2는 제로샷 성능, 실시간 상호작용, 효율적인 비디오 처리에서 뛰어나며, 객체 분할에서 기존 모델을 능가합니다.
  • Meta는 사전 학습된 SAM 2 모델, SA-V 데이터셋, 데모 및 코드를 연구 커뮤니티에 공개하여 개방형 혁신과 추가 연구를 촉진하고 있습니다.

반응

  • 메타가 Segment Anything Model 2를 출시하여 AI 연구와 기술 산업에 미칠 잠재적 영향에 대한 큰 관심을 불러일으키고 있습니다.
  • 일부 전문가들은 메타가 AI 발전과 커뮤니티 기여에서 구글을 능가하고 있으며, 이는 새로운 혁신과 비즈니스 가치를 창출할 수 있다고 제안합니다.
  • 논의에는 Meta의 오픈 소스 노력과 AI 기술의 광범위한 영향, 그리고 주요 기술 회사들 간의 경쟁 역학도 포함됩니다.

창의성은 근본적으로 암기에서 비롯된다

  • 저자는 DJ 전환과 유머 패턴과 같은 창의적인 추구에 시스템을 적용하는 것이 지식과 패턴을 내면화함으로써 창의성을 향상시킨다고 주장합니다.
  • 그들은 패턴을 암기하고 다양한 사례에 자신을 노출시키는 학습 방법을 옹호하며, 이는 학문을 넘어 스포츠나 판매와 같은 분야에도 적용될 수 있다.
  • 저자는 시스템을 통해 기초를 숙달하는 것이 스타트업과 음악에서의 분야 간 전문 지식에서 볼 수 있듯이 더 높은 수준의 혁신과 창의성을 가능하게 한다고 제안합니다.

반응

  • 창의성은 종종 암기 결과로 내면화된 지식과 연결됩니다.
  • 암기식 학습이 창의성에 필수적인지에 대한 논쟁이 있으며, 일부는 단순한 반복보다는 이해와 맥락의 중요성을 주장하고 있다.
  • 개념을 반복적으로 접함으로써 내면화하면 창의적 응용에 유용한 휴리스틱과 패턴을 개발하는 데 도움이 될 수 있습니다.

문제 해결: 터미널 지연

  • 사용자는 Windows 11 기기에서 xterm을 열 때 Fedora Linux 워크스테이션에 비해 상당한 지연을 경험했으며, Windows에서는 초기 로딩에 약 1600ms가 소요되었습니다.
  • 프로파일링과 디버깅을 통해 창 효과와 툴바 및 Tektronix 에뮬레이션과 같은 특정 xterm 기능을 비활성화하면 성능이 향상된다는 사실이 밝혀졌습니다.
  • LD_PRELOAD 라이브러리를 사용하여 지연 매핑을 구현한 서버 모드를 도입함으로써 Windows에서 시작 시간을 약 366ms로 줄여 Fedora에서의 속도와 거의 동일하게 만들었습니다.

반응

  • 이 기사는 터미널 지연 문제 해결에 대해 논의하며, 특히 Microsoft Console Debugger (cdb)와 함수 동작을 수정하는 명령어에 중점을 둡니다.
  • 이 명령어는 함수의 첫 번째 바이트를 ret 명령어로 대체하여 즉시 반환하도록 만드는 eb win32u!NtUserSetLayeredWindowAttributes c3 명령어의 사용을 강조합니다.
  • 논의에는 hyperfine 벤치마킹 도구와 다양한 터미널 에뮬레이터를 사용하는 등 터미널 시작 시간을 측정하고 줄이는 방법과 다양한 사용자 경험이 포함됩니다.

Rustgo: 거의 제로 오버헤드로 Go에서 Rust 호출하기 (2017)

  • 이 게시물은 어셈블리 코드를 대체하기 위해 Go에서 Rust를 호출하는 방법을 탐구하며, 깊은 Rust나 컴파일러 지식 없이 거의 제로 오버헤드를 목표로 합니다.
  • 러스트는 어셈블리에 비해 높은 최적화 가능성과 가독성 때문에 선택되며, 이 접근 방식은 작은, 자주 호출되는 함수에 대해 cgo를 사용하는 것보다 더 나은 성능을 보여줍니다.
  • 벤치마킹 결과, Go에서 Rust를 호출하는 것이 네이티브 Go 함수 호출만큼 빠르며 cgo보다 훨씬 빠르다는 것이 나타났습니다. 이는 성능이 중요한 작업에 적합합니다.

반응

  • Rustgo는 성능에 민감한 애플리케이션에 중요한 거의 제로 오버헤드로 Go에서 Rust 코드를 호출할 수 있게 해주는 도구입니다.
  • 이 논의는 특히 Go와 Rust와 같은 다른 프로그래밍 언어 간에 외부 함수 인터페이스(FFI)를 사용하는 것의 복잡성과 잠재적인 함정을 강조합니다.
  • 비교는 C# 및 Python과 같은 다른 언어와 이루어지며, FFI 성능의 절충점과 작업에 적합한 도구를 선택하는 것의 중요성을 강조합니다.

저는 Markdown보다 rST를 선호합니다

  • 저자는 epub 지원, 제약 해결 및 형식 사양 내용을 포함한 '프로그래머를 위한 논리 v0.2'를 출시했습니다.
  • 저자는 복잡한 문서화 요구에 특히 유용한 뛰어난 맞춤화 및 확장성 때문에 Markdown보다 reStructuredText(rST)를 선호합니다.
  • 책의 다양한 렌더링 요구 사항을 처리하기 위해 HTML, epub, PDF 형식에 맞춘 rST의 맞춤형 연습 확장이 만들어졌습니다.

반응

  • reStructuredText (rST)는 확장성과 의미적 기능 때문에, 특히 Sphinx와 결합될 때 기술 서적에 선호됩니다.
  • 마크다운은 더 간단하고 읽기 쉬워서 빠른 메모와 일상적인 문서화에 이상적입니다.
  • rST의 사용자 정의 텍스트 객체 및 보장된 내부 링크 해결과 같은 기능은 복잡한 문서 프로젝트에 필수적이지만, Markdown의 단순함과 지원으로 인해 일반적인 사용에서는 더 인기가 많습니다.

콜 오브 듀티: 워존 칼데라 데이터 세트 학술용

  • 액티비전은 페이지 메타데이터에 명시된 바와 같이 학술적 용도로 사용하기 위해 Call of Duty®: Warzone™ Caldera 데이터 세트를 공개했습니다.
  • 이 발표는 게임 데이터 분석에 관심이 있는 연구자와 학자들에게 중요하며, 게임 산업에서 새로운 연구와 통찰을 촉진할 수 있습니다.
  • 데이터 세트는 Activision의 블로그를 통해 접근할 수 있으며, 이는 학술 연구와 데이터 투명성에 대한 회사의 지원을 강조합니다.

반응

  • 액티비전은 게임 레벨 자산과 플레이어 이동 데이터를 포함한 Call of Duty: Warzone Caldera 데이터 세트를 학술용으로 GitHub에 공개했습니다.
  • 이 데이터 세트는 그래픽 연구, 엔진 개발, 전략적 위치 정의 및 레이 트레이싱 알고리즘 테스트에 유용하며, AI 개발 및 치트 탐지에 잠재적인 응용이 가능합니다.
  • 이 릴리스는 학문적 및 연구 목적으로 유익하다고 여겨지지만, 일부는 비상업적 라이선스 때문에 이를 채용 도구로 보고 있습니다.

리눅스에서 Go로 정적 바이너리 빌드하기

  • Go는 Unix 시스템에서 정적으로 링크된 바이너리를 생성할 수 있지만, 특정 빌드 태그가 필요하거나 cgo를 비활성화해야 합니다.
  • 파일, ldd, nm과 같은 도구는 Go 바이너리가 정적으로 링크되었는지 확인할 수 있습니다.
  • Zig을 C 컴파일러로 사용하면 프로세스가 간소화되고 정적 링크를 위한 크로스 컴파일을 지원합니다.

반응

  • 리눅스에서 Go로 정적 바이너리를 빌드하려면 특정 플래그와 고려 사항이 필요합니다. 예를 들어, 확장을 사용하지 않는 경우 SQLite에 대해 -tags sqlite_omit_load_extension을 사용해야 합니다.
  • 이 논의는 SQLite에 대한 WebAssembly(WASM)의 사용을 강조하며, 이는 modernc 트랜스파일과 같은 전통적인 방법에 비해 더 나은 성능과 유지 보수성을 제공합니다.
  • 회사들, 예를 들어 Tailscale과 같은 곳에서 정적 Go 바이너리를 빌드할 때, 다양한 할당자와 musl과 같은 libc 구현을 사용하는 것과 관련된 도전과 성능 문제들이 있습니다.

초전도 마이크로프로세서? 알고 보니 초고효율 (2021)

  • 2.5GHz 초전도 마이크로프로세서 프로토타입이 개발되었으며, 냉각을 고려하더라도 기존 반도체 마이크로프로세서보다 에너지를 80배 적게 사용합니다.
  • 아디아바틱 양자 플럭스 파라메트론(AQFP) 기술을 기반으로 한 MANA 마이크로프로세서는 20,000개 이상의 초전도 조셉슨 접합을 포함하고 있습니다.
  • 이것은 첫 번째 단열 초전도 마이크로프로세서로, 에너지 효율적인 컴퓨팅 기술에서 중요한 진전을 나타냅니다.

반응

  • 일본의 연구자들은 계산 중 에너지 손실이나 획득을 이론적으로 피하면서 단열적으로 작동하는 초고효율 초전도 마이크로프로세서를 개발하고 있습니다.
  • 이 기술은 정보를 지우는 데 에너지가 필요하다는 랜다우어의 원칙에 도전하며, 토폴리 게이트와 같은 특수 논리 게이트를 사용한 가역 컴퓨팅을 통해 에너지 소비를 최소화합니다.
  • 유망한 효율성에도 불구하고, 실제 구현에는 특히 냉각 및 실용적 사용을 위한 확장에 있어 상당한 도전 과제가 있으며, 초기 비트를 설정하고 환경 소음을 관리하기 위해 여전히 에너지가 필요합니다.

왜 CrowdStrike 버그가 은행에 큰 타격을 주었는가

  • 7월 19일, 엔드포인트 모니터링 소프트웨어인 크라우드스트라이크 팔콘의 구성 버그로 인해 윈도우 시스템에서 치명적인 오류가 발생하여 은행업계 및 기타 산업에 심각한 영향을 미쳤습니다.
  • 그 버그는 광범위한 운영 중단을 초래하여 은행원과 은행가들이 일을 멈추게 했으며, 일부 은행에서는 현금이 부족해지는 사태까지 발생하여 금융 인프라의 취약성을 드러냈습니다.
  • 미국 은행 규제 당국은 이러한 보안 도구의 채택에 간접적으로 영향을 미쳤으며, 이는 보호를 목적으로 하지만 높은 권한과 광범위한 사용으로 인해 상당한 취약점을 초래할 수 있습니다.

반응

  • 크라우드스트라이크 버그로 인해 자동 업데이트가 기존 통제를 우회하면서 은행에 심각한 혼란이 발생했습니다.
  • 이번 사건은 단일 공급업체에 의존하는 위험성과 더 나은 업데이트 전략의 필요성에 대한 논쟁을 촉발시켰습니다.
  • 광범위한 문제에도 불구하고 일부 사용자는 최소한의 영향을 경험하여 특정 시스템의 회복력을 보여주었습니다.

AT&T 롱 라인 "체셔" 지하 사이트 건설

  • 1966년에 건설된 체셔 ATT 시설은 중요한 군사 통신을 위해 설계된 지하 복합 단지로, 강화된 아날로그 L4 캐리어 케이블과 AUTOVON 4선 스위치를 갖추고 있습니다.
  • 이 시설은 공기 여과, 전력 생성 및 폭발 방지에 대한 광범위한 인프라를 포함하고 있어 핵 사건 발생 시에도 운영의 연속성을 보장합니다.
  • 이 사이트는 또한 하트퍼드와 뉴헤이븐을 위한 대도시 교차점 역할을 하여 다양한 다른 중요한 통신 경로 및 시설과 연결되었습니다.

반응

  • AT&T Long Lines '체셔' 지하 사이트는 AUTOVON 스위칭 센터로, Western Electric의 1ESS 기술을 사용하여 핵전쟁을 견딜 수 있도록 구축되었습니다.
  • 이 센터들은 주요 도시와 군사 목표에서 멀리 떨어진 전략적 위치에 배치되었으며, 중복 링크, 강화된 구조물, 그리고 근로자를 위한 냉각 및 오염 방지 시설을 갖추고 있었습니다.
  • 냉전 기간 동안 개발된 인프라는 광범위한 마이크로파 포인트 투 포인트 링크를 포함하고 있으며, 1ESS와 넘버 5 크로스바 스위치를 모두 사용하여 그 견고성과 복잡성을 강조하고 있습니다.

대산화 사건은 얼마나 대단했는가?

  • 과학자들은 광범위한 연구에도 불구하고 지구의 대기가 초기 동물 생명을 지탱할 만큼 충분한 산소를 언제 가졌는지에 대해 확신하지 못하고 있다.
  • 스페인 리오 틴토에서의 새로운 발견에 따르면, 동물 진화에 필요한 충분한 산소가 동물이 나타나기 거의 20억 년 전부터 존재했을 수 있습니다.
  • 최근 연구에 따르면, 동물 진화가 지연된 이유는 산소 수준보다는 변동하는 해양 산소 수준, 식량 부족, 또는 유전적 발달 시간일 수 있습니다.

반응

  • 대산화 사건(GOE)은 최소 4억 년 동안 광합성 미생물로 인해 지구 대기 중 산소가 크게 증가한 사건을 의미합니다.
  • 이 산소의 증가는 복잡한 생명체의 발달과 화재의 가능성을 가능하게 했지만, 혐기성 생물의 대량 멸종을 초래했습니다.
  • GOE는 천체생물학에서 매우 중요합니다. 왜냐하면 외계 행성에서 높은 산소 수치는 잠재적인 생물학적 활동을 나타낼 수 있기 때문입니다. 지속적인 연구를 통해 우리의 이해가 계속해서 정교해지고 있습니다.

FakeTraveler: 휴대폰 위치를 속이세요 (안드로이드용 모의 위치)

  • FakeTraveler는 사용자가 개인 정보 보호 또는 앱 테스트 목적으로 휴대폰의 위치를 위조할 수 있도록 하는 안드로이드 앱입니다.
  • 사용자는 지도를 통해 위치를 선택하거나 특정 위도와 경도 좌표를 입력한 후 변경 사항을 적용할 수 있습니다.
  • FakeTraveler를 사용하려면 사용자는 개발자 옵션을 활성화하고 FakeTraveler를 모의 위치 앱으로 설정해야 합니다.

반응

  • FakeTraveler는 사용자가 자신의 휴대폰 위치를 속일 수 있도록 해주는 안드로이드용 모의 위치 앱입니다.
  • 이 앱은 오픈 소스이며 무료 및 오픈 소스 안드로이드 앱 저장소인 F-Droid에서 이용할 수 있습니다.
  • 기능성에도 불구하고, 일부 사용자는 은행 앱이나 포켓몬 고와 같은 특정 앱 제한을 추가 조치 없이 우회할 수 없다고 지적합니다. 예를 들어, 기기를 루팅하는 등의 추가 조치가 필요할 수 있습니다.