MemeData

Trivy再次遭受攻击：广泛的GitHub Actions标签泄露密钥 Trivy under attack again: Widespread GitHub Actions tag compromise secrets 38 天前

该网站正在使用安全服务来保护自身免受在线攻击。您刚才的操作触发了安全解决方案。提交特定词语或短语、SQL命令或格式错误的数据等行为可能会触发此阻止。

## Trivy 遭受攻击：GitHub Actions 被攻破 Trivy，一款流行的漏洞扫描器，已多次被攻破，攻击者利用 GitHub Actions 工作流中的弱点。一名威胁行为者通过泄露的凭据获得了访问权限，并能够发布恶意 Docker 镜像，影响依赖 Trivy 进行安全检查的用户。这是该行为者发动的*第三次*成功的攻击，凸显了凭据管理和安全实践方面持续存在的问题。核心问题在于能够在 GitHub Actions 中覆盖标签，允许攻击者用恶意版本替换合法的版本。虽然 GitHub 提供了不可变发布的特性，但默认情况下并未强制执行。讨论的重点在于安全（固定版本）与及时更新安全补丁之间的权衡，以及 GitHub Actions 中对更好的包管理原语的需求，例如官方 lockfile。该事件强调了依赖第三方工具的风险以及采取健全安全措施的重要性，包括沙箱化、限制凭据访问和主动监控。许多评论员指出 GitHub Actions 以及更广泛的安全行业中存在系统性问题，复杂工具往往会引入新的漏洞。

C语言中的副作用表达式 (2023) Side-Effectful Expressions in C (2023) 38 天前

这篇文章探讨了作者创建新的系统编程语言编译器的动机，源于对C语言的挫败感。核心论点在于区分“表达式”（用于计算）和“语句”（用于副作用），认为C语言经常模糊这两者之间的界限，从而阻碍了可读性和安全性。具体而言，作者批评了C语言的赋值以及前/后增/减表达式。这些将计算和副作用结合在一起，可能导致未定义行为（例如在`++x * powi(x, 2)`中），并使代码更难理解。来自经典C代码的例子（如`itoa()`和`memcpy()`）表明，虽然这些特性有时很简洁，但可能会掩盖意图。作者承认简洁的C代码具有一种风格上的优雅，但最终认为将计算和副作用分离带来的清晰度超过了简洁性。他们建议将增/减操作限制为语句，消除潜在的危害，同时保持便利性。文章强调，C语言的灵活性虽然强大，但可能会引入微妙的错误和认知负担，从而证明了追求一种更精心设计的语言的合理性。

对不起。

展示HN：Threadprocs – 共享一个地址空间的执行文件（零拷贝指针） Show HN: Threadprocs – executables sharing one address space (0-copy pointers) 38 天前

该项目探索了“threadprocs”——一种在Linux (aarch64/x86_64) 上融合进程和线程模型的新方法。Threadprocs 行为类似于拥有自己运行时（libc 等）的独立程序，但它们在共享地址空间内运行，从而能够通过直接指针操作实现零拷贝数据共享。该系统使用一个服务器来托管共享空间，并使用一个启动器来启动其中的程序。应用程序通过“带外”方式（例如，通过复制/粘贴或套接字）共享指针，然后直接访问这些地址上的数据。一个服务器全局的暂存空间，通过扩展的 auxv 条目访问，可以促进服务发现和 IPC。主要限制包括无法可靠地使用 `brk()`/`sbrk()`，调试工具如 `ptrace()`，以及需要位置无关代码。至关重要的是，内存必须在*同一个* threadproc 内分配和释放，防止跨 threadproc 的释放。尽管具有挑战性，该项目展示了一种替代传统 pthreads 的潜在方案，提供了一种独特的共享内存和进程间通信方法。一个框架 `tproc-actors` 建立在这个概念之上，并具有自定义内存管理方案。

对不起。

OnlyFans 创始人莱昂尼德·拉德文斯基因癌症去世，享年43岁。 OnlyFans owner Leonid Radvinsky dies of cancer at 43 38 天前

请启用 JavaScript 并禁用任何广告拦截器。

对不起。

是一品脱吗？ Is it a pint? 38 天前

纳米定位测量，哥德尔，和自举法 Nanopositioning Metrology, Gödel, and Bootstraps 38 天前

## 纳米定位系统特性总结表征纳米定位系统需要理解频域（使用FFT分析识别共振）和时域行为。虽然频率分析可以揭示共振频率，但缺乏时间和位置的相关性，并且依赖于外部测量，例如激光振动测量，才能获得准确的结果。与阶跃系统不同，闭环压电定位器由于其模拟特性，理论上具有无限分辨率。然而，实际分辨率受微摩擦和电子噪声的限制，通常约为测量到的峰峰值噪声的1/6（1σ）。重要的是，分析定位器实现的*离散步进*——即使在纳米级尺度下——也能提供有关系统稳定性、可重复性和整体性能的宝贵见解，直接反映系统在实际应用中的功能，例如成像和对准。这些图形数据补充了统计噪声测量，从而实现全面的系统评估。

对不起。

美国允许私营公司“反击黑客” America tells private firms to “hack back” 38 天前

启用 JavaScript 和 Cookie 以继续。

## 美国鼓励私营企业“反击” – 摘要美国最近的政策转变鼓励私营公司积极防御网络攻击，甚至授权它们“反击”攻击者。此举类似于历史上的“委任状”，旨在应对网络攻击日益频繁和大胆，特别是来自国家支持的攻击者。然而，这一想法引发了争论。人们担心公司是否具备有效反击的专业知识，以及误判和冲突升级的风险，以及潜在的法律后果——尤其是在国际上。一些评论员指出，准确识别攻击者很困难，并且无意中伤害无辜方的危险。讨论还涉及更广泛的网络安全责任问题，有人认为系统所有者应承担安全责任，无论攻击的复杂程度如何。另一些人质疑在威胁不断演变和即使是最强大的防御也存在局限性的情况下，实现真正安全的实用性。最终，这项政策引发了关于网络战私有化以及潜在的意外后果的问题。

Cyber.mil serving file downloads using TLS certificate which expired 3 days ago 38 天前

iPhone 17 Pro 演示运行 400B LLM iPhone 17 Pro Demonstrated Running a 400B LLM 38 天前

研究：‘安全疲劳’可能削弱数字防御 Study: 'Security Fatigue' May Weaken Digital Defenses 38 天前

启用 JavaScript 和 Cookie 以继续。

对不起。

每日HackerNews RSS