Проверка Homebrew, важного менеджера пакетов для macOS и Linux, выявила некритические проблемы безопасности, которые могут позволить неожиданное выполнение кода и компрометацию рабочих процессов CI/CD.
Ключевые выводы включали уязвимости в brew CLI, такие как выход из песочницы и повышение привилегий, а также проблемы в рабочих процессах CI/CD, такие как уязвимости инъекций оболочки.
«Аудит, спонсируемый Open Tech Fund, был направлен на обеспечение безопасности критической интернет-инфраструктуры, подчеркивая важность безопасности Homebrew, учитывая его широкое использование.»
Trail of Bits провела всесторонний аудит безопасности Homebrew, популярного менеджера пакетов с открытым исходным кодом для macOS, выявив несколько проблем безопасности и областей для улучшения.
Проверка вызвала обсуждения о присущих проблемах безопасности цепочки поставок в платформах управления пакетами с открытым исходным кодом, подчеркивая необходимость улучшения процессов проверки и более быстрых реакций на ненадежные источники.
Результаты аудита привели к повышенному интересу к альтернативным менеджерам пакетов, таким как Nix, который некоторые пользователи считают более безопасным и гибким, несмотря на его сложность.
Docker-OSX позволяет пользователям запускать macOS в контейнере Docker с почти нативной производительностью, поддерживая версии от High Sierra до Sonoma.
Проект поддерживается Sick.Codes и включает такие функции, как пересылка X11, исследование безопасности iMessage и проброс USB для iPhone.
Этот инструмент особенно полезен для проведения исследований в области безопасности на macOS с использованием как Linux, так и Windows сред.
Запуск macOS в QEMU внутри Docker возможен, но имеет ограничения, особенно с ускорением GPU, так как более новые графические процессоры Intel и NVIDIA не поддерживаются.
Docker-OSX позволяет запускать виртуальные машины macOS в Docker, что полезно для сборок iOS с использованием таких инструментов, как Unity или React Native.
«Распространение образов macOS может нарушать Лицензионное соглашение конечного пользователя (EULA) Apple, которое ограничивает использование macOS аппаратным обеспечением Apple, однако этот проект популярен для разработки и тестирования.»
«Утверждение о том, что использование команд find и mkdir является Тьюринг-полным, было отозвано из-за ошибочного доказательства.»
Обсуждение включает технические детали о файловых системах, записях каталогов и главной файловой таблице (MFT) в Windows, а также дебаты о полноте по Тьюрингу различных систем, таких как C и Python.
Разговор также исследует теоретические аспекты машин Тьюринга, Правила 110 и функциональной полноты, с обещанием обновления, если доказательство будет исправлено.
Meta представила модель Segment Anything Model 2 (SAM 2), модель сегментации для точного выбора объектов на изображениях и видео с использованием кликов, рамок или масок в качестве ввода.
САМ 2 превосходит в нулевом выполнении задач, интерактивности в реальном времени и эффективной обработке видео, превосходя существующие модели в сегментации объектов.
Meta выпускает предварительно обученную модель SAM 2, набор данных SA-V, демонстрацию и код для исследовательского сообщества, способствуя открытым инновациям и дальнейшим исследованиям.
Meta выпустила модель Segment Anything 2, вызвав значительный интерес к её потенциальному влиянию на исследования в области ИИ и технологическую индустрию.
Некоторые эксперты предполагают, что Meta превосходит Google в достижениях в области ИИ и вкладах в сообщество, что может привести к новым инновациям и бизнес-ценности.
Обсуждение также включает усилия Meta в области открытого исходного кода и более широкие посл�едствия технологий ИИ, а также конкурентную динамику между крупными технологическими компаниями.
Автор утверждает, что применение систем к творческим занятиям, таким как переходы диджеев и шаблоны юмора, усиливает креативность за счет усвоения знаний и шаблонов.
Они выступают за метод обучения, который включает запоминание шаблонов и знакомство с различными случаями, что может быть применено не только в академической сфере, но и в таких областях, как спорт и продажи.
Автор утверждает, что овладение основами через системы позволяет достичь более высокого уровня инноваций и креативности, как это видно на примере междисциплинарной экспертизы в стартапах и музыке.
«Креативность часто связана с внутренними знаниями, которые могут быть результатом запоминания.»
«Существует спор о том, является ли механическое запоминание необходимым для творчества, при этом некоторые утверждают, что важнее понимание и контекст, чем простое повторение.»
Интернализация концепций через повторное воздействие может помочь развить эвристики и шаблоны, полезные для творческих применений.
Пользователь столкнулся с значительной задержкой при открытии xterm на машине с Windows 11 по сравнению с рабочей станцией Fedora Linux, при этом на Windows первоначально требуется около 1600 мс.
Профилирование и отладка показали, что отключение эффектов окна и некоторых функций xterm, таких как панель инструментов и эмуляция Tektronix, улучшило производительность.
Реализация серверного режима с отложенным отображением с использованием библиотеки LD_PRELOAD дополнительно сократила время запуска до примерно 366 мс на Windows, что сделало его почти таким же быстрым, как на Fedora.
Статья обсуждает устранение задержек в терминале, с особым акцентом на отладчик консоли Microsoft (cdb) и его команды для изменения поведения функций.
«Это подчеркивает использование команды eb win32u!NtUserSetLayeredWindowAttributes c3 для отключения функции путем замены ее первого байта на инструкцию ret, что заставляет ее немедленно возвращаться.»
Обсуждение включает различные пользовательские опыты и методы измерения и сокращения времени запуска терминала, такие как использование инструмента бенчмаркинга hyperfine и различных эмуляторов терминала.
Пост исследует вызов Rust из Go для замены ассемблерного кода, стремясь к почти нулевым накладным расходам без необходимости глубоких знаний Rust или компилятора.
Rust выбирают за его высокую оптимизируемость и читаемость по сравнению с ассемблером, и этот подход демонстрирует лучшую производительность по сравнению с использованием cgo для небольших, часто вызываемых функций.
Тестирование показывает, что вызов Rust из Go почти так же быстр, как вызов нативной функции Go, и значительно быстрее, чем cgo, что делает его подходящим для задач, критичных к производительности.
Rustgo — это инструмент, который позволяет вызывать код на Rust из Go с почти нулевыми накладными расходами, что важно для приложений, чувствительных к производительности.
Обсуждение подчеркивает сложности и потенциальные подводные камни использования интерфейса вызова функций на других языках (FFI) между различными языками программирования, особенно Go и Rust.
Сравнения проводятся с другими языками, такими как C# и Python, подчеркивая компромиссы в производительности FFI и важность выбора правильного инструмента для выполнения задачи.
Автор выпустил "Логика для программистов v0.2", включающую поддержку epub, решение ограничений и содержание формальных спецификаций.
«Автор предпочитает reStructuredText (rST) вместо Markdown из-за его превосходной настройки и расширяемости, что особенно полезно для сложных потребностей в документации.»
Для книги было создано пользовательское расширение упражнений в rST, чтобы обрабатывать различные требования к рендерингу для форматов HTML, epub и PDF.
«reStructuredText (rST) предпочитается для технических книг из-за его расширяемости и семантических возможностей, особенно в сочетании с Sphinx.»
Markdown проще и более читаем, что делает его идеальным для быстрых заметок и повседневной документации.
Такие функции rST, как настраиваемые текстовые объекты и гарантированное разрешение внутренних ссылок, являются важными для сложных проектов документации, но простота и поддержка Markdown делают его более популярным для общего использования.
Activision выпустила набор данных Call of Duty®: Warzone™ Caldera для академического использования, как указано в метаданных страницы.
«Этот выпуск имеет большое значение для исследователей и академиков, интересующихся анализом данных игр, и может способствовать новым исследованиям и открытиям в игровой индустрии.»
Набор данных доступен через блог Activision, что подчеркивает поддержку компанией академических исследований и прозрачности данных.
Activision выпустила набор данных Call of Duty: Warzone Caldera для академического использования на GitHub, включая игровые ресурсы и данные о перемещении игроков.
Набор данных полезен для исследований в области графики, разработки движков, определения стратегических местоположений и тестирования алгоритмов трассировки лучей, с возможными приложениями в разработке ИИ и обнаружении читов.
«Выпуск рассматривается как полезный для академических и исследовательских целей, хотя некоторые видят в нем инструмент для набора кадров из-за его некоммерческой лицензии.»
Создание статических бинарных файлов с помощью Go на Linux включает в себя определенные флаги и соображения, такие как использование -tags sqlite_omit_load_extension для SQLite, если не используются расширения.
Обсуждение подчеркивает использование WebAssembly (WASM) для SQLite, что обеспечивает лучшую производительность и поддерживаемость по сравнению с традиционными методами, такими как транспиляция modernc.
Существуют проблемы и вопросы производительности, связанные с использованием различных аллокаторов и реализаций libc, таких как musl, при создании статических бинарных файлов Go, как это испытали компании, такие как Tailscale.
Разработан прототип сверхпроводящего микропроцессора с частотой 2,5 ГГц, который потребляет в 80 раз меньше энергии, чем традиционные полупроводниковые микропроцессоры, даже с учетом охлаждения.
Микропроцессор MANA, основанный на технологии адиабатического квантового флюкс-параметрона (AQFP), содержит более 20,000 сверхпроводниковых переходов Джозефсона.
«Это первый адиабатический сверхпроводящий микропроцессор, что знаменует собой значительный прогресс в энергоэффективных вычислительных технологиях.»
«Исследователи в Японии разрабатывают ультраэффективные сверхпроводящие микропроцессоры, которые работают адиабатически, теоретически избегая потерь или прироста энергии во время вычислений.»
Эта технология бросает вызов принципу Ландауэра, который утверждает, что для стирания информации требуется энергия, используя обратимые вычисления со специальными логическими элементами, такими как вентиль Тоффоли, чтобы минимизировать затраты энергии.
Несмотря на многообещающую эффективность, практическая реализация сталкивается с значительными трудностями, особенно в охлаждении и масштабировании для практического использования, и все еще требует энергии для установки начальных битов и управления шумом окружающей среды.
19 июля ошибка конфигурации в CrowdStrike Falcon, программном обеспечении для мониторинга конечных точек, вызвала катастрофические сбои в системах Windows, что серьезно повлияло на банковский сектор и другие отрасли.
Ошибка привела к широкомасштабным операционным сбоям, включая простои кассиров и банкиров, и даже вызвала нехватку наличных денег в некоторых банках, что подчеркнуло уязвимости финансовой инфраструктуры.
Банковские регуляторы США косвенно повлияли на внедрение таких инструментов безопасности, которые, хотя и предназначены для защиты, могут вводить значительные уязвимости из-за их высоких привилегий и широкого использования.
Ошибка CrowdStrike вызвала значительные сбои в банках из-за автоматического обновления, которое обошло существующие средства контроля.
Инцидент вызвал дебаты о рисках зависимости от единственных поставщиков и необходимости улучшения стратегий обновления.
«Несмотря на широко распространенные проблемы, некоторые пользователи испытали минимальное воздействие, что демонстрирует устойчивость определенных систем.»
Объект Cheshire ATT, построенный в 1966 году, представляет собой подземный комплекс, предназначенный для критически важных военных коммуникаций, оснащенный защищенным аналоговым кабелем L4 и четырехпроводным коммутатором AUTOVON.
Объект включает в себя обширную инфраструктуру для фильтрации воздуха, выработки электроэнергии и защиты от взрывов, обеспечивая непрерывность работы во время ядерных событий.
Этот объект также служил метрополитенским узлом для Хартфорда и Нью-Хейвена, соединяя их с различными другими важными коммуникационными путями и объектами.
Подземный объект AT&T Long Lines "Cheshire" был центром коммутации AUTOVON, построенным для выживания в условиях ядерной войны с использованием технологии 1ESS компании Western Electric.
Эти центры были стратегически расположены вдали от крупных городов и военных целей, оснащены резервными связями, укрепленными сооружениями, а также системами охлаждения и защиты от загрязнений для работников.
Инфраструктура, разработанная во время Холодной войны, включала обширные микроволновые линии связи точка-точка и использовала как коммутаторы 1ESS, так и коммутаторы Number 5 Crossbar, что подчеркивало ее устойчивость и сложность.
Ученые не уверены, когда в атмосфере Земли было достаточно кислорода для поддержания ранней жизни животных, несмотря на обширные исследования.
Новые данные из Рио Тинто, Испания, предполагают, что достаточное количество кислорода для эволюции животных могло присутствовать почти за 2 миллиарда лет до появления животных.
Недавние исследования показывают, что колебания уровня кислорода в океане, нехватка пищи или время генетического развития, а не уровень кислорода, могли задержать эволюцию животных.
«Великое кислородное событие (GOE) ознаменовало значительное увеличение со�держания кислорода в атмосфере Земли благодаря фотосинтезирующим микробам на протяжении как минимум 400 миллионов лет.»
Это увеличение уровня кислорода позволило развиваться сложным формам жизни и сделало возможным возникновение огня, но вызвало массовое вымирание анаэробных организмов.
Великое кислородное событие (GOE) имеет решающее значение для астробиологии, так как высокие уровни кислорода на экзопланетах могут указывать на потенциальную биологическую активность, при этом продолжающиеся исследования постоянно уточняют наше понимание.
FakeTraveler — это приложение для Android, которое позволяет пользователям подделывать местоположение своего телефона для обеспечения конфиденциальности или тестирования приложений.
Пользователи могут выбрать местоположение на карте или ввести конкретные координаты широты и долготы, затем применить изменения.
Чтобы использовать FakeTraveler, пользователи должны включить параметры разработчика и установить FakeTraveler в качестве приложения для фиктивного местоположения.
FakeTraveler — это приложение для Android, которое позволяет пользователям подделывать местоположение своего телефона.
«Приложение является открытым исходным кодом и доступно на F-Droid, репозитории бесплатных и открытых Android-приложений.»
«Несмотря на свою функциональность, некоторые пользователи отмечают, что он может не обходить определенные ограничения приложений, таких как банковские приложения или Pokémon Go, без дополнительных мер, таких как рутирование устройства.»