## 尼日利亚奥克里卡禁令辩论:文化、经济与可持续性 2023年6月,尼日利亚海关宣布可能禁止“奥克里卡”——二手服装,理由是健康风险以及希望振兴当地纺织工业。这一提议引发了争论,因为奥克里卡深深植根于尼日利亚文化,并且是数百万人的经济实惠的服装来源,特别是来自中低收入家庭的人群。 除了价格实惠,奥克里卡还代表着足智多谋和独特的时尚身份。这种贸易起源于15世纪早期的欧洲互动,并随着时间的推移而演变,其名称源自尼日利亚河流州奥克里卡镇,那里是进口二手服装的关键接收点。如今,它是一个蓬勃发展的市场,越来越受到来自中国和韩国等全球来源的影响,并受益于社交媒体。 政府认为,禁止奥克里卡可以保护公众健康并鼓励本地生产,但批评人士指出过去的保护主义失败——例如2019年的边境关闭实际上*提高了*大米价格——以及尼日利亚生产商在价格和质量上无法竞争。人们还担心尼日利亚会成为发达国家倾倒纺织废料的场所,尽管二手服装比垃圾填埋更具可持续性。最终,需要采取全面的方法来解决基础设施、融资和质量控制问题,以支持本地产业,而不是简单地禁止尼日利亚生活的重要组成部分。
## 放弃Dependabot:更智能的Go依赖管理
Dependabot 经常产生不必要的干扰,尤其是在 Go 生态系统中,阻碍了高效工作。作者建议禁用它,并用两个计划中的 GitHub Actions 取代它:一个运行 `govulncheck`(漏洞扫描器),另一个运行项目测试套件来测试最新的依赖版本。
最近的一次安全修复突显了这个问题——Dependabot 向仓库中充斥着无关的更新和虚假的安全性警报,甚至对于*未使用*受影响功能的代码也是如此。`govulncheck` 提供了一个更优的解决方案,它会根据包和符号的可达性过滤警报,只关注实际影响项目的漏洞。
此外,依赖更新应该与项目的开发周期保持一致,而不是每个依赖的发布周期。每天运行测试来测试最新版本,而不是自动更新,可以在不进行持续、破坏性更新的情况下,及早发现破坏性变更。这种方法通过最大限度地减少恶意代码到达生产环境的时间窗口来提高安全性,并减少开发人员和开源维护者的重复劳动。
这篇由两部分组成的博客系列详细介绍了在 VSCode 扩展程序(SARIF 查看器和实时预览)以及 VSCode 本身中发现的三个漏洞(CVE-2022-41042,获得 7,500 美元奖励)。核心问题在于 VSCode Webviews——沙盒化的 UI 面板——以及攻击者如何可能绕过其安全限制来危及用户系统。
扩展程序中的漏洞允许进行任意本地文件泄露,可能包括 SSH 密钥等敏感数据。利用方式包括 HTML/JavaScript 注入(通过 SARIF 查看器中数据的不安全渲染)、实时预览的本地 HTTP 服务器中的路径遍历,以及 DNS 重绑定和 `srcdoc` iframe 等技术来绕过内容安全策略 (CSP) 限制。
该研究强调了安全的 Webview 配置的重要性:严格的 CSP、有限的 `localResourceRoots` 以及对 `postMessage` 通信的谨慎处理。即使配置良好的 Webviews 也并非万无一失,后续博客文章将详细介绍一个允许沙盒逃逸的 VSCode 错误。作者为构建 VSCode 扩展程序的开发者提供了实用的建议,以防止类似的漏洞,强调纵深防御原则。