## Safe-npm:保护您的项目免受供应链攻击 Safe-npm 是一款注重安全的 npm 安装器,旨在缓解 npm 包被破坏日益增长的威胁。它的工作原理是**仅安装已公开存在至少一定时间(默认 90 天)的软件包版本**,从而为安全社区提供时间来识别和报告恶意发布。 当您运行 `safe-npm install` 时,它会检查 npm 注册表,根据您指定的年龄阈值*和*语义版本控制 (semver) 要求过滤版本,然后安装最新的安全版本。您可以使用 `--min-age-days` 自定义最小年龄,并使用 `--ignore` 绕过对受信任软件包的年龄检查。`--strict` 标志可确保如果找不到安全版本,构建将失败。 **主要功能包括:** 模拟运行模式以预览更改、控制仅安装 `devDependencies` 或 `productionDependencies`,以及安装策略选项。 虽然 Safe-npm 并非万无一失的解决方案,但它为防御突发的供应链破坏增加了一层重要的保障,用牺牲对最新功能的即时访问来换取更高的安全性。最好将其与其他安全实践(如定期审计和依赖项审查)一起使用。
每日HackerNews RSS
## Safe-NPM:供应链安全工具
最近的 npm 供应链攻击(如 Shai-Hulud 和 Chalk/debug 漏洞)促使开发了 **Safe-NPM**,这是一款 CLI 工具,旨在通过仅安装至少发布 90 天的软件包来降低风险。由 kevinslin 开发,它查询 npm 注册表,过滤掉最近发布的版本,并安装与指定语义化版本范围匹配的最新“旧”软件包。
虽然这并非万无一失的解决方案——它无法捕获最初的恶意软件包或控制传递依赖(尽管计划提供覆盖功能),但它旨在提供针对*最近*漏洞的“80/20”防御。
该工具引发了讨论,一些人指出 `pnpm` 和 npm 的 `--before` 标志中已有的功能,另一些人强调依赖项固定和定期、经过审计的更新的重要性。人们担心延迟访问补丁,并且如果大家都采用这种方法,可能会阻碍漏洞发现。最终,Safe-NPM 被呈现为一种降低风险的策略,而不是安全保障。
[https://github.com/kevinslin/safe-npm](https://github.com/kevinslin/safe-npm)
## 电影的失落艺术? 最近重温了《沉默的羔羊》,引发了对现代电影制作似乎日渐衰落的思考。作者认为,80年代和90年代的经典电影,如《好家伙》和《低俗小说》,拥有当代电影中常常缺失的深度和真实性。 这些老电影优先考虑角色发展、有影响力的叙事和风格上的冒险——信任观众能够参与到复杂的故事中。例如,斯科塞斯和塔伦蒂诺被赋予了创作自由,从而创作出具有持久影响力的电影。 相比之下,像《子弹列车》和《窗边的女人》这样的现代电影常常显得是人为制造的,优先考虑风格而非实质,依赖于视觉奇观而非真挚的情感联系。焦点已经从艺术视野转移到算法优化和系列电影潜力,最终导致娱乐性迅速被遗忘。虽然技术已经进步,但真正*打动*观众的能力似乎已经减弱,在观看电影和真正*体验*电影之间留下了一个空虚。
## 为什么90年代的电影感觉不同——黑客新闻讨论总结
最近黑客新闻上的一场讨论集中在为什么90年代的电影通常比当代电影,特别是像Netflix这样的流媒体服务上的电影,感觉更引人入胜和“鲜活”。核心观点是,现代电影通常被设计成在观众分心(例如使用手机)时被动消费,依赖于明确的解释和更简单的叙事。相反,90年代的电影信任观众会注意并推断意义。
讨论中提出了一些观点:现在内容的数量过多使得找到高质量的电影更难;影棚优先考虑特许经营潜力以及大众吸引力,而不是艺术风险;相机技术的进步改变了视觉风格,有时牺牲了氛围。其他人注意到注意力持续时间缩短,以及由于简单的CGI和像漫威这样互联宇宙的统治,导致了对视觉奇观而非实质内容的转变。
许多评论者同意,虽然并非*所有*现代电影都很肤浅,但激励结构通常倾向于易于理解的内容。此外,人们也认识到记忆偏差和幸存者偏差——我们记得过去最好的电影,而很多现代内容却容易被遗忘。最终,这场讨论强调了当代电影制作中 perceived 的细微差别、冒险精神和艺术完整性的丧失。
这篇博文分析了英格兰的住院数据,以确定最“典型”的男性和女性住院原因,超出主要医疗状况。作者利用“外部原因”数据——导致住院的事件——发现了显著的性别模式。 虽然这些不是*最常见*的总体原因,但数据显示,男性因从高处坠落(如脚手架)、机械相关事故、运动损伤和暴力事件而住院的比例更高。相反,女性更常因妊娠相关问题、美容治疗并发症、动物相关伤害(如狗咬伤——之前一篇博文的主题)和心理健康问题而住院。 作者强调,这些发现并非关于内在差异,而是可能反映了不同的活动和冒险行为。后续博文中提供了完整数据集,供进一步研究。
## 音乐城环线项目遭遇挫折 威利·谢恩,谢恩运输和挖掘公司的所有者,在对纳什维尔的埃隆·马斯克“音乐城环线”项目存在数月的财务和安全担忧后,撤走了他的团队。谢恩的公司在当地享有盛誉,负责提议的9英里隧道最初的挖掘工作。 问题始于付款延迟——长达123天,仅支付了5%——并升级为 Boring Company 的代表据称试图直接雇佣谢恩的焊工,违反了合同。谢恩还表达了严重的安全性担忧,指出使用木材而不是混凝土进行不足的支撑,以及 Boring Company 员工缺乏个人防护设备,多项 OSHA 投诉未得到回应。 在《旗帜报》的调查后,Boring Company 副总裁大卫·巴斯承诺解决未付发票,并调查招聘指控和安全问题,将这些问题淡化为孤立的“发票错误”。然而,谢恩对此表示异议,称该项目已严重停滞,因为他的团队正在建造隧道掘进机,并且尚未找到替代人员。州参议员海迪·坎贝尔批评了该项目的推出以及与 Boring Company 签订的州租赁协议中缺乏问责制。
## Boring 公司面临批评
一份最新报告称,Boring 公司(TBC)在纳什维尔的一个项目中未能支付工人工资,并忽视了 OSHA 的担忧。Hacker News 的讨论强调了人们对 TBC 核心使命的怀疑——许多人认为它的设计是为了扰乱,而不是真正改善当地的交通努力。
评论员指出,该公司有着雄心勃勃但最终有缺陷的目标的历史,例如 Hyperloop,并质疑 TBC 是否拥有革新隧道挖掘所需的创新技术。 几位评论员认为,该公司忽视了该过程中的基本挑战,专注于速度,而忽略了成本和维护等关键方面。
除了技术问题外,人们还对 TBC 的商业行为表示担忧。有报告称,该公司试图从分包商那里挖走员工,并将未支付的款项淡化为“正常情况”。 这种行为,加上马斯克旗下公司普遍存在的监管违规行为,加剧了对潜在不道德和剥削性工作环境的批评。 许多人认为,该公司将个人虚荣心置于负责任的商业行为之上。
公开发布的怪物 BETA 😎 向 90 年代 ~/PUBLIC_HTML 托管致敬。还记得网络曾经很有趣吗?!🌈 ✨ 最佳浏览器浏览 ✨ 欢迎来到万维网上最酷的地方!今天就创建你自己的网站!登录 / 注册 新手?查看我们的关于页面、常见问题解答和我们的政策,获取超酷提示!🚧 建设中 🚧 由 ~dmytri 提供 服务条款 | 隐私政策 | 内容审核政策 对于紧急滥用报告(垃圾邮件、恶意软件、非法内容),请发送电子邮件至 [email protected]。上次更新:星期一,9月11761年,1993年。
## 90年代网站托管致敬 - Hacker News 摘要
一个名为 public.monster 的新项目旨在唤起 90 年代个人网站托管的时代精神——比如 GeoCities 和 Angelfire——通过 SFTP 直接从 `public_html` 文件夹提供简单的静态 HTML 托管。该网站在 Hacker News 上引发了关于对那个时代 Web 开发的怀旧以及它为初学者提供的可访问性的讨论。
许多人赞赏该项目赋予用户对其内容控制权的意图,但也有一些人批评其实现方式。有人担心该网站 *过于* 依赖现代技术和设计选择,创造了一种人为的“复古”美学,而不是真实的重现。 还有人指出,如今仍然可以以类似的方式轻松部署静态网站。
尽管存在批评,但对话凸显了对更简单的网络体验和自助托管选项的需求,许多用户分享了类似的项目链接,例如 tilde.club 和 midnight.pub。 创建者 Dmytri 确认他 90 年代积极参与 Web 社区,并将该项目视为一种有趣的方式来提供简单的托管并鼓励本地开发。
Please provide the content you want me to translate. I need the text to be able to translate it to Chinese.
## S&box:Facepunch的新开源游戏引擎
Facepunch,Garry's Mod和Rust的开发商,已经开源了他们的游戏引擎S&box。S&box基于修改版的Source 2(并与Valve合作),旨在成为一个灵活的游戏创作工具,可能与Unity和Roblox竞争。
该引擎使用C#脚本,并为安全起见进行了沙盒处理,并具有自定义编辑器,尽管其根基是基于地图的Source 2引擎。目前,它需要Steam进行发布,并使用“游玩基金”进行变现(根据游玩时间向创作者支付费用),但团队正在与Valve合作以实现独立游戏导出。
该项目引起了极大的兴趣,讨论集中在其潜力、许可(MIT许可,保留版权)以及构建于像Source 2这样复杂引擎之上的挑战。该团队成功开发社区驱动游戏的经验以及他们拥抱开源开发的意愿被视为积极的信号。然而,人们对依赖Discord进行社区支持以及潜在的许可复杂性表示担忧。
周三晚上,一场大范围的网络中断影响了许多主要平台,包括亚马逊网络服务(AWS)、Instagram、Facebook、Reddit、Xbox Live 和 YouTube。Downdetector 报告全球用户投诉激增,问题包括登录失败、连接问题和加载缓慢。 这些中断似乎同时发生,AWS(一个关键的互联网基础设施提供商)是最早受到影响的平台之一。中断的并行性质以及 Cloudflare 报告的不稳定性表明,可能存在系统性问题,而不是孤立事件。 截至报道时,受影响的公司尚未发布官方声明。受影响服务的规模和多样性表明互联网基础设施受到了重大干扰,但根本原因仍不清楚。Downdetector 正在根据用户提交的报告跟踪情况。
最近,主要在线平台普遍出现服务中断,用户报告了问题和502错误。问题最初似乎与大型内容分发网络Cloudflare有关,但影响范围比最初认为的更广。用户转向Downdetector来确认和追踪中断情况。
Hacker News上的讨论表明,Cloudflare的问题源于一个有问题的SQL查询,而不是像未处理的异常这样的编码错误。一位评论员链接到一篇文章,强调在复杂的系统故障中寻找单一“根本原因”的徒劳。
该事件引发了对软件开发实践的轻松猜测(“Rust重写”和“氛围编码”),以及DNS相关中断的Recurring主题(“YADO?”)。一些用户也注意到TLS可能是潜在的问题来源。
提供的代码片段演示了如何使用各种编程语言(curl、JavaScript 的 `fetch`、Python 的 `requests`、PHP 和 Go)与 TokenSaver API 的 chat 端点进行交互。 所有示例执行相同的操作:使用 JSON 有效负载向 `https://tokensaver.org/api/chat` 发送 POST 请求。该有效负载包括一个电子邮件地址(“[email protected]”)和一条消息——来自“user”角色的问候语(“Hello!”)。 API 响应一个包含“message”和计费信息的 JSON 对象,特别是“provider”。每种语言的代码然后提取并打印消息内容和计费提供者到控制台。本质上,这些是启动与 TokenSaver 聊天并检索基本响应数据的不同方法。
## 公司转型与对“氛围编码”平台的担忧
作者的公司,在疫情后过度招聘且缺乏营销资金的情况下,正在从计划中的优雅关闭转向利用第三方平台以避免完全崩溃。投资者最初不愿承认失败,但被人工智能驱动的裁员潜力所打动——主要裁减工程、实施和支持岗位。
然而,所选择的平台令人深感担忧。作者将其描述为“氛围编码”——似乎完全通过人工智能提示构建,缺乏人工监督——导致产品充满漏洞、无法使用,并且存在法律违规问题(CCPA、TCPA、ADA)。该平台没有美国客户,并且运营不符合相关法规。
作者负责数据迁移,担心平台的低质量最终会损害客户并进一步取代工人。虽然接受公司的财务困境,但他们难以接受依赖于疏忽构建的软件,认为这代表了一种由易于获得的AI工具所助长的危险趋势。尽管有这些担忧,他们仍然致力于专业地完成过渡。
## 氛围编码SaaS与团队裁员 - 摘要
一篇最近的Hacker News帖子详细描述了一种令人沮丧的经历,一个开发团队实际上被“氛围编码”的SaaS产品取代了。作者哀叹他们的1000人组织在领导层选择快速生成的低质量软件解决方案后,被大幅裁减至约10名员工。
正如评论中讨论的那样,核心问题似乎是缺乏适当的审查以及将削减成本置于质量之上。许多评论者认为原文含糊不清,缺乏关于所涉SaaS的具体信息。然而,一个共同的主题浮出水面:优先考虑速度和低成本(通常由AI辅助编码实现)而非健全的工程实践和经验丰富的开发人员的危险。
讨论强调了人们对日益增多的劣质软件、领导者做出不明智决定的可能性以及对技术专业人员的影响的担忧。虽然一些人认为在适当的保障措施下,AI辅助开发具有潜力,但许多人担心会陷入一场恶性竞争,由于其价格,而“劣质软件”变得可以接受。作者还暗示了这种情况可能产生的潜在法律后果。
## 中国即将迎来可重复使用火箭首秀 中国即将进入可重复使用火箭领域,上海航天技术研究院(长征十二号A)、蓝箭航天(朱雀三号)和星际荣耀(天龙三号)三家航天企业正准备在今年年底前进行首次飞行。这三枚火箭目前都在酒泉卫星发射中心。 朱雀三号使用甲烷和氧气作为燃料,领先于其他火箭,可能最早于11月29日发射。它已经成功完成了测试活动,包括发动机再点火的在轨跳跃测试。同样使用甲烷燃料的长征十二号A和使用煤油燃料的天龙三号紧随其后,但其研发细节较少公开。 这三种设计都采用四条腿着陆第一级,并由栅格鳍引导,旨在显著降低发射成本并提高发射频率——这对于部署中国不断增长的大型星座(如千帆)至关重要。如果成功,这些发射将标志着中国成为全球第三个实现可重复使用火箭着陆的国家,也是第一个在美国以外实现这一目标的国家。