Nhảy tới nội dung

2024-07-31

Cuộc kiểm toán của chúng tôi về Homebrew

  • Cuộc kiểm toán Homebrew, một trình quản lý gói quan trọng cho macOS và Linux, đã phát hiện ra các vấn đề bảo mật không nghiêm trọng có thể cho phép thực thi mã không mong muốn và làm tổn hại đến quy trình CI/CD.
  • Những phát hiện chính bao gồm các lỗ hổng trong brew CLI, chẳng hạn như thoát khỏi sandbox và leo thang đặc quyền, và các vấn đề trong quy trình CI/CD như lỗ hổng tiêm lệnh shell.
  • Cuộc kiểm toán, được tài trợ bởi Quỹ Công nghệ Mở, nhằm bảo vệ cơ sở hạ tầng internet quan trọng, nhấn mạnh tầm quan trọng của bảo mật Homebrew do sự sử dụng rộng rãi của nó.

phản ứng

  • Trail of Bits đã tiến hành một cuộc kiểm tra bảo mật toàn diện đối với Homebrew, một trình quản lý gói mã nguồn mở phổ biến cho macOS, và phát hiện ra một số vấn đề bảo mật cũng như các lĩnh vực cần cải thiện.
  • Cuộc kiểm toán đã khơi dậy các cuộc thảo luận về các vấn đề an ninh chuỗi cung ứng vốn có trong các nền tảng quản lý gói mã nguồn mở, nhấn mạnh sự cần thiết của các quy trình kiểm tra tốt hơn và phản ứng nhanh hơn đối với các nguồn không đáng tin cậy.
  • Những phát hiện từ cuộc kiểm toán đã dẫn đến sự quan tâm gia tăng đối với các trình quản lý gói thay thế như Nix, mà một số người dùng cho rằng an toàn và linh hoạt hơn, mặc dù nó phức tạp.

macOS trong QEMU trong Docker

  • Docker-OSX cho phép người dùng chạy macOS trong một container Docker với hiệu suất gần như nguyên bản, hỗ trợ các phiên bản từ High Sierra đến Sonoma.
  • Đề án được duy trì bởi Sick.Codes và bao gồm các tính năng như chuyển tiếp X11, nghiên cứu bảo mật iMessage, và truyền qua USB của iPhone.
  • Đây là công cụ đặc biệt hữu ích cho việc nghiên cứu bảo mật trên macOS bằng cách sử dụng cả môi trường Linux và Windows.

phản ứng

  • Chạy macOS trong QEMU bên trong Docker là khả thi nhưng có những hạn chế, đặc biệt là với tăng tốc GPU, vì các GPU Intel và NVIDIA mới hơn không được hỗ trợ.
  • Docker-OSX cho phép chạy các máy ảo macOS trong Docker, điều này có lợi cho việc xây dựng iOS bằng các công cụ như Unity hoặc React Native.
  • Việc phân phối lại các hình ảnh macOS có thể vi phạm Thỏa thuận cấp phép người dùng cuối (EULA) của Apple, trong đó giới hạn macOS chỉ sử dụng trên phần cứng của Apple, tuy nhiên dự án này vẫn phổ biến cho việc phát triển và thử nghiệm.

find+mkdir` là Turing hoàn chỉnh

phản ứng

  • Khẳng định rằng việc sử dụng các lệnh findmkdir là hoàn chỉnh Turing đã bị rút lại do bằng chứng có sai sót.
  • Cuộc thảo luận bao gồm các chi tiết kỹ thuật về hệ thống tệp, các mục thư mục và Bảng Tệp Chính (MFT) trong Windows, cũng như các tranh luận về tính hoàn chỉnh Turing của các hệ thống khác nhau như C và Python.
  • Cuộc trò chuyện cũng khám phá các khía cạnh lý thuyết của máy Turing, Quy tắc 110 và tính hoàn chỉnh chức năng, với một bản cập nhật được hứa hẹn nếu bằng chứng được sửa chữa.

Meta giới thiệu Mô hình Phân đoạn Bất kỳ 2

  • Meta đã giới thiệu Mô hình Phân đoạn Bất kỳ 2 (SAM 2), một mô hình phân đoạn để lựa chọn đối tượng chính xác trong hình ảnh và video bằng cách sử dụng các cú nhấp chuột, hộp hoặc mặt nạ làm đầu vào.
  • SAM 2 vượt trội trong hiệu suất không cần huấn luyện trước, tương tác thời gian thực và xử lý video hiệu quả, vượt qua các mô hình hiện có trong việc phân đoạn đối tượng.
  • Meta đang phát hành mô hình SAM 2 đã được huấn luyện trước, bộ dữ liệu SA-V, một bản demo và mã nguồn cho cộng đồng nghiên cứu, thúc đẩy sự đổi mới mở và nghiên cứu thêm.

phản ứng

  • Meta đã ra mắt Mô hình Phân đoạn Bất kỳ 2, thu hút sự quan tâm đáng kể về tác động tiềm năng của nó đối với nghiên cứu AI và ngành công nghệ.
  • Một số chuyên gia cho rằng Meta đang vượt qua Google trong các tiến bộ về AI và đóng góp cho cộng đồng, điều này có thể dẫn đến những đổi mới và giá trị kinh doanh mới.
  • Cuộc thảo luận cũng bao gồm các nỗ lực mã nguồn mở của Meta và những tác động rộng lớn hơn của công nghệ AI, cũng như sự cạnh tranh giữa các công ty công nghệ lớn.

Khả năng sáng tạo về cơ bản xuất phát từ việc ghi nhớ

  • Người tác giả lập luận rằng việc áp dụng các hệ thống vào các hoạt động sáng tạo, chẳng hạn như chuyển đổi DJ và các mẫu hài hước, sẽ tăng cường sự sáng tạo bằng cách nội hóa kiến thức và các mẫu.
  • Họ ủng hộ một phương pháp học tập bao gồm việc ghi nhớ các mẫu và tự tiếp xúc với nhiều trường hợp khác nhau, có thể được áp dụng ngoài học thuật vào các lĩnh vực như thể thao và bán hàng.
  • Người tác giả cho rằng việc nắm vững các nguyên tắc cơ bản thông qua các hệ thống cho phép sự đổi mới và sáng tạo ở mức độ cao hơn, như đã thấy trong chuyên môn liên ngành ở các công ty khởi nghiệp và âm nhạc.

phản ứng

  • Khả năng sáng tạo thường được liên kết với kiến thức đã được nội hóa, điều này có thể là kết quả của việc ghi nhớ.
  • Hiện đang có một cuộc tranh luận về việc liệu học thuộc lòng có cần thiết cho sự sáng tạo hay không, với một số người cho rằng sự hiểu biết và ngữ cảnh quan trọng hơn so với việc lặp đi lặp lại đơn thuần.
  • Việc nội tâm hóa các khái niệm thông qua sự tiếp xúc lặp đi lặp lại có thể giúp phát triển các phương pháp và mô hình hữu ích cho các ứng dụng sáng tạo.

Khắc phục sự cố: Độ trễ của Terminal

  • Người dùng gặp phải hiện tượng trễ đáng kể khi mở xterm trên máy tính chạy Windows 11 so với máy trạm Fedora Linux, với Windows mất khoảng 1600ms ban đầu.
  • Việc phân tích và gỡ lỗi cho thấy rằng việc tắt các hiệu ứng cửa sổ và một số tính năng của xterm, chẳng hạn như thanh công cụ và mô phỏng Tektronix, đã cải thiện hiệu suất.
  • Việc triển khai chế độ máy chủ với ánh xạ trì hoãn bằng cách sử dụng thư viện LD_PRELOAD đã giảm thời gian khởi động xuống còn khoảng 366ms trên Windows, làm cho nó gần như nhanh bằng trên Fedora.

phản ứng

  • Bài viết thảo luận về việc khắc phục sự chậm trễ của terminal, đặc biệt tập trung vào Microsoft Console Debugger (cdb) và các lệnh của nó để thay đổi hành vi của hàm.
  • Điều này nhấn mạnh việc sử dụng lệnh eb win32u!NtUserSetLayeredWindowAttributes c3 để vô hiệu hóa một chức năng bằng cách thay thế byte đầu tiên của nó bằng một lệnh ret, khiến nó trả về ngay lập tức.
  • Cuộc thảo luận bao gồm các trải nghiệm người dùng khác nhau và các phương pháp để đo lường và giảm thời gian khởi động terminal, chẳng hạn như sử dụng công cụ đo lường hyperfine và các trình giả lập terminal khác nhau.

Rustgo: Gọi Rust từ Go với chi phí gần như bằng không (2017)

  • Đoạn bài viết khám phá việc gọi Rust từ Go để thay thế mã lắp ráp, nhằm đạt được mức chi phí gần như bằng không mà không cần kiến thức sâu về Rust hoặc trình biên dịch.
  • Rust được chọn vì khả năng tối ưu hóa cao và dễ đọc so với assembly, và phương pháp này cho thấy hiệu suất tốt hơn so với việc sử dụng cgo cho các hàm nhỏ, thường xuyên được gọi.
  • Đánh giá hiệu năng cho thấy việc gọi Rust từ Go gần như nhanh bằng một cuộc gọi hàm gốc của Go và nhanh hơn đáng kể so với cgo, làm cho nó phù hợp với các tác vụ đòi hỏi hiệu suất cao.

phản ứng

  • Rustgo là một công cụ cho phép gọi mã Rust từ Go với chi phí gần như bằng không, điều này rất quan trọng đối với các ứng dụng nhạy cảm về hiệu suất.
  • Cuộc thảo luận nêu bật những phức tạp và những cạm bẫy tiềm ẩn của việc sử dụng Giao diện Hàm Ngoại (FFI) giữa các ngôn ngữ lập trình khác nhau, đặc biệt là Go và Rust.
  • Việc so sánh được thực hiện với các ngôn ngữ khác như C# và Python, nhấn mạnh sự đánh đổi trong hiệu suất FFI và tầm quan trọng của việc chọn đúng công cụ cho công việc.

Tôi thích rST hơn Markdown

  • Người tác giả đã phát hành "Logic for Programmers v0.2," với các tính năng hỗ trợ epub, giải quyết ràng buộc, và nội dung đặc tả hình thức.
  • Người tác giả ưa chuộng reStructuredText (rST) hơn Markdown do khả năng tùy chỉnh và mở rộng vượt trội của nó, đặc biệt hữu ích cho các nhu cầu tài liệu phức tạp.
  • Đã tạo một phần mở rộng bài tập tùy chỉnh trong rST cho cuốn sách để xử lý các yêu cầu hiển thị khác nhau cho các định dạng HTML, epub và PDF.

phản ứng

  • reStructuredText (rST) được ưa chuộng cho các sách kỹ thuật nhờ vào khả năng mở rộng và khả năng ngữ nghĩa của nó, đặc biệt khi kết hợp với Sphinx.
  • Markdown đơn giản hơn và dễ đọc hơn, làm cho nó trở nên lý tưởng cho các ghi chú nhanh và tài liệu hàng ngày.
  • Những tính năng của rST như các đối tượng văn bản tùy chỉnh và đảm bảo giải quyết liên kết nội bộ là rất quan trọng cho các dự án tài liệu phức tạp, nhưng sự đơn giản và hỗ trợ của Markdown khiến nó phổ biến hơn cho việc sử dụng chung.

Call of Duty: Warzone Caldera Bộ Dữ Liệu Dành Cho Mục Đích Học Thuật

  • Activision đã phát hành một bộ dữ liệu Call of Duty®: Warzone™ Caldera cho mục đích học thuật, như được chỉ ra bởi siêu dữ liệu trang.
  • Việc phát hành này có ý nghĩa quan trọng đối với các nhà nghiên cứu và học giả quan tâm đến phân tích dữ liệu trò chơi và có thể thúc đẩy các nghiên cứu và hiểu biết mới trong ngành công nghiệp trò chơi.
  • Nhóm dữ liệu có thể truy cập thông qua blog của Activision, nhấn mạnh sự hỗ trợ của công ty đối với nghiên cứu học thuật và tính minh bạch dữ liệu.

phản ứng

  • Activision đã phát hành một bộ dữ liệu Call of Duty: Warzone Caldera cho mục đích học thuật trên GitHub, bao gồm các tài sản cấp độ trò chơi và dữ liệu di chuyển của người chơi.
  • Nhóm dữ liệu này hữu ích cho nghiên cứu đồ họa, phát triển động cơ, xác định các vị trí chiến lược và kiểm tra các thuật toán dò tia, với các ứng dụng tiềm năng trong phát triển AI và phát hiện gian lận.
  • Việc phát hành được xem là có lợi cho mục đích học thuật và nghiên cứu, mặc dù một số người coi đó là công cụ tuyển dụng do giấy phép phi thương mại của nó.

Xây dựng các tệp nhị phân tĩnh với Go trên Linux

  • Go có thể tạo ra các tệp nhị phân liên kết tĩnh trên các hệ thống Unix, nhưng nó yêu cầu các thẻ build cụ thể hoặc vô hiệu hóa cgo.
  • Những công cụ như file, ldd, và nm có thể xác minh xem một tệp nhị phân Go có được liên kết tĩnh hay không.
  • Việc sử dụng Zig như một trình biên dịch C đơn giản hóa quá trình và hỗ trợ biên dịch chéo cho liên kết tĩnh.

phản ứng

  • Xây dựng các tệp nhị phân tĩnh với Go trên Linux bao gồm các cờ và cân nhắc cụ thể, chẳng hạn như sử dụng -tags sqlite_omit_load_extension cho SQLite nếu không sử dụng các phần mở rộng.
  • Cuộc thảo luận nêu bật việc sử dụng WebAssembly (WASM) cho SQLite, mang lại hiệu suất và khả năng bảo trì tốt hơn so với các phương pháp truyền thống như hiện đại hóa mã nguồn.
  • Việc sử dụng các bộ cấp phát khác nhau và các triển khai libc, chẳng hạn như musl, khi xây dựng các tệp nhị phân Go tĩnh gặp phải những thách thức và vấn đề về hiệu suất, như đã được các công ty như Tailscale trải nghiệm.

Vi xử lý siêu dẫn? Hóa ra chúng cực kỳ hiệu quả (2021)

  • Một nguyên mẫu vi xử lý siêu dẫn 2,5 GHz đã được phát triển, sử dụng ít năng lượng hơn 80 lần so với các vi xử lý bán dẫn truyền thống, ngay cả khi tính đến việc làm mát.
  • Vi xử lý MANA, dựa trên công nghệ Adiabatic Quantum-Flux-Parametron (AQFP), chứa hơn 20.000 mối nối Josephson siêu dẫn.
  • Đây là bộ vi xử lý siêu dẫn đẳng nhiệt đầu tiên, đánh dấu một bước tiến quan trọng trong công nghệ tính toán tiết kiệm năng lượng.

phản ứng

  • Những nhà nghiên cứu ở Nhật Bản đang phát triển các vi xử lý siêu dẫn siêu hiệu quả hoạt động theo nguyên lý đẳng nhiệt, về lý thuyết tránh được sự mất hoặc tăng năng lượng trong quá trình tính toán.
  • Thách thức nguyên lý Landauer, công nghệ này cho rằng việc xóa thông tin đòi hỏi năng lượng, bằng cách sử dụng tính toán đảo ngược với các cổng logic đặc biệt như cổng Toffoli để giảm thiểu tiêu hao năng lượng.
  • Mặc dù có hiệu suất đầy hứa hẹn, việc triển khai thực tế gặp phải những thách thức đáng kể, đặc biệt là trong việc làm mát và mở rộng quy mô để sử dụng thực tế, và vẫn cần năng lượng để thiết lập các bit ban đầu và quản lý tiếng ồn môi trường.

Vì sao lỗi CrowdStrike ảnh hưởng nặng nề đến các ngân hàng

  • Vào ngày 19 tháng 7, một lỗi cấu hình trong CrowdStrike Falcon, phần mềm giám sát điểm cuối, đã gây ra các sự cố nghiêm trọng trong hệ thống Windows, ảnh hưởng nặng nề đến ngành ngân hàng và các ngành công nghiệp khác.
  • Trục trặc này đã dẫn đến sự gián đoạn hoạt động trên diện rộng, bao gồm việc các giao dịch viên và nhân viên ngân hàng phải ngừng làm việc, thậm chí còn khiến một số ngân hàng hết tiền mặt, làm nổi bật những điểm yếu trong cơ sở hạ tầng tài chính.
  • Những nhà quản lý ngân hàng Hoa Kỳ đã gián tiếp ảnh hưởng đến việc áp dụng các công cụ bảo mật như vậy, mặc dù được thiết kế để bảo vệ, nhưng có thể giới thiệu những lỗ hổng đáng kể do đặc quyền cao và việc sử dụng rộng rãi của chúng.

phản ứng

  • Đã xảy ra sự cố nghiêm trọng tại các ngân hàng do một lỗi của CrowdStrike gây ra, xuất phát từ một bản cập nhật tự động vượt qua các kiểm soát hiện có.
  • Vụ việc đã làm dấy lên các cuộc tranh luận về rủi ro khi phụ thuộc vào một nhà cung cấp duy nhất và sự cần thiết của các chiến lược cập nhật tốt hơn.
  • Dù có nhiều vấn đề phổ biến, một số người dùng chỉ bị ảnh hưởng tối thiểu, cho thấy sự bền bỉ của một số hệ thống.

Xây dựng địa điểm ngầm "Cheshire" của AT&T Long Lines

  • Trung tâm ATT Cheshire, được xây dựng vào năm 1966, là một khu phức hợp ngầm được thiết kế cho các liên lạc quân sự quan trọng, có cáp truyền dẫn L4 analog cứng và công tắc 4 dây AUTOVON.
  • Tiện ích này bao gồm cơ sở hạ tầng rộng lớn cho việc lọc không khí, phát điện và bảo vệ chống nổ, đảm bảo sự liên tục hoạt động trong các sự kiện hạt nhân.
  • Địa điểm này cũng đóng vai trò là một nút giao đô thị cho Hartford và New Haven, kết nối với nhiều tuyến đường và cơ sở liên lạc quan trọng khác.

phản ứng

  • Trung tâm ngầm "Cheshire" của AT&T Long Lines là một trung tâm chuyển mạch AUTOVON, được xây dựng để chịu đựng một cuộc chiến tranh hạt nhân bằng công nghệ 1ESS của Western Electric.
  • Những trung tâm này được đặt ở vị trí chiến lược xa các thành phố lớn và các mục tiêu quân sự, có các liên kết dự phòng, cấu trúc kiên cố, và bảo vệ làm mát cũng như chống ô nhiễm cho người lao động.
  • Trong thời kỳ Chiến tranh Lạnh, cơ sở hạ tầng được phát triển bao gồm các liên kết vi sóng điểm-điểm rộng rãi và sử dụng cả công tắc 1ESS và Number 5 Crossbar, nhấn mạnh sự bền bỉ và phức tạp của nó.

Cuộc Đại Oxy hóa vĩ đại đến mức nào?

  • Nhà khoa học vẫn chưa chắc chắn khi nào bầu khí quyển của Trái Đất có đủ oxy để hỗ trợ sự sống động vật sơ khai, mặc dù đã có nhiều nghiên cứu sâu rộng.
  • Những phát hiện mới từ Rio Tinto, Tây Ban Nha, cho thấy rằng lượng oxy đủ cho sự tiến hóa của động vật có thể đã xuất hiện gần 2 tỷ năm trước khi động vật xuất hiện.
  • Những nghiên cứu gần đây cho thấy rằng sự dao động của mức oxy trong đại dương, sự khan hiếm thức ăn, hoặc thời gian phát triển di truyền, thay vì mức oxy, có thể đã làm chậm quá trình tiến hóa của động vật.

phản ứng

  • Biến cố Oxy hóa Lớn (GOE) đánh dấu sự gia tăng đáng kể của oxy trong khí quyển Trái Đất do các vi sinh vật quang hợp trong ít nhất 400 triệu năm.
  • Việc tăng lượng oxy này đã cho phép sự phát triển của các dạng sống phức tạp và khả năng xảy ra hỏa hoạn, nhưng cũng gây ra một cuộc tuyệt chủng hàng loạt của các sinh vật kỵ khí.
  • GOE rất quan trọng đối với sinh học vũ trụ, vì mức oxy cao trên các hành tinh ngoài hệ mặt trời có thể chỉ ra hoạt động sinh học tiềm năng, với nghiên cứu đang diễn ra liên tục tinh chỉnh sự hiểu biết của chúng ta.

FakeTraveler: Giả mạo vị trí điện thoại của bạn (Giả lập vị trí cho Android)

  • FakeTraveler là một ứng dụng Android cho phép người dùng giả mạo vị trí điện thoại của họ vì mục đích bảo mật hoặc kiểm tra ứng dụng.
  • Người dùng có thể chọn một vị trí thông qua bản đồ hoặc nhập tọa độ vĩ độ và kinh độ cụ thể, sau đó áp dụng các thay đổi.
  • Để sử dụng FakeTraveler, người dùng phải bật tùy chọn Nhà phát triển và đặt FakeTraveler làm ứng dụng vị trí giả.

phản ứng

  • FakeTraveler là một ứng dụng giả lập vị trí cho Android cho phép người dùng giả mạo vị trí điện thoại của họ.
  • Ứng dụng này là mã nguồn mở và có sẵn trên F-Droid, một kho lưu trữ cho các ứng dụng Android miễn phí và mã nguồn mở.
  • Mặc dù có tính năng này, một số người dùng lưu ý rằng nó có thể không vượt qua được một số hạn chế của ứng dụng, chẳng hạn như trong các ứng dụng ngân hàng hoặc Pokémon Go, mà không có các biện pháp bổ sung như root thiết bị.