## 幽灵二进制依赖:日益增长的威胁 在2026年的FOSDEM上的一次演讲强调了“幽灵二进制依赖”这一关键问题——依赖于其他包的预编译代码(二进制文件),但这些依赖关系并未在项目清单中明确记录。这种隐藏的依赖关系对软件的可持续性和安全性构成风险。 目前,包管理器会跟踪源代码依赖关系,但通常会忽略这些二进制链接,这在像Python这样的语言调用编译代码(如C)时经常发生。如果没有识别这些依赖关系,就无法通过像开源承诺这样的倡议来支持原始开发者,从而威胁到开源生态系统的长期健康。 更重要的是,未记录的二进制依赖关系会产生安全漏洞。如果所依赖的二进制文件存在缺陷,项目会不知不觉地面临风险,可能影响到医院和互联网等关键基础设施。 提出的解决方案包括开发工具来识别和记录这些二进制依赖关系,为改进的安全警告和维护者的可持续资助模式铺平道路。多个项目和提案(如Python中的PEP 770和804)已经在进行中,以应对这一挑战,旨在提高软件供应链的透明度。
每日HackerNews RSS
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
二进制依赖:识别我们都依赖的隐藏包 (vlad.website)
3点 由 PaulHoule 2小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
## IPv6 与网络历史的复杂关系 本文探讨了旨在取代 IPv4 的 IPv6 尚未完全接管互联网的原因,揭示了一个令人惊讶的网络历史决策故事。作者在 IETF 会议上的调查发现,IPv6 的复杂性并非源于其自身缺陷,而是源于数十年来在现有基础设施*之上*堆叠的解决方案。 最初,网络是简单的点对点连接。共享“总线”网络(如以太网)的引入需要 MAC 地址来进行本地通信。当这些局域网需要互联时,出现了 IP 地址,但底层的以太网层仍然存在。这造成了一种混乱的交互——IP 路由依赖于 MAC 地址,ARP 用于在两者之间转换,DHCP 用于管理地址——所有这些都建立在为更简单时代设计的基石之上。 作者认为,更简洁的设计,即 IPv6 的愿景,旨在通过消除对 MAC 地址和第二层桥接的依赖来消除这种复杂性。然而,为了保持与现有基础设施的向后兼容性,特别是移动 IP 的兴起及其对第二层无缝漫游的依赖,阻止了完全过渡。 最终,互联网受到历史选择的负担,虽然 IPv6 提供了一个更优雅的解决方案,但克服数十年的分层复杂性仍然是一项艰巨的任务。未来可能在于像 QUIC 这样的协议,它提供了一条简化连接的途径,但真正的全新起点仍然难以捉摸。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
IPv6 是一个良好设计的世界 (apenwarr.ca)
19 分,由 signa11 发表于 5 小时前 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助
rnhmjoj 发表于 9 分钟前 | 下一个 [–]
之前的讨论:
https://news.ycombinator.com/item?id=14986324 (2017)
https://news.ycombinator.com/item?id=20167686 (2019)
https://news.ycombinator.com/item?id=25568766 (2020)
https://news.ycombinator.com/item?id=37116487 (2023)
回复
Sniffnoy 发表于 27 分钟前 | 上一个 [–]
(2017) 回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
两党议员团体最近阻止了702条款的重新授权,该条款是一项有争议的大规模监控计划,他们要求为美国人提供更强的隐私保护。目前,联邦调查局可以在无需搜查令的情况下访问国家安全局收集的通讯——甚至包括美国公民的通讯。 败选的提案仅提供了一些表面上的改变,并将重新授权该计划再持续五年。议员们正在推动一项要求联邦调查局访问信息时必须有合理理由的搜查令要求,以解决对不受约束的监控和潜在滥用的担忧。参议员罗恩·怀登强调了一种“秘密解读”的法律,该法律进一步允许监控美国人,包括记者和寻求敏感医疗保健服务的人士。 这次对峙获得了一次为期10天的延期,为敦促国会通过一项具有*真正*改革的法案提供了关键窗口,而不仅仅是维持现状。倡导者强调需要透明度和问责制,确保美国人在其通讯被监控时得到通知。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
继续努力:我们还有10天时间来改革702条款 (eff.org)
6点 由 nobody9999 26分钟前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系方式
搜索:
请启用Cookie。 错误 1005 Ray ID:9eea0ca28d5cff7f • 2026-04-19 07:03:25 UTC 拒绝访问 发生了什么? 该网站(kotaku.com)的所有者已禁止您的IP地址所在的自治系统编号(ASN 45102)访问此网站。 请参阅 https://developers.cloudflare.com/support/troubleshooting/http-status-codes/cloudflare-1xxx-errors/error-1005/ 了解更多详情。 此页面是否有帮助? 是 否 感谢您的反馈! Cloudflare Ray ID:9eea0ca28d5cff7f • 您的IP: 点击显示 47.245.80.60 • 由Cloudflare提供性能和安全保障。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
游戏开发者解释了让玩家暂停游戏的技巧 (kotaku.com)
10 分,speckx 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 1 条评论 帮助
bitwize 发表于 5 分钟前 [–]
对于我的游戏(自定义引擎),我有一种方法可以阻止游戏时间前进,同时输入和绘制循环继续运行。它也会将游戏置于“暂停”输入状态,在此状态下只有恢复按钮才会激活。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
访问被拒绝。您没有权限访问“http://baumgartner.house.gov/2026/04/02/baumgartner-introduces-bipartisan-bill-to-tighten-controls-on-sensitive-chipmaking-equipment/” 上的服务器。 参考编号:18.c6753617.1776578664.bff73a45 https://errors.edgesuite.net/18.c6753617.1776578664.bff73a45
一项新的两党法案提议对半导体设备加强美国管制,可能允许政府阻止美国公司为不符合特定要求的设备制造商提供服务,期限为150天。有评论员将此比作阻止铁匠向与外国实体交易的金匠提供供应。
该法案的主要目标似乎是先进芯片制造的关键参与者ASML,以及限制其与中国的业务。虽然可执行性依赖于ASML对美国零部件和服务的依赖,但一些人认为该法案旨在鼓励更多芯片制造回流美国。然而,评论员对在规定时间内实现显著的本土化表示怀疑。另有评论指出,欧盟似乎接受了这些限制。
讨论请求速率——一段时期内的请求数量——至关重要的是**明确该时期**,理想情况下定义为**每秒请求数**。含糊不清的仪表盘可能会根据缩放级别显示不同的速率,导致数据不一致。 虽然**赫兹 (Hz)** 和 **贝克勒尔 (Bq)** 都表示每秒发生的事件,但**贝克勒尔更适合请求速率**,尽管它最初与放射性有关。赫兹暗示可预测的、周期性的事件,而贝克勒尔更好地反映了通常不规则请求的平均频率(例如网站流量)。 对于高容量速率,贝克勒尔提供更简洁的表示法(例如,90 kBq 与 90,000 请求/秒)。虽然有人建议使用一个新单位(“rips”),但利用现有的贝克勒尔,并将其接受的含义扩展到放射性之外,为一致地测量和沟通请求速率提供了一个实用的解决方案。作者希望贝克勒尔未来能成为一般事件频率的标准。
Hacker News新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录
贝克勒尔作为请求速率的 SI 单位 (entropicthoughts.com)
14 分,作者 fanf2 3 小时前 | 隐藏 | 过去 | 收藏 | 2 条评论 帮助
avmich 1 分钟前 | 下一个 [–]
我们能讨论 - 或假设,或理解 - “平均请求频率”并仍然使用赫兹作为单位吗?回复
hirsin 12 分钟前 | 上一个 [–]
用每分钟请求数而不是每秒请求数来衡量有什么明显的理由吗?还是一个随意的玩笑?我参与过的一些系统 API 平均每秒少于一个请求,但我不认为我们想用毫贝克勒尔来衡量。有些系统测量的是每小时数百万个请求,因为每小时的使用量是一个关键指标,因为速率限制也是按小时计算的。回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这篇博文讲述了看似小众的数据结构——跳表——如何意外地解决了软件测试公司 Antithesis 的一个重大性能问题。作者最初认为跳表过于复杂,但当在分析软件模糊测试产生的大型数据集时,在 Google BigQuery 中遇到查询速度慢的问题时,重新发现了它的用处。
Antithesis 需要有效地追踪导致特定日志消息的事件历史,这需要遍历分支树结构。BigQuery 的架构针对全表扫描进行了优化,难以处理树遍历所需的众多点查询。为了避免使用分数据库方法带来的复杂数据库一致性问题,团队创新了一种“跳树”——本质上是多个共享结构的跳表——并使用 SQL 表实现。
这使得通过链式 JOIN 进行祖先查找成为可能,巧妙地平衡了查询复杂度和 BigQuery 的定价模式。虽然生成的 SQL 代码很长,但 JavaScript 编译器可以自动生成它。跳树解决方案有效运行了六年,直到 Antithesis 开发了自己的优化数据库。作者总结说,即使是晦涩的数据结构也可能证明非常有价值,并强调了创新的周期性——跳树概念与现有的“跳图”结构相关。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
跳跃表有什么用? (antithesis.com)
10 分,由 mfiguiere 发表于 2 小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
这篇帖子剖析了一种有趣的动态,即我们如何解读媒体,灵感来源于重读《糊涂蛋日记》。作者认为,它的幽默之处在于格雷格·赫夫利在日记里*说*的话和他行为(通过附带的涂鸦展示)所揭示的真实性格之间的差距。关键在于,插图表明格雷格*知道*自己的缺点,这与一种常见的解读——将他描绘成无知的——相矛盾。
这个观察结果可以延伸到现实生活中那些广受批评的在线“主角”——那些个人写作被广泛评论的人。作者指出,人们倾向于指责这些作者缺乏自我意识,但他们的写作往往*有意*呈现一幅不讨喜的自我画像。以丹尼尔·奥本海默的《纽约时报》文章为例,帖子认为,批评这种写作的*内容*是合理的,但假设作者不知道他们所造成的印象是不准确的。
最终,作者提倡更细致的批评,关注*所说/所做*的内容,而不是错误地将无知归于作者。他们俏皮地提出需要一个术语来描述这种现象——文本与创作者意识之间的脱节。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
元文本素养 (jenn.site)
3212 1小时前 | 隐藏 | 过去 | 收藏 | 讨论 帮助
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
启用 JavaScript 和 Cookie 以继续。
对不起。
``` 这个目录包含 Tachyon 的架构决策记录 (ADR)。每个 ADR 记录了一个重要的设计选择、促使该选择的背景以及其后果。新的 ADR 使用文件底部的模板。一旦被接受,ADR 将不会被删除,过时的决策会被标记为“已废弃”并链接到替代方案。 # ADR-NNN: 标题 --- **状态:** 提议中 | 已接受 | 被 ADR-NNN 废弃 | 已弃用 **日期:** YYYY-MM-DD --- ## 背景 存在什么问题?有哪些因素在起作用?存在什么约束?请具体说明:包括基准测试、内核版本和相关的 API 限制。 ## 决策 我们决定了什么?用一句话清晰地表达,然后说明理由。 ## 后果 **正面** - … **负面** - … **中性** - … ```
## 快速跨语言 IPC 实现
一个新库旨在实现极快的(56.5ns p50 往返时间)跨进程通信 (IPC),用于 C++、Rust、Python、Go、Java 和 Node.js 等语言之间,通过绕过内核来提高速度。
作者 riyaneel 专注于消除序列化开销和内核在关键路径上的参与。 关键架构选择包括严格的单生产者单消费者 (SPSC) 设计、硬件感知的内存填充以避免缓存争用,以及在初始 socket 握手后使用共享内存 (memfd) 进行零拷贝数据传输。
一种混合等待策略在响应能力和 CPU 使用率之间取得平衡,在回退到系统调用进行等待之前,短暂地进行自旋。 核心使用 C++23 编写,并具有 C ABI,以便于语言绑定。 该库适用于构建需要高效跨语言数据交换的高吞吐量、多语言系统开发者。