每日HackerNews RSS
GitHub Actions 有一个包管理器,而且可能很糟糕。
GitHub Actions has a package manager, and it might be the worst
1 天前
## GitHub Actions 的严重安全漏洞:缺乏基本的包管理 GitHub Actions 尽管被广泛用于 CI/CD,但从根本上缺乏像 npm、Cargo 或 NuGet 等成熟包管理器所具备的安全特性。关键在于,它**不使用锁定文件**,这意味着工作流依赖项会在每次运行时重新解析,导致不可预测且可能执行恶意代码。 研究表明,几乎所有用户都运行第三方 Actions,通常来自未经验证的创建者,并且有很大一部分用户运行已知存在安全漏洞的 Actions。可变版本标签进一步加剧了这一问题——即使固定到像 `@v4` 这样的版本,也不能保证代码的一致性,因为标签可能会被更新。 虽然 GitHub 已经引入了不可变发布和 SHA 固定等缓解措施,但这些措施仅解决了顶级依赖项,并且**忽略了传递依赖项**,这是一个主要的攻击向量。Actions 还缺乏完整性验证、依赖树可见性以及用于安全存储和扫描的中央注册表。 这种有缺陷的设计源于其在封闭的企业系统中的起源,并且其影响范围超出了 GitHub,影响了其他 CI 系统,甚至依赖 Actions 进行发布的包注册表。尽管多次请求,GitHub 仍然拒绝实施锁定文件系统,使用户容易受到供应链攻击。
## lockenv: 简单的加密密钥存储 lockenv 是一个 CLI 工具,用于安全地将敏感文件(如 `.env` 文件、配置文件、证书)直接存储在版本控制中。它为小型团队提供了一个比 sops 或 git-crypt 等工具更简单的替代方案。 它的工作原理是使用密码派生密钥将文件加密到一个 `.lockenv` 仓库文件中。用户 `lock` 文件进行加密,`unlock` 文件进行解密,只将 `.lockenv` 文件提交到仓库。 **主要特点:** * **简单设置:** 通过 Homebrew、包管理器或二进制下载轻松安装。 * **密码或密钥环认证:** 使用密码进行加密,可以选择安全地存储在操作系统密钥环中。 * **Git 集成:** 专为版本控制设计,提供清晰的指示来添加/提交 `.lockenv` 文件。 * **冲突解决:** 处理本地文件与仓库版本不同的冲突,可以选择保留本地、使用仓库、编辑或保留两者。 * **CI/CD 支持:** 可以使用环境变量解锁(存在安全隐患)。 **最适合:** 管理简单的 `.env` 和配置文件。不适合非常大的文件(>100MB)或需要细粒度访问控制的场景。请记住,丢失密码意味着失去对密钥的访问! [https://github.com/illarion/lockenv](https://github.com/illarion/lockenv)
## Lockenv:简单的基于Git的密钥存储
Lockenv是一个新工具,旨在简化小型团队和个人项目的加密密钥管理。它由一位开发者创建,这位开发者厌倦了像sops或git-crypt这样复杂的解决方案,它提供了一种直接的方法:一个密码保护的vault文件直接提交到Git仓库。
该工具与操作系统密钥环集成,以避免重复的密码提示,并支持Mac、Linux和(目前未经测试的)Windows。作者强调,这并非旨在取代强大的解决方案,而是为那些通过不太安全的渠道(如Slack)共享密钥的情况提供一个简单的替代方案。
讨论中强调了对密钥管理(团队成员离开时撤销访问权限)、版本控制限制(难以跟踪特定密钥的更改)以及意外提交未加密密钥的风险的担忧。现有的工具,如git-crypt和sops,可以解决其中一些问题,而另一些人则建议使用dotenvx或专门的vault解决方案等替代方案。然而,许多人认为,对于复杂的设置来说是多余的,对于较小的项目来说,更简单的方法很有价值。
本文详细介绍了一种全同态加密方案pvac-hfhe的概念验证实现。它利用二进制奇偶校验进行带噪声学习,并在127位素数域上执行算术运算。该系统的核心依赖于由密集随机超图构建的综合征图,参数选择参考了莫斯科物理技术学院(MIPT)关于超图属性的研究。
这是首次实现,于2024年初发布,并以C++代码(需要C++17或更高版本)的形式提供,地址为[https://github.com/octra-labs/pvac_hfhe_cpp](https://github.com/octra-labs/pvac_hfhe_cpp)。提供的示例演示了密钥生成、加密、同态加法、减法和乘法,然后进行解密以验证正确的结果。为了获得最佳性能,建议使用支持PCLMUL的x86-64 CPU。该代码包含各种功能的全面测试。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Show HN: PVAC FHE 在超图上,具有 LPN 安全性 (github.com/octra-labs)
5 分,由 0x0ffh_local 19 小时前发布 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## Java Applet 的终结与现代 Java Web 开发的兴起 Java Applet 是一种可以实现交互式网页内容的古老技术,其历史可以追溯到 1996 年,将于 2026 年 3 月的 Java 26 中正式移除。 尽管曾经具有革命性意义,但浏览器在 2000 年代已经放弃了插件支持,从而阻碍了 Applet 的功能。 然而,Java 在 Web 上的存在并未消失。 像 **TeaVM** 这样的工具允许开发者将 Java 代码直接*转换*成高效的 JavaScript 或 WASM,从而在无需插件的情况下实现快速、高性能的 Web 应用程序。 TeaVM 处理代码压缩、优化和浏览器 API 集成。 对于更复杂、单页应用程序,**Flavour** 框架构建于 TeaVM 之上,提供了一个完整的工具包,具有模板、路由、组件和安全等功能——所有这些都使用 100% Java 实现。 Flavour 利用现有的 HTML 和 CSS 技能,确保兼容性并为长期项目提供稳定的 API。 这些技术展示了 Java 开发者构建强大 Web 应用程序的现代途径,超越了 Applet 的限制。
启用 JavaScript 和 Cookie 以继续。
```python from enferno.services.workspace import WorkspaceScoped class Invoice(db.Model, WorkspaceScoped): workspace_id = db.Column(db.Integer, db.ForeignKey('workspace.id')) number = db.Column(db.String(50)) amount = db.Column(db.Numeric(10, 2)) # 添加你的字段```
## ReadyKit:快速启动的SaaS模板
ReadyKit (readykit.dev) 是一款新的开源SaaS样板项目,使用Python/Flask、PostgreSQL、Redis和Vue 3构建,旨在加速独立开发者和团队的开发进程。它开箱即用地处理了多租户工作区、Stripe计费和安全认证(OAuth + MFA)等复杂的后端任务。
创建者有意将ReadyKit与更精简的“Enferno”框架区分开来,为用户提供一个极简的起点或一个功能齐全的SaaS模板的选择。主要功能包括自动数据范围划分、审计日志和基于角色的访问控制。
该项目旨在提供一个高效的“无趣技术栈”,避免复杂的Javascript依赖,并优先考虑简单性。虽然一些用户请求了暗黑模式和改进的部署选项(CI/CD到Fly.io等平台)等功能,但创建者正在积极响应反馈,并计划维护ReadyKit和底层Enferno框架。它采用MIT许可,可免费使用。
## truemetrics:革新最后一公里配送 truemetrics是一家快速发展的、技术驱动的初创公司,获得Y Combinator和其他领先投资者的支持,专注于解决最后一公里配送中的关键挑战。 他们的技术通过准确绘制建筑物入口和停车信息,增强了快递员的导航能力,从而提高了GLS、DPD和Snoonu等公司在德国、英国和哈萨克斯坦等国家的效率。 他们正在柏林寻找一位熟练的软件工程师/数据分析师加入他们的小型、高效的团队。 该职位侧重于数据分析、算法开发和原型设计,以改进现有功能并构建新功能——直接与CTO合作,并负责从项目启动到完成的全过程。 **理想的候选人** 拥有4年以上经验,精通Python,具备分析思维能力,并熟悉AWS。 具有地理空间数据、物流或时间序列机器学习经验者优先考虑。 **这里不适合寻求严格结构的人。** truemetrics提供一个动态的、以所有权为驱动的环境,包括股权、硬件预算以及塑造AI驱动地图未来的机会。 **申请人必须居住在柏林并持有有效工作许可。**
黑客新闻新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录Truemetrics (YC S23) 正在招聘 (ycombinator.com)17小时前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
一项尝试解决纳维-斯托克斯克雷数学千禧年大奖问题的方案,使用了我的定理,该定理表明极限泛函可以线性扩展到整个函数空间,并与LLM合作。 在我证明这个非常强大的定理之前(未使用人工智能)。然后,我尝试要求ChatGPT使用该定理证明纳维-斯托克斯克雷数学问题。ChatGPT声称已成功完成。现在,我正在详细阐述并检查ChatGPT证明中的错误。我是通用拓扑学领域的顶尖专家,但对微分方程不精通。我需要在此过程中学习很多。因此,我请求您提供帮助。
这个Hacker News讨论围绕着一位用户(“ungreased0675”)关于其专业知识的主张,以及对ChatGPT输出的怀疑。用户质疑ChatGPT陈述的真实性,认为它们可能是“幻觉”。
对话延伸到关于评估AI模型,特别是数学和编码方面的讨论。“FrontierMath”基准被提及作为评估性能的工具。
进一步分享的链接涉及复杂的物理问题——纳维-斯托克斯方程、n体引力以及行星轨道,以及通过广义相对论、量子场论和谷歌DeepMind的AI研究等领域提出的潜在解决方案。讨论强调了解决这些长期存在问题的雄心,以及这些科学挑战的相互关联性。
为了避免携带多台笔记本电脑用于工作和个人用途,作者在其工作笔记本电脑上使用虚拟机(VM)。该虚拟机基于最小化的Ubuntu Server安装,并针对高效的个人使用进行了定制,令人惊讶的是,*没有*传统的窗口管理器。
相反,Emacs被用作唯一的桌面环境。一个简单的`.xinitrc`文件以全屏模式启动Emacs,利用其窗口管理能力和自定义选项。网页浏览主要在Emacs中使用基于文本的浏览器(如`w3m`)进行,在需要时可以通过`xdg-open`临时启动图形化浏览器。
作者还展示了一种快速启动和组织多个基于Emacs的应用程序(包括社交媒体和新闻源)的设置,并将其定制成一个工作区,可以通过键盘快捷键轻松恢复。这种方法在工作提供的环境中提供了一种轻量级、键盘驱动的个人计算体验。
## Emacs 作为窗口管理器:总结
最近的 Hacker News 讨论强调了将 Emacs 用作窗口管理器 (WM) 的趋势。用户利用 Emacs 强大的 Lisp 环境,对桌面环境获得前所未有的控制力,超越了传统的“编写、保存、重载”工作流程,实现了动态的即时配置。
这种方法允许快速原型设计和自定义窗口行为、键绑定,甚至像显示色温这样的系统设置——所有这些都直接在 Emacs 中完成。像 EXWM 这样的项目促进了 Emacs 中对 X11 窗口的完全管理,而其他项目则利用 IPC 通过 Lisp 控制外部 WM,例如 Hyprland。
尽管学习曲线陡峭,但支持者强调了获得的自由和效率。虽然仍然存在挑战,例如管理复杂的配置以及与 Wayland 潜在的兼容性问题,但社区仍在不断探索和完善这些设置。讨论还涉及 Ratpoison 等替代方案,以及使用 OpenBSD 等精简操作系统来支持这种工作流程的好处。最终,用户发现基于 Lisp 的 WM 的强大功能和灵活性超过了复杂性,从而实现了高度个性化和高效的计算体验。