## Layerleak:Docker/OCI 镜像密钥扫描器
Layerleak 是一款用于扫描公共 Docker Hub 镜像中密钥的工具,旨在克服传统扫描器的局限性。它分析镜像层、配置元数据和历史记录,*无需* Docker 守护进程。它直接处理 OCI 镜像内部结构,提供清单和层感知的扫描,包括已删除的层。
主要功能包括通过密钥指纹对发现结果进行去重,以及提供详细报告,包含处置元数据和行号,以便于分类。扫描结果以 JSON 文件形式输出,并可选择存储在 PostgreSQL 数据库中(需要手动模式迁移)。
Layerleak 专注于可操作的发现结果,并区分潜在的测试/演示占位符。它支持扫描特定镜像或枚举仓库内的所有标签。**重要提示:** 存储会保存原始发现值 – 专用的数据库/模式对于安全性至关重要。
有关用法详情和贡献指南,请查看 `CONTRIBUTING.md` 并运行 `./layerleak --help`。
每日HackerNews RSS
对不起。
## 插值:在细节中发现趣味
理查德·费曼认为,任何事物通过深入探索都能变得有趣,插值就是一个例子。仅仅查找表格中的数值并不吸引人,但理解*如何*估算那些列出的数值*之间*的数值却是有趣的。这个过程,称为插值,使用已知数据点来近似未知数据点。
更高阶的插值(如三次甚至29阶)可以提高精度,但并不总是更好。误差受原始表格数值的精度(δ)和点之间的间距(h)限制。一个关键原则是选择插值阶数(n),使得误差项(c hn+1)小于δ——更高阶的插值不会带来好处,反而可能由于快速增长的常数(λ)而*增加*误差。
数学表格中的例子表明,对于紧密排列的数据(如自然对数,h=10⁻³),即使是四阶插值也能达到最大精度。相反,更宽的间距(如贝塞尔函数,h=0.1)可能需要更高阶的插值才能达到所需的精度。虽然现在人类很少直接使用表格,但计算机却在不断地使用这些技术。
对不起。
欧洲核子研究中心(CERN)将承办开放研究欧洲(ORE)的新阶段,该倡议由欧盟委员会支持,旨在推广开放获取出版。ORE与钻石开放获取行动计划保持一致,为传统学术期刊提供了一种社区主导、无出版费的替代方案。 该平台将于今年晚些时候推出,将欢迎来自11个欧洲国家(奥地利、法国、德国、意大利、荷兰、挪威、葡萄牙、斯洛文尼亚、西班牙、瑞典和瑞士)的研究人员,以及欧盟资助的研究人员。ORE采用独特的“发表-评审-策展”模式,通过开放同行评审和发表后评估确保透明度。 自2021年启动以来,ORE已发表了来自超过3000个机构的1200多篇文章。CERN将提供技术基础设施,利用其在Zenodo等开放科学工具方面的专业知识,而该联盟将保持编辑控制。 此次合作旨在促进学术交流的公平性、多样性和透明度,使公共资助的研究成果更易于获取,并巩固欧洲在塑造出版未来方面的作用。
对不起。
我们还没有看到赌博和预测市场可能造成的最坏情况。
We haven't seen the worst of what gambling and prediction markets will do
3 天前
## 美国赌博业的兴起与信任的侵蚀 在线赌博激增正在迅速改变美国生活,范围从体育扩展到政治,甚至包括人道主义危机,后果令人担忧。最近的案例揭示了一个令人不安的趋势:投手故意投“坏球”以进行操纵的赌注,在军事行动*之前*下达巨额赌注(可能涉及内幕信息),甚至威胁记者以影响报道,使其与赌注结果相符。 这场爆炸式增长——十年间体育博彩从50亿美元增长到1600亿美元——源于2018年最高法院裁决,使体育博彩在全国合法化。尽管联盟最初反对赌博,但现在他们从中获利巨大。然而,这种可及性助长了成瘾,问题赌博显著增加,尤其是在年轻男性中。 除了个人伤害之外,赌博的泛滥还会侵蚀对机构的信任。如今,三分之二的美国人怀疑运动员操纵比赛,腐败的可能性延伸到政治领域,引发了对政策受到个人经济利益影响的担忧。 最终,赌博业的兴起反映了更广泛的社会转变:传统价值观的衰落被以市场为导向的道德准则所取代,甚至悲剧也变成了逐利的良机。这创造了一个愤世嫉俗的局面,事件不再通过共同价值观来观察,而是被视为“提议”,可以赢或输,可能导致广泛的不信任和脱离。
## 预测市场:日益增长的担忧
一篇近期文章强调了预测市场扩张的潜在危险,超越了简单的预测,以及缺乏足够的监管。虽然被描述为赌博的漏洞,但担忧延伸到潜在的操纵和有害的激励机制。
Hacker News上的讨论显示,人们担心内幕交易——特别是关于政治和军事事件——以及个人从灾难性结果中获利的可能性。一些人认为这些市场与现有的金融系统没有区别,而另一些人则担心它们会创造积极*导致*负面事件发生的激励。有人将它们比作“暗杀市场”,以及为了经济利益而影响现实世界悲剧的可能性。
许多评论员指出现有的监管漏洞以及潜在的滥用可能性,特别是考虑到政治关系密切的个人和公司的参与。人们对伦理影响以及这些市场可能加剧社会问题的可能性表示担忧,尤其是在成瘾和诚信丧失方面。最终,讨论的中心是预测市场的潜在收益是否超过其带来的重大风险。
受《福尔摩斯大酒店》中巴兹尔·福尔提的绝望呼喊“别提战争!”的启发,这篇文章将焦点转移到另一种焦虑:正确的逗号用法。作者反思了逗号的常见滥用,尤其是在流水句中,以及语法规则经常存在的冲突。 最初为省略牛津逗号(列表中的最后一个“和”之前的逗号)进行辩护,很快就因为作者深入到围绕它的激烈争论中而瓦解。虽然最初对它的使用感到冒犯,但他们承认牛津逗号可以防止歧义,并举例说明它可以澄清名人血统或避免公共通知中的幽默误解。 最终,作者提倡深思熟虑的逗号放置,认识到僵化的规则可能会限制创造力。他们强调了逗号的力量——甚至是救命的潜力——用经典的例子:“Let’s eat Grandma”与“Let’s eat, Grandma”。这篇文章提倡理解和尊重逗号的细微差别,即使在现代短信和推文的“懒惰”语法中也是如此。
## Hacker News 上关于牛津逗号的争论
最近 Hacker News 上进行了一场关于牛津逗号(在包含三个或更多项目的列表中“and”之前的逗号)的讨论。用户们热烈争论其必要性,许多人认为它可以防止歧义。分享了一些例子,包括经典的“我想感谢我的母亲、艾茵·兰德和上帝”——省略逗号意味着一种可疑的关系。
反驳的观点集中在风格偏好以及*造成*歧义的可能性上,建议重新措辞或使用替代标点符号,如括号或破折号以提高清晰度。一些人指出,编程语言采用尾随逗号以方便编辑。
这场对话突显了语法细微差别以及一致应用所面临的挑战。一位评论员哀叹基础语法教学的衰落,而其他人则俏皮地捍卫他们个人的规则(或缺乏规则)。最终,这场讨论强调,虽然牛津逗号可以消除歧义,但它并非万能的解决方案,并且通常归结为风格选择和清晰的写作。
## TurboLite: S3 上的 SQLite TurboLite 是一个实验性的、基于 Rust 的 SQLite 虚拟文件系统 (VFS),旨在从 S3(或兼容 S3 的)存储提供数据库,具有低延迟——冷启动低于 250 毫秒。它旨在弥合本地磁盘和云存储性能之间的差距,利用 S3 Express One Zone 和 Tigris 等快速对象存储。 主要特性包括页面级别的 zstd 压缩和 AES-256 加密,以提高效率和安全性。TurboLite 针对 S3 的特性进行了优化:通过批处理和预取减少请求,最大化带宽,并处理不可变性。它通过智能地分组和缓存 SQLite 页面(内部页、索引页、数据页)并利用清单文件进行页面跟踪来实现这一点。 虽然仍在开发中,容易出现错误,但 TurboLite 为需要许多数据库(每个租户、工作区等)且传统卷不切实际的场景提供了一种潜在的解决方案。它作为 Rust 库、SQLite 扩展以及 Python、Node.js 和 Go 的语言包提供。基准测试表明性能显著提升,尤其是在使用更快的 S3 后端时,但性能因机器大小和配置而异。 **重要提示:** 这是一款实验性软件,可能会损坏数据。请谨慎使用。
对不起。
约翰·布拉德利,深受喜爱的本地乐队“助推巡逻队”的创始人,于3月20日去世,享年61岁。一位乐队成员创作了一首向布拉德利致敬的歌曲,以他标志性的风格为纪念。 歌曲描绘了布拉德利(“约翰尼·B”)抵达天堂,立刻被圣彼得和一支需要他独特音乐天赋的天使合唱团招募。他手持一把金色的芬达吉他,用他标志性的“沼泽音”——一种美丽而忧伤的布鲁斯混合——充满天堂,吸引了天使,甚至感动了圣马太流泪。 天堂并不追求完美,而是渴望他演奏中原始的情感,这种声音源于多年来的“悲伤”和“故事”。现在,“在金色街道上尽情演奏”,约翰尼·B继续演奏他热爱的音乐,最终找到了终极的满足。
## XV 的作者约翰·布拉德利逝世
XV 流行图像查看器的作者约翰·布拉德利已去世。他的去世消息最初通过 voxday.net 上的帖子传出,并在 Hacker News 上链接,但由于对该网站内容的问题,该链接后来被替换。
布拉德利的 XV 于 1990 年代发布,深受许多 Linux 和 Unix 用户的喜爱,以其速度、稳定性和独特功能而闻名——包括一个强大的颜色编辑器。一位用户分享了为扫描业务授权 XV 的故事,在十年内为布拉德利带来了可观的收入。该软件即使最近也得到了积极维护,社区接手了开发。
除了 XV,布拉德利还是一位音乐家和平面设计师。最初的公告来自他的乐队成员,突出了他多方面的才华。他去世的消息引发了对“共享软件黄金时代”以及个人开发者热情的讨论,并与现代软件开发实践形成了对比。虽然找到中立来源很困难,但这一消息促使许多人怀念 XV 及其影响。
## LLM 与追求零自由度 最近的实验表明,基于 LLM 的编码代理(如 Claude 和 Codex)在受限任务中表现出潜力——擅长处理复杂的 API 或修复错误。然而,当赋予它们过多的自由时,它们经常会产生有缺陷或无意义的代码。解决方案?**通过“可执行预言机”来最小化 LLM 做出错误选择的能力。** 这些预言机,从简单的测试用例到复杂的工具(如模糊测试器和静态分析器),提供自动反馈。虽然单独的测试套件不足以保证质量(如 Claude 的 C 编译器在通过测试后仍然存在错误),但像 Csmith 和 YARPGen 这样的工具,它们编码了大量的测试集,被证明更有效。 关键在于*约束*自由度。成功的案例包括使用 Codex 改进数据流传递函数合成,并由精确性和可靠性检查引导,以及创建具有广泛测试的 JustHTML。 至关重要的是,软件架构和代码可维护性等领域仍然难以自动化,需要人工干预。有效的实施需要快速、确定性和文档完善的工具,以及清晰的 LLM 流程手册,优先考虑强制步骤和冲突解决。最终目标是接近**零自由度**——确保 LLM 在严格控制的参数内运行,以提供可靠的结果。
对不起。
## 发酵食品与人类进化的意外联系 我们的免疫系统可能是在*期望*发酵食品(如酸菜)的情况下进化而来的。最新研究表明,这些食品中的一种分子,苯乳酸(D-PLA),会激活人类免疫细胞上的受体(HCA3),从而引发抗炎反应。令人惊讶的是,这个受体是人类和大型猿类独有的,仅在几百万年前出现——表明存在协同进化关系。 数千年来,发酵——利用微生物来保存和转化食物——一直是人类饮食的基石。这不仅仅是一种保存技术;它可能*塑造*了我们的生物学。证据表明,发酵帮助早期人科动物消化新的食物,例如含有乙醇的发酵水果(为此我们开发了一种特定的酶),并解毒植物毒素。解剖学上的变化,如较小的肋骨和较短的消化道,甚至可能与通过发酵进行的“外部消化”有关。 然而,20世纪向无菌、加工食品的转变,在很大程度上将发酵食品从西方饮食中移除。目前的研究,受到微生物组研究的进步推动,正在揭示这些食品对肠道健康、炎症以及潜在的整体健康产生的深刻影响。理解这些复杂的相互作用至关重要,像Microcosm Foods这样的项目正在构建全面的数据集,以释放发酵食品对人类健康的全部潜力。
## 发酵食品与人类健康:摘要
一篇Hacker News讨论围绕着一篇探讨发酵食品对人类生物学的重要影响的文章展开。用户分享了制作和食用发酵食品的个人经验,例如酸菜、康普茶、开菲尔和泡菜,并注意到改善消化和减少胃部不适等益处。
对话强调了发酵的简单性——即使像盐渍卷心菜这样基本的方法也有效——同时也承认了配方和技术的差异。一些用户指出历史背景,认为发酵食品在祖先的饮食中比目前认识到的更为普遍,并争论了文化习俗在食用中的作用。
除了个人益处外,讨论还涉及更广泛的健康影响,包括与肠道健康、炎症甚至癌症发生率的潜在联系。一位用户提醒不要仅仅依赖发酵食品,提倡以全食物、未加工食品为重点的饮食。人们对益生菌产品(如养乐多)的营销提出了担忧,并对未经证实的健康声明表示怀疑。最终,该讨论强调了发酵食品作为整体健康方法的一部分的潜力。
该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。 提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。