前沿资讯

12月22日,Spring官方发布了Spring Boot 2.5.8版本,此版本包括46个错误修复、文档改进和依赖项升级。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.8</version> <relativePath/> <!-- lookup parent from repository --></parent> 缺陷修复 DatabaseInitializationDependencyConfigurer触发工厂Bean的饥饿初始化 #28977 当应用程序依赖...

Spring Boot Admin 2.5.5 发布,这是一个错误修正版本。现在可以从 maven 仓库 下载 <dependency> <groupId>de.codecentric</groupId> <artifactId>spring-boot-admin-starter-client</artifactId> <version>2.5.5</version></dependency><dependency> <groupId>de.codecentric</groupId> <artifactId>spring-boot-admin-starter-server</artifactId> ...

1、漏洞简介Apache Log4j 2是一款优秀的Java日志框架。该工具重写了Log4j框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。由于Apache Log4j 2某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 2、漏洞危害漏洞利用无需特殊配置,攻击者可直接构造恶意请求,触发远程代码执行漏洞。 3、漏洞编号暂无 4、影响范围Apache Log4j 2.x <= 2.14.1 5、修复措施建议排查Java应用是否引入log4j-api , log4j-core 两个jar,若存在使用,极大可能会受到影响,强烈建议受影响用户尽快进行防护 。 升级Apache Log4j 2所有相关应用到最新的 log4j-2.15.0版本 升级已知受影响的应用及组件,如: spring-boot-strater-log4j...

10月21日,Spring官方发布了Spring Boot 2.5.6版本,此版本包括 43 个错误修复、文档改进和依赖项升级。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.6</version> <relativePath/> <!-- lookup parent from repository --></parent> 缺陷修复 由于 R2DBC 优先于 JDBC,jOOQ 的 DSLContext 不可用时的误导性故障分析#28379 启用延迟初始化,JMX 端点...

昨天,有网友在群里说在GitHub上发现了色情网站! GitHub上怎么会有色情网站呢?网友给出了下面的截图: 这个出现在Go标准库中的Issue里面,有一个url… 该Issue地址:https://github.com/golang/go/issues/48886 DD小心翼翼的复制到浏览器,打开…不可描述的画面出现了… 这个事情传开后,也引来了一些中国开发者的围观: 也有群友表示,这网站中文的,肯定是中国人提交的,真给国人丢脸… 谁提交了这段代码?那么到底是谁提交了这段代码呢? 从issue中,我们可以看到这个url出现在这个文件中:go/src/sync/example_test.go 可惜点开“History”,并没发现相关的提交信息: 仔细看提交时间!居然这个黄色站点的URL在7年前就被植入了! 继续翻看历史,DD找到了10年前的代码: 点开它,惊人的一幕...

一直关注Java的小伙伴想必或多或少听说过业界两位大佬,谷歌和甲骨文那场旷日持久的关于Java代码的侵权诉讼案,案件索赔高达近百亿美元。 事情的起因在于2010年甲骨文收购Sun之后获得了Java技术的一系列知识产权,随即起诉另外一位业界巨头谷歌,称其开发安卓系统时非法复制旗下子公司的Java api代码数万行。从而开始了一场十年的拉锯战: 2010 年,甲骨文起诉谷歌侵犯了与 Java 相关的专利和版权,初步索赔 80 亿美元; 2012 年 5 月,加州北区联邦法院裁定谷歌没有侵犯 Java 版权,Java API 不受版权保护;同年 10 月,甲骨文上诉至联邦巡回上诉法院。 2014 年,美国联邦巡回上诉法院推翻了一审部分结论,称必须尊重软件的版权保护,甲骨文赢得上诉,此案被发回重审。甲骨文此时将索赔提升至93亿美元。同年 10 月,谷歌申请美国联邦最高法院听审此案。 201...

大千世界无奇不有,尤其是现在的互联网时代,赚钱的法子真是千方百计,只有你想不到没有别人做不到。 国外有一位小哥,就靠emoji表情大赚了一笔。emoji表情,相信很多人都很熟悉,各种可爱的造型让人爱不释手。 但是这位小哥,是靠emoji表情域名发达的,最终在TikTok上走红,每周能赚1000美元,是不是不敢相信? 我们一起来看看他是怎么做到的 最初的时候,小哥只是想买一个域名netflix.soy. 在花了17美元之后,小哥对域名也有了一定的了解,并且突发奇想想着可以用emoji表情作为域名。当时小哥只是觉得有意思,毕竟平时可不太见到emoji表情的域名。 所以,小哥做出一个决定,买一个emoji表情的域名。 找来找去,小哥先是找到一个网站,可以用4种不同的TLDs来拓展emoji表情作为域名。(.fm, .ws, .to , .ml) 不过可惜的是,几乎都被人买了,看来像这个...

作为目前应用最为广泛的软件开发管理软件,JIRA、Confluence等产品几乎被所有的科技型公司所应用。我们的每天的任务管理、文档编写等工作几乎都在这些软件的帮助下进行和管理。当然我也不例外,在读书时候就已经是Atlassian公司的忠实用户,不论在工行、在永辉还是独立创业,在软件研发管理上,这套软件的应用一直都是我所推崇和首选的,在我的博客中(didispace.com)也有分享过相关的应用经验。 前些日子,Atlassian公司宣布:从2021年2月2日开始,将停止销售新的本地化部署服务许可证,并停止对本地化部署产品的新功能开发。 同时,在其官方的Self-Managed部分也可以看到相关提示: 本次停售所影响的产品不光我们最常用的Jira、Confluence还有:Crowd(统一认证工具,类似LDAP)、Bamboo(持续交付工具,类似jenkins)、Bitbuck...

前几日,Redis 创始人 Salvatore Sanfilippo 在他的个人博客(http://antirez.com/)上宣布将结束自己的 Redis 之旅! 博客全文如下,原文地址:http://antirez.com/news/133 Salvatore Sanfilippo 的退出,并不是对 Redis 本身的失望,而是由于日复一日的开源维护工作,让其感到疲惫与厌倦。对于 Redis 的后续维护工作将交给他的几位同事负责,而自己准备退居二线,后续将成为 Redis 实验室的一员,为 Redis 的未来提供创意与想法。而未来要做什么,Salvatore Sanfilippo 表示还未有明确的规划,但会用更多的时间去做自己真正想做的事,比如:写技术博客或录制视频等。 其实对于,Salvatore Sanfilippo 的退出,可能并不意外。在一年之前,他就曾经在其个人博客中...

最近真的是活久见了…不知道你是否也有碰到之前Fork过的国外开源项目,最近突然崩了,原因居然是好多项目都把master分支改为了main分支!更可怕的是修改原因居然是涉及种族歧视。用了那么多年的master,居然是种族歧视?到底发生了什么? 运动的发起这次的 master 改 main 的倡导运动发起自知名技术博主 Scott Hanselman。6月8日 Scott 发文呼吁将你的Git默认分支从master修改为main: Scott认为:IETF中所指出的Master-Slave是具有不恰当的隐喻,不论从技术上还是历史上,这个描述都不够准确,所以他希望可以修改关于主分支的描述词为 main,同时还给出了详细的修改方法。 更多详细倡导内容可见 Scott 的原文:https://www.hanselman.com/blog/EasilyRenameYourGitDefault...

Redis的作者在博客上宣布:Redis 6.0.0 稳定版发布了。 原文地址: http://antirez.com/news/132 那么,从RC1到今天,除了稳定之外,还有什么变化呢? 重新设计了客户端缓存,特别是放弃了caching slot,而只使用key names。 现在Redis支持这样一种模式:如果用于复制的RDB文件不再有用,它将立即删除。在某些环境中,最好不要将数据放在磁盘上,而只放在内存中。 acl在特点方面变得更好。首先,有一个新的ACL日志命令,它允许查看所有违反ACL的客户机、访问不应该访问的命令、访问不应该访问的密钥,或者验证尝试失败。日志实际上在内存中,因此每个外部代理都可以调用“ACL log”来查看发生了什么。这对于调试ACL问题非常有用。 改进了复制协议PSYNC2。Redis能够更频繁地部分重新同步,使副本和主副本找到公共偏移。 带有超时的...

Python 2.7 于 2020 年 1 月 1 日正式停止维护,这也意味着 Python 2 完全退休,现在是 Python 3 的时代。 Python 之父两年前就已宣布 Python 2.7 将于 2020 年 1 月 1 日终止支持,现在这一天已经到来。Python 社区开发和共享的软件存储中心 Python Package Index(PYPI)的大多数流行软件包现在都可以在 Python 2 和 3 上运行,并且每天都在增加,Python 2 的退休将会影响数百万系统的安全性。 由于 Python 2 与下一代 Python 3 的兼容性问题,关于 Python 2 的退休一直以来都是开发者与各公司关注的重点,因为在 2 代退休前,需要确保业务都尽可能迁移到 3,方便系统后续维护与跟进。目前一些知名项目都已经做好了相应的准备,例如 NumPy、Requests 和 T...

Python 软件基金会近日发文宣布,收到来自 Mozilla Corporation 和 Chan Zuckerberg Initiative(CZI)的资金赞助,共计 407,000 美元。这笔款项将用于支持 pip (Python 软件包安装程序)2020 年的工作开展。“几乎整个 Python 软件项目的生态系统都依赖于 pip,该项目将帮助每个人更轻松地安装软件、诊断和修复问题以及维护基础架构。” Python 软件基金会已对此制定了详细的三阶段工作计划: 第一阶段将在 2020 年初进行,包含一些基础工作; 第二阶段称为分解工作(resolver work),计划于 2020 年 3 月至 6 月进行; 第三阶段定于 2020 年 6 月至 12 月进行,重点是维护和可持续性工作。 具体到每笔款项,也已经有了相应规划。Mozilla 开源支持奖提供的 207,000 ...

难得可以一天都窝在家里写代码,没太注意朋友圈和群里的消息。下午出门打开微信,马上就被“拼多多被薅羊毛”的文章吸引了眼球。基本上把群里、朋友圈里以及各大新闻App刷了个遍,根据网上传言 + 官方回应基本就是这么个事儿: 微博爆料:拼多多出现重大Bug:100 无门槛券随便领,一晚上被薅200亿 官方回应:有黑灰产团队利用漏洞牟利,已报警处理。 官方辟谣:被薅200亿是谣言,实际损失或低于千万元 对于网络上的各种其他诸如:半夜被叫起来撸羊毛、疑似拼多多员工回应部门年终奖泡汤、不要发货对已下订单进行砍单处理等消息,由于缺乏真实性依据,就不多说了。反正,一个事实:漏洞是真的,被薅羊毛也是真的! 问题出在哪儿?薅羊毛这个词是所有电商平台一直以来都存在的。由于电商与线下的竞争,电商与电商之间的竞争,各种优惠活动层出不穷,而此次据爆料的拼多多漏洞也出于此。对于出现此大规模问题,笔者认为可能有以...