## GitHub Actions 的严重安全漏洞:缺乏基本的包管理 GitHub Actions 尽管被广泛用于 CI/CD,但从根本上缺乏像 npm、Cargo 或 NuGet 等成熟包管理器所具备的安全特性。关键在于,它**不使用锁定文件**,这意味着工作流依赖项会在每次运行时重新解析,导致不可预测且可能执行恶意代码。 研究表明,几乎所有用户都运行第三方 Actions,通常来自未经验证的创建者,并且有很大一部分用户运行已知存在安全漏洞的 Actions。可变版本标签进一步加剧了这一问题——即使固定到像 `@v4` 这样的版本,也不能保证代码的一致性,因为标签可能会被更新。 虽然 GitHub 已经引入了不可变发布和 SHA 固定等缓解措施,但这些措施仅解决了顶级依赖项,并且**忽略了传递依赖项**,这是一个主要的攻击向量。Actions 还缺乏完整性验证、依赖树可见性以及用于安全存储和扫描的中央注册表。 这种有缺陷的设计源于其在封闭的企业系统中的起源,并且其影响范围超出了 GitHub,影响了其他 CI 系统,甚至依赖 Actions 进行发布的包注册表。尽管多次请求,GitHub 仍然拒绝实施锁定文件系统,使用户容易受到供应链攻击。
每日HackerNews RSS
GitHub Actions 有一个包管理器,而且可能很糟糕。
GitHub Actions has a package manager, and it might be the worst
2 天前
## lockenv: 简单的加密密钥存储 lockenv 是一个 CLI 工具,用于安全地将敏感文件(如 `.env` 文件、配置文件、证书)直接存储在版本控制中。它为小型团队提供了一个比 sops 或 git-crypt 等工具更简单的替代方案。 它的工作原理是使用密码派生密钥将文件加密到一个 `.lockenv` 仓库文件中。用户 `lock` 文件进行加密,`unlock` 文件进行解密,只将 `.lockenv` 文件提交到仓库。 **主要特点:** * **简单设置:** 通过 Homebrew、包管理器或二进制下载轻松安装。 * **密码或密钥环认证:** 使用密码进行加密,可以选择安全地存储在操作系统密钥环中。 * **Git 集成:** 专为版本控制设计,提供清晰的指示来添加/提交 `.lockenv` 文件。 * **冲突解决:** 处理本地文件与仓库版本不同的冲突,可以选择保留本地、使用仓库、编辑或保留两者。 * **CI/CD 支持:** 可以使用环境变量解锁(存在安全隐患)。 **最适合:** 管理简单的 `.env` 和配置文件。不适合非常大的文件(>100MB)或需要细粒度访问控制的场景。请记住,丢失密码意味着失去对密钥的访问! [https://github.com/illarion/lockenv](https://github.com/illarion/lockenv)
## Lockenv:简单的基于Git的密钥存储
Lockenv是一个新工具,旨在简化小型团队和个人项目的加密密钥管理。它由一位开发者创建,这位开发者厌倦了像sops或git-crypt这样复杂的解决方案,它提供了一种直接的方法:一个密码保护的vault文件直接提交到Git仓库。
该工具与操作系统密钥环集成,以避免重复的密码提示,并支持Mac、Linux和(目前未经测试的)Windows。作者强调,这并非旨在取代强大的解决方案,而是为那些通过不太安全的渠道(如Slack)共享密钥的情况提供一个简单的替代方案。
讨论中强调了对密钥管理(团队成员离开时撤销访问权限)、版本控制限制(难以跟踪特定密钥的更改)以及意外提交未加密密钥的风险的担忧。现有的工具,如git-crypt和sops,可以解决其中一些问题,而另一些人则建议使用dotenvx或专门的vault解决方案等替代方案。然而,许多人认为,对于复杂的设置来说是多余的,对于较小的项目来说,更简单的方法很有价值。
本文详细介绍了一种全同态加密方案pvac-hfhe的概念验证实现。它利用二进制奇偶校验进行带噪声学习,并在127位素数域上执行算术运算。该系统的核心依赖于由密集随机超图构建的综合征图,参数选择参考了莫斯科物理技术学院(MIPT)关于超图属性的研究。
这是首次实现,于2024年初发布,并以C++代码(需要C++17或更高版本)的形式提供,地址为[https://github.com/octra-labs/pvac_hfhe_cpp](https://github.com/octra-labs/pvac_hfhe_cpp)。提供的示例演示了密钥生成、加密、同态加法、减法和乘法,然后进行解密以验证正确的结果。为了获得最佳性能,建议使用支持PCLMUL的x86-64 CPU。该代码包含各种功能的全面测试。
黑客新闻 新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交 登录
Show HN: PVAC FHE 在超图上,具有 LPN 安全性 (github.com/octra-labs)
5 分,由 0x0ffh_local 1 天前发布 | 隐藏 | 过去 | 收藏 | 讨论
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
## Java Applet 的终结与现代 Java Web 开发的兴起 Java Applet 是一种可以实现交互式网页内容的古老技术,其历史可以追溯到 1996 年,将于 2026 年 3 月的 Java 26 中正式移除。 尽管曾经具有革命性意义,但浏览器在 2000 年代已经放弃了插件支持,从而阻碍了 Applet 的功能。 然而,Java 在 Web 上的存在并未消失。 像 **TeaVM** 这样的工具允许开发者将 Java 代码直接*转换*成高效的 JavaScript 或 WASM,从而在无需插件的情况下实现快速、高性能的 Web 应用程序。 TeaVM 处理代码压缩、优化和浏览器 API 集成。 对于更复杂、单页应用程序,**Flavour** 框架构建于 TeaVM 之上,提供了一个完整的工具包,具有模板、路由、组件和安全等功能——所有这些都使用 100% Java 实现。 Flavour 利用现有的 HTML 和 CSS 技能,确保兼容性并为长期项目提供稳定的 API。 这些技术展示了 Java 开发者构建强大 Web 应用程序的现代途径,超越了 Applet 的限制。
启用 JavaScript 和 Cookie 以继续。
```python from enferno.services.workspace import WorkspaceScoped class Invoice(db.Model, WorkspaceScoped): workspace_id = db.Column(db.Integer, db.ForeignKey('workspace.id')) number = db.Column(db.String(50)) amount = db.Column(db.Numeric(10, 2)) # 添加你的字段```
## ReadyKit:快速启动的SaaS模板
ReadyKit (readykit.dev) 是一款新的开源SaaS样板项目,使用Python/Flask、PostgreSQL、Redis和Vue 3构建,旨在加速独立开发者和团队的开发进程。它开箱即用地处理了多租户工作区、Stripe计费和安全认证(OAuth + MFA)等复杂的后端任务。
创建者有意将ReadyKit与更精简的“Enferno”框架区分开来,为用户提供一个极简的起点或一个功能齐全的SaaS模板的选择。主要功能包括自动数据范围划分、审计日志和基于角色的访问控制。
该项目旨在提供一个高效的“无趣技术栈”,避免复杂的Javascript依赖,并优先考虑简单性。虽然一些用户请求了暗黑模式和改进的部署选项(CI/CD到Fly.io等平台)等功能,但创建者正在积极响应反馈,并计划维护ReadyKit和底层Enferno框架。它采用MIT许可,可免费使用。
## truemetrics:革新最后一公里配送 truemetrics是一家快速发展的、技术驱动的初创公司,获得Y Combinator和其他领先投资者的支持,专注于解决最后一公里配送中的关键挑战。 他们的技术通过准确绘制建筑物入口和停车信息,增强了快递员的导航能力,从而提高了GLS、DPD和Snoonu等公司在德国、英国和哈萨克斯坦等国家的效率。 他们正在柏林寻找一位熟练的软件工程师/数据分析师加入他们的小型、高效的团队。 该职位侧重于数据分析、算法开发和原型设计,以改进现有功能并构建新功能——直接与CTO合作,并负责从项目启动到完成的全过程。 **理想的候选人** 拥有4年以上经验,精通Python,具备分析思维能力,并熟悉AWS。 具有地理空间数据、物流或时间序列机器学习经验者优先考虑。 **这里不适合寻求严格结构的人。** truemetrics提供一个动态的、以所有权为驱动的环境,包括股权、硬件预算以及塑造AI驱动地图未来的机会。 **申请人必须居住在柏林并持有有效工作许可。**
黑客新闻新 | 过去 | 评论 | 提问 | 展示 | 招聘 | 提交登录Truemetrics (YC S23) 正在招聘 (ycombinator.com)1天前 | 隐藏
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 申请YC | 联系
搜索:
一项尝试解决纳维-斯托克斯克雷数学千禧年大奖问题的方案,使用了我的定理,该定理表明极限泛函可以线性扩展到整个函数空间,并与LLM合作。 在我证明这个非常强大的定理之前(未使用人工智能)。然后,我尝试要求ChatGPT使用该定理证明纳维-斯托克斯克雷数学问题。ChatGPT声称已成功完成。现在,我正在详细阐述并检查ChatGPT证明中的错误。我是通用拓扑学领域的顶尖专家,但对微分方程不精通。我需要在此过程中学习很多。因此,我请求您提供帮助。
这个Hacker News讨论围绕着一位用户(“ungreased0675”)关于其专业知识的主张,以及对ChatGPT输出的怀疑。用户质疑ChatGPT陈述的真实性,认为它们可能是“幻觉”。
对话延伸到关于评估AI模型,特别是数学和编码方面的讨论。“FrontierMath”基准被提及作为测试解决方案的方法。
进一步分享的链接涉及复杂的物理问题——纳维-斯托克斯方程、n体引力以及行星轨道——以及通过量子场论等领域的进步提出的潜在解决方案。讨论暗示解决这些问题与在理解引力和轨道力学方面取得突破之间存在联系。
为了避免携带多台笔记本电脑用于工作和个人用途,作者在其工作笔记本电脑上使用虚拟机(VM)。该虚拟机基于最小化的Ubuntu Server安装,并针对高效的个人使用进行了定制,令人惊讶的是,*没有*传统的窗口管理器。
相反,Emacs被用作唯一的桌面环境。一个简单的`.xinitrc`文件以全屏模式启动Emacs,利用其窗口管理能力和自定义选项。网页浏览主要在Emacs中使用基于文本的浏览器(如`w3m`)进行,在需要时可以通过`xdg-open`临时启动图形化浏览器。
作者还展示了一种快速启动和组织多个基于Emacs的应用程序(包括社交媒体和新闻源)的设置,并将其定制成一个工作区,可以通过键盘快捷键轻松恢复。这种方法在工作提供的环境中提供了一种轻量级、键盘驱动的个人计算体验。
## Emacs 作为窗口管理器:总结
最近的 Hacker News 讨论强调了将 Emacs 用作窗口管理器 (WM) 的趋势。用户利用 Emacs 强大的 Lisp 环境,对桌面环境获得前所未有的控制力,超越了传统的“编写、保存、重载”工作流程,实现了动态的即时配置。
这种方法允许快速原型设计和自定义窗口行为、键绑定,甚至像显示色温这样的系统设置——所有这些都直接在 Emacs 中完成。像 EXWM 这样的项目促进了 Emacs 中对 X11 窗口的完全管理,而其他项目则利用 IPC 通过 Lisp 控制外部 WM,例如 Hyprland。
尽管学习曲线陡峭,但支持者强调了获得的自由和效率。虽然仍然存在挑战,例如管理复杂的配置以及与 Wayland 潜在的兼容性问题,但社区仍在不断探索和完善这些设置。讨论还涉及 Ratpoison 等替代方案,以及使用 OpenBSD 等精简操作系统来支持这种工作流程的好处。最终,用户发现基于 Lisp 的 WM 的强大功能和灵活性超过了复杂性,从而实现了高度个性化和高效的计算体验。
## 拥堵时段谜题数据库:深度解析
该项目详细介绍了为滑动方块谜题“拥堵时段”创建完整数据库的过程。作者在最初玩过手机版游戏后,重新回到实体棋盘上,受到启发,开始了一段旅程,不仅要解决问题,还要*生成*和编录标准6x6棋盘上所有“有趣”的谜题配置。
该过程始于一个求解器,然后是一个使用模拟退火的谜题生成器。作者并不满意,旨在生成*所有*可能的谜题,最终得到一个包含超过250万个独特配置的数据库,并根据复杂程度进行筛选,避免琐碎的排列。 “有趣”谜题的关键标准包括防止堵塞的行/列,并确保每个棋子对解决方案至关重要。
该项目利用位棋盘来实现高效的状态表示,并采用规范状态枚举技术来避免冗余计算,最终在一台强大的iMac上耗时3小时,或在配备72个核心的云服务器上耗时17小时。 结果数据库可供下载,其中包含需要最多50步才能解决的谜题,为“拥堵时段”爱好者和研究人员提供了重要的资源。 代码是开源的,并且还有一个可在线游玩的版本。 这项工作展示了计算能力在经典谜题中的一个迷人应用,并推动了人们对“拥堵时段”复杂性的认知边界。
这个Hacker News讨论围绕着Michael Fogleman 2018年发表的关于解决“Rush Hour”拼图的文章。用户分享相关的谜题和见解,强调了这款游戏的惊人复杂性。
值得注意的是,“Subway Shuffle”拼图被提及难度显著更高,有些实例需要589步才能解决。 另一个变体,“Unit Rush Hour”(将汽车缩小到1x1大小)极大地增加了难度,最难的谜题达到732步——远远超过了标准6x6 “Rush Hour”的51步。
评论者还分享了资源:一个指向Simon Tatham的谜题合集(可在Android上使用)的链接,一个“Rush Hour”解决方案的3D可视化,以及一篇详细说明使用PDDL为该谜题构建更清晰规划模型的论文。 几位用户表示喜欢这款谜题,甚至有人从讨论中获得了送礼的灵感。