Bundler 4.0.13 引入了“冷却期”(cooldown)这一安全功能,旨在通过防止立即安装新发布的 Gem 来缓解供应链攻击。由于许多攻击利用了恶意版本发布与开发者不知情安装之间短暂的时间窗口,冷却期功能允许用户设置强制性的老化周期(例如 7 天),在此之前新版本无法被解析。 该功能为可选,且具有高度灵活性,可通过 `Gemfile`、全局设置、环境变量或命令行参数进行配置。它利用了 Rubygems.org v2 索引现已提供的 `created_at` 时间戳。当冷却期生效时,`bundle install` 将跳过尚未达到老化要求的版本,而 `bundle outdated` 则提供对被暂缓更新版本的可见性。 至关重要的是,冷却期包含一个“紧急出口”:用户可以设置 `--cooldown 0` 来立即安装关键的安全补丁或紧急修复程序。此功能补充了现有的双因素认证(2FA)和可信发布等安全措施,增加了一层保护,确保代码在被引入项目之前经过了充分的审查。现有的 `Gemfile.lock` 文件不受影响,确保这一新策略不会意外干扰您的当前环境。
每日HackerNews RSS
这篇 Hacker News 的讨论探讨了为 Ruby Bundler 更新引入“冷却期”(cooldown)以防范供应链攻击的建议。
许多用户认为,自动化依赖更新(如 GitHub 的 Dependabot)因为鼓励对新版本“盲目”信任,反而无意中加速了恶意软件的传播。支持者认为,冷却期——即更新前的强制等待时间——能为安全公司、自动化扫描工具和广大社区提供时间,在恶意代码进入生产环境之前将其识别出来。
然而,批评者提出了“志愿者困境”的担忧:如果每个人都在等别人去做“小白鼠”,系统可能会陷入停滞。另一些人则指出,攻击者可能会将恶意代码伪装成“紧急安全补丁”来绕过延迟。此外,关于安全问题是应完全交给专业的发布前扫描工具,还是依赖用户驱动的采用,也存在争议。
归根结底,参与者将冷却期视为便利性与风险管理之间的一种权衡,并指出用户必须决定是否愿意为了更高的安全性而牺牲速度。尽管存在缺陷,许多人仍将其视为现代软件供应链健康发展的必要演进。
俄罗斯用户在尝试访问被封锁的网站时,近期会看到中文错误提示:“该网址已被列入黑名单”。调查显示,这些信息来自“技术手段对抗威胁系统”(TSPS),即俄罗斯联邦通信、信息技术和大众传媒监督局(Roskomnadzor)安装用于执行互联网审查的“黑匣子”。 技术分析表明,这些系统使用了由中国联通提供的深度包检测(DPI)技术。中国联通是一家国有电信巨头,也是中国“防火长城”的关键开发商。根据法律规定,这些设备必须向中国国家安全部提供对数据和系统代码的完全访问权限,这引发了人们对间谍活动及俄罗斯关键基础设施安全的高度担忧。 讽刺的是,“主权互联网”(Runet)项目旨在确保摆脱对外国技术的依赖,却实际上将俄罗斯的互联网监控外包给了中国的基础设施。由于对这种先进外国 DPI 系统的依赖,标准的 VPN 协议极易被检测和封锁。为了应对这一情况,需要使用 VLESS Reality 等高级隐身协议来掩盖流量,从而绕过这些高层过滤措施,保护用户免受国内审查和潜在的外国数字监控。
```Hacker News新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交登录调查:俄罗斯审查系统(TMCT)暴露了中国的深度包检测(DPI)签名 (freenet.monster)13 分,由 aliowka 发布于 1 小时前 | 隐藏 | 过往 | 收藏 | 2 条评论 帮助
red-iron-pine 1 小时前 | 下一条 [–]
> 为了保护其公民免受全球互联网的影响,俄罗斯当局实际上已将俄罗斯互联网(Runet)变成了中国互联网网络的科技附庸。整个国家都在朝着这个方向发展;成为了中国的附庸。正如别人所说,“中国的加拿大”。回复yosefk 38 分钟前 | 父评论 | 下一条 [–]
说“中国的乌克兰”更贴切些回复
指南 | 常见问题 | 列表 | API | 安全 | 法律 | 加入 YC | 联系
搜索:```
程序员常抱怨,同事们在为 Claude 这类 AI 工具编写文档时,比为人类同事编写文档要积极得多。然而,作者建议转换视角:将 AI 生成的文档视为宝贵的项目资产。 作者现在会指导 Claude 在整个项目生命周期中维护“交接”文档。在每个项目结束时,他们会要求 Claude 生成一份结构化的高层级摘要,概述所解决的问题及实施的变更。在审阅和编辑这些摘要(确保其达到与人工编写文档相同的标准)后,作者会将它们提交到代码仓库中。 这一流程大幅提升了效率:人工原本需要一小时才能完成的任务,AI 只需几秒钟即可起草完毕,且人类仅需极少的时间进行审阅。通过归档这些 AI 生成的摘要,开发者为未来的团队成员留下了有价值的记录,有效地弥合了机器辅助开发与协作知识共享之间的鸿沟。作者建议将这些 AI 输出视为专业工作成果,确保其经过核实并整合进项目的永久记录中。
这篇 Hacker News 讨论探讨了一个讽刺现象:程序员们越来越愿意为 Claude 等 AI 模型编写文档,尽管他们历来在为人类同事编写文档时往往表现怠慢。
贡献者们从多个角度解读了这种转变:
* **实用性**:开发者们认为,为 AI 编写文档更具“生产力”,因为与人类同事不同,Claude 确实会解析这些指令。
* **“垃圾信息”问题**:持怀疑态度的人指出,以 AI 为中心的文档(如 `CLAUDE.md` 文件)往往容易过时、不准确,或导致对项目架构产生“幻觉”,从而陷入“垃圾进,垃圾出”的循环。
* **效率质疑**:一些用户质疑花费在调整提示词(Prompt)和维护 AI 配置上的时间是否真的提高了生产力,还是仅仅演变成了一种替代实际编码的新型拖延方式。
归根结底,虽然开发者们认可 AI 能够有效利用技术文档,但他们仍对维护负担以及因引入不可靠的、以 AI 为中心的指令而导致代码库被污染的风险保持警惕。
``` mouseless 通过键盘实现极速鼠标控制 启用 JavaScript 此网站需要 JavaScript 才能正常运行。请在您的浏览器设置中启用 JavaScript。 ```
这篇 Hacker News 讨论聚焦于“Mouseless”的发布,这是一款用于 macOS、Linux 和 Windows 的键盘控制工具。尽管一些用户认可这种无需鼠标的操作方式,但各方评价褒贬不一。
批评者认为,需要基于坐标的键盘工具是界面设计糟糕的体现,并指出相比于以往依赖助记符和原生键盘工作流的软件,现代应用程序在易用性上反而有所退步。许多贡献者强调,虽然 Linux 和 Windows 等操作系统提供了强大的内置键盘导航功能,但这些功能往往缺乏文档说明,难以被用户发现。
讨论还凸显了用户对开源方案胜过专有软件的偏好,并分享了诸如 warpd、wl-kbptr 和 mousemaster 等免费替代品。总的来说,虽然一些人将键盘驱动输入视为提高生产力的手段,并将其与 Vimium 等工具相提并论,但另一些人仍持怀疑态度,质疑在触控板技术高度发达的时代,这类软件是否有存在的必要。
这篇文章挑战了里根经济学时代的观点,即极端财富积累会像“潮水”一样带动整体经济。通过对比 1988 年的亿万富翁阶层与当代的超级富豪,作者指出,财富的增长速度已远远超过了通货膨胀。 作者利用生动的比喻——例如一百万与十亿之间在时间和规模上的巨大差异——论证了现代财富集中已经超出了“经济效用”的范畴,演变成了一种社会扭曲。文章提出,当财富达到一定阈值后,个人便会脱离现实,因为极端的资本使他们能够免受失败、后果以及通常能促进道德发展的社会反馈机制的影响。 归根结底,作者质疑我们是否真的需要拥有千亿净资产的个人来驱动创新。他们提议社会应设立财富上限,以防止个人行使过度的政治和经济控制。作者最后总结道,要改变这一趋势,就需要选出那些将公共利益置于亿万富翁利益之上的领导人,并主张回归一个将问责制和共同繁荣置于不受限制的积累之上的社会。
Hacker News 上关于“我们需要亿万富翁吗?”的讨论,反映了人们对于极端财富及其社会影响的严重分歧。
支持财富积累的观点通常认为,亿万富翁作为独立的权力来源和高效的资本配置者,通过竞争性的创始人主导型企业推动了创新。支持者认为,限制财富的尝试会扼杀雄心、损害经济,并迫使创始人放弃对其企业的控制权。
相反,批评者认为,亿万富翁的财富集中削弱了民主,助长了寡头政治,并使个人能够对公共政策和信息施加过度影响。许多评论者指出,由于超级富豪通常以股票而非传统收入形式持有财富,现行的税收制度无法解决这一问题。建议的解决方案包括对资产和土地征收高额税,以及拆分大型垄断企业以促进竞争。
这场辩论的深层分歧在于:极端不平等究竟是成功的全球化经济的必然产物,还是一种剥夺了弱势群体基本需求的系统性失败?归根结底,这场讨论突显了人们在亿万富翁这一身份究竟是社会净收益还是对民主平等的生存威胁这一问题上,缺乏共识。
Nango (YC W23, 开发基础设施) 正在招聘资深后端工程师。 Nango (YC W23, dev infra) is hiring staff back end engineers
17 小时前
**全面远程**:我们的全球团队使用现代工具远程办公,重视成果而非工时。 **开源精神**:我们倡导透明、社区参与以及对开发者友好。 **开发者工具**:为同行打造产品,解决你所熟悉的痛点,并享受快速反馈循环。 **技术挑战**:从开发体验(DevExp)到大规模扩展,再到 API 碎片化,我们致力于攻克各种技术难题。 **专家引领**:我们的核心团队由来自 Uber、Netlify 和 Algolia 的基础设施专家组成。 **强劲发展**:公司营收与用户量增长迅速,现在正是加入的最佳时机。
arXivLabs 是一个允许合作者直接在我们的网站上开发并分享 arXiv 新功能的框架。与 arXivLabs 合作的个人和组织都认同并接受我们对于开放、社区、卓越和用户数据隐私的价值观。arXiv 致力于践行这些价值观,并仅与遵守这些价值观的合作伙伴开展合作。您是否有意开展一个能为 arXiv 社区创造价值的项目?了解更多关于 arXivLabs 的信息。
Hacker News
最新 | 过往 | 评论 | 提问 | 展示 | 招聘 | 提交
登录
我们花了 50 美元去测量 Pearl 的“AI 挖矿”——32 万张 GPU 产出的 AI 成果为零 (arxiv.org)
24 点 | abhinaba_ai 发布于 1 小时前 | 隐藏 | 过往 | 收藏 | 2 条评论 | 帮助
codexetreme 9 分钟前 | 下一条 [-]
所以这又是为了某种随机的互联网货币而浪费电力和能源?
回复
LogicFailsMe 2 分钟前 | 父评论 | 下一条 [-]
显然,由于浪费电力的诚实想法已经用完了,他们正在创造一个新的自由市场微观经济来维持这种兴奋感。也许是时候在这个领域也建立预测市场,将其提升到一个新的水平了?我本人非常支持 AI,但那些能够使用大型 GPU 集群的人,在计算效率方面大多不是合适的人选。
回复
指导原则 | 常见问题 | 列表 | API | 安全 | 法律 | 申请 YC | 联系
搜索:
Redis 8.8 带来了显著的性能提升和多项强大新功能,旨在提高开发效率和应用的可扩展性。 **性能提升** Redis 8.8 在核心数据类型的端到端吞吐量方面实现了大幅增长。其中,**XREADGROUP** 性能提升高达 83%,**有序集合**(ZADD、ZRANGE)操作提升高达 74%,**MGET** 性能提升高达 68%。此外,持久化和全量复制的速度也提高了 60%。 **主要功能** * **数组(Array)数据结构**:一种高性能、支持索引寻址的容器,支持动态调整大小、稀疏存储和内置服务端聚合,非常适合滑动窗口和日志管理。 * **窗口计数限流器**:新增 `INCREX` 命令,通过提供服务端窗口化、过期控制和边界强制执行,简化了限流操作,无需再使用 Lua 脚本。 * **流(Streams)NACK 机制**:`XNACK` 命令允许消费者显式释放消息,并将其优先重新投递给其他消费者。 * **子键通知**:Hash 类型现在支持字段级别的事件通知,例如过期或删除。 * **JSON 与时间序列**:用户现在可以为 JSON 数组指定浮点精度(BF16–FP64),并在单个时间序列查询中执行多个聚合器。 * **有序集合 COUNT**:用于并集/交集操作的新聚合器,根据集合成员的出现频率对元素进行评分。
Redis 8.8 引入了全新的原生数组数据结构、集成式速率限制器以及多项性能改进。
尽管有这些更新,Hacker News 的用户仍在讨论该工具目前的局限性及其在现代架构中的角色。批评者认为,Redis 仍然缺乏类似于 SQLite 的简单“嵌入式”模式,且其高可用性(HA)配置依然过于复杂。
讨论还涉及了生态系统的转变,特别是关于 Redis 与 Valkey 分裂的持续争议。用户指出,转向 Valkey 可以带来显著的成本节约,例如在 AWS 上可降低 33% 的成本。此外,虽然一些人认为 Redis 应保持简单的内存缓存定位,但另一些人则强调,随着其演变为消息队列(通过 Streams)和会话存储,它需要更强大且简化的 HA 解决方案,以避免单点故障。
请启用 JavaScript 和 Cookie 以继续。
Hacker News 上的一场讨论探讨了一份详细报告,内容涉及美国前烟草巨头如何将其营销和基于成瘾性的策略应用于全球超加工食品行业。
评论者对这些影响看法不一。一些用户认为,“烟草式”策略是现代营销的通用手段,并指出这种批评应适用于整个行业。另一些人则争论“超加工”这一术语的有效性,有人认为其定义模糊,而另一些人则指出,人工设计高盐、高糖、高脂食品所带来的健康风险是显而易见的。
争论的核心点在于,问题究竟在于这些企业的效率,还是其利益驱动的动机。尽管一些用户承认这些公司将盈利置于营养价值之上,但另一些人则强调了“设计成分”和旨在最大化消费的秘密化学配方所起的作用。归根结底,该讨论反映了人们对企业在食品生产中影响力的普遍怀疑,并将烟草公司过往的做法与现代食品行业对成瘾性、超适口产品的关注进行了类比。
**lowfat** 是一款轻量级的本地优先命令行工具,旨在通过在 CLI 输出传送到 AI 智能体之前过滤掉不必要的内容,从而最大限度地降低 AI Token 成本。通过精简冗长的命令响应,它确保你的 Token 只用于关键数据。
**核心功能:**
* **可组合且可扩展:** 遵循 UNIX 风格的管道设计哲学,允许用户将内置过滤器与自定义插件结合使用。
* **以用户为中心:** 提供透明的历史记录追踪,让你能够监控节省的成本,并根据特定工作流自定义过滤器。
* **通用集成:** 可与 Claude Code、OpenCode 和 Pi agent 等工具无缝协作。通过直接前缀、Shell 初始化或智能体特定的配置钩子即可使用。
* **精细化控制:** 可调整压缩强度(从“轻量”到“极致”),并利用专用 DSL 轻松开发自定义插件。
* **注重隐私:** 完全在本地运行,无任何遥测数据,确保你对数据拥有完全的所有权。
通过 `cargo` 或 Homebrew 即可轻松安装。无论你是要优化 CI/CD 流水线还是处理日常终端任务,`lowfat` 都能提供必要的洞察力和控制力,让你的 AI 交互保持高效且经济。
“Lowfat”是一款全新的轻量级命令行(CLI)工具,旨在通过过滤冗长的命令行输出来减少大语言模型(LLM)的令牌消耗。它作为 Shell 包装器或代理钩子,能够在 `kubectl` 或 `docker` 等命令发送给 LLM 之前,剔除其中不必要的干扰信息。
开发者报告称,在两个月的使用过程中,该工具将令牌使用量降低了 91.8%。其主要功能包括:
* **插件化架构:** 用户可以针对特定命令创建自定义过滤器,非常适合专有或内部命令行工具。
* **类 UNIX 的组合性:** 支持基于管道的工作流和可调的过滤强度,使用户能够在节省令牌与避免误删关键诊断信息(如堆栈跟踪)之间取得平衡。
* **本地优先设计:** 该工具注重隐私,不包含任何遥测数据,并承诺确保用户数据留存在本地。
尽管用户担心删除必要数据可能带来风险,但 Lowfat 为开发者提供了一种可定制的方式来优化 LLM 交互,在不牺牲实用性的前提下控制使用限额。该项目现已在 GitHub 上线。