前沿资讯

近日,IDEA 2022.1的Beta 2版本发布了!下面我们一起来看看对于我们Java开发者来说,有哪些重要的更新内容。 Java增强随着Java 18的正式发布,IDEA也在该版本中迅速跟进。目前已经支持的功能包括: @snippet标记 为了简化在API文档中包含示例源代码,在JDK 18中引入了用于JavaDoc的标准Doclet的@Snipket标记。所以,在这个版本中,就可以像下面这样在注释中添加一些示例代码了。 switch增强 在JDK 17中引入的Switch表达式模式匹配规范这次也已经更新,在该版本的IntelliJ IDEA已支持这两种基本更新。 其他更新 在JDK18中,默认字符集直接就是UTF-8,而不是根据平台的不同而有不同的默认字符集。 非静态内部类不会捕获未使用的this,所以将不会再触发警告 JUnit 5增强添加了对JUnit 5.7中引...

昨天,在发布了《Spring官宣承认网传大漏洞,并提供解决方案》之后。群里(点击加群)就有几个小伙伴问了这样的问题:我们的Spring版本比较老,这个怎么办?这是一个好问题,所以DD今天单独拿出来说说。 这次的RCE漏洞宣布之后,官方给出的主要解决方案是升级版本,但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。 那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、或者Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢? 第一种方法官方给出过一种通过扩展RequestMappingHandlerAdapter来实现的方法。同时也给出了一个Spring Boot下使用Spring MVC的实现方案,如果是WebFlux的话略做修改即可。但如果不是Spring Boot的话,则Bean的初始化方...

Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring大漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也证实了网传漏洞确实存在,并且并非最近很多文章说提到的3月28、29日公布的CVE,如果你是照着那些文章解决问题的话,请根据这次官宣内容重新来过吧。 这次确定的Spring核心框架中的RCE漏洞,CVE号为CVE-2022-22965[1]。 这个漏洞是在周二深夜,由AntGrou...

昨天凌晨发了篇关于Spring大漏洞的推文,白天就有不少小伙伴问文章怎么删了。 主要是因为收到朋友提醒说可能发这个会违规(原因可参考:阿里云因发现Log4j2核弹级漏洞但未及时上报,被工信部处罚),所以就删除了。 经过一天的时间,似乎这个事情变得有点看不懂了。所以下面聊聊这个网传的Spring大漏洞吧。 这个漏洞话题的起点源自3月29日晚,DD在群里(点击加群)看到网友分享了几位安全大佬爆料Java生态出现了超级大漏洞。 但两位大佬都没有透露这次漏洞更详细的信息。只有网友问了一句:“有log4j那么大吗?”。云舒大佬的回复是:“更大”。 之后,又有安全大佬sunwear(就之前那个因为上海银行工作人员服务态度差,而直接怒取500万现金的大佬,具体什么故事如果你不知道可以百度一下,这里DD就不细说了)给了一些更细节的信息: 所以漏洞影响范围,可以缩小到使用Java 9+和Sp...

2022年3月24日,Spring官方发布了Spring Boot 3.0.0 M2版本发布。这个版本包含50个Bug修复、文档改进和依赖更新。 M2版本主要是对M1版本的问题修复与更新,之前关于Spring Boot 3.0.0 M1版本,我们已经介绍过,下面一起结合了解一下整个Spring Boot 3的进展。 M1版本回顾 Java基线从 Java 8 提升到了 Java 17 从Java EE APIs 到 Jakarta EE 移除一些还未支持Java 17的组件,包括:Apache ActiveMQ、Atomikos、EhCache 2、Hazelcast 3 M2版本更新M2版本对于M1主要的更新内容如下: 恢复EhCache 3的支持 恢复H2 Console的支持 改进@ConstructorBinding的检测 更多改版本的更新可通过下面的了链接查看:htt...

昨天下午,微信群(点击加入)里正好在讨论分享的这篇文章Spring Boot 配置 HTTPS 的详细流程。 然后就有群友跳出来吐槽:别搞HTTPS了,到时候一起被制裁,并发了下面的推文: 发布该推文的Scott Helme是一名黑客,Security Headers和Report Uri的创始人、Pluralsight作者、BBC常驻黑客。 他表示,CAs现在似乎正在停止为俄罗斯域名颁发证书,甚至吊销之前已经为俄罗斯域名颁发的证书。同时,他还给出了一下被撤销证书的报告: 比如这是一家俄罗斯银行的:https://crt.sh/?id=5828347935,有兴趣的小伙伴可以去研究下,还有这些: https://crt.sh/?id=5828347935https://crt.sh/?id=6218871547https://crt.sh/?id=4582341817https:...

昨天在网上看到特斯拉老板Elon Musk的一条推,真的是脑洞大呀!分享出来,大家一起看看! 图中列出来4家公司,分别为:韩国的三星、日本的东芝、日本的中道(做音响的)以及美国的摩托罗拉。还特别圈出来了这几家公司的开头字母,但没说啥,也因此引发了网友们的热议。 然后有网友把圈出的字母内容做了组合后发现,最后组成的是:Satoshi Nakamoto。 接着就有很多网友问了,谁是Satoshi Nakamoto? 相信这个名字,你们大多不陌生吧?如果不知道的话,可以看看百度百科的介绍: 中本聪(英语:Satoshi Nakamoto),自称日裔美国人,日本媒体常译为中本哲史,此人是比特币协议及其相关软件Bitcoin-Qt的创造者,但真实身份未知。中本聪于2008年发表了一篇名为《比特币:一种点对点式的电子现金系统》(Bitcoin: A Peer-to-Peer Electr...

大家好,我是DD! XShell相信大家都不陌生了,作为Windows平台下最强大的SSH工具,是大部分开发者的必备工具。但由于免费许可证的标签限制,有不少开发者会去找破解版使用。虽然功能是可以使用了,但其实这还是存在不少风险的,比如一些破解软件被投毒的事情,之前DD也给大家报道过。 今天早上,正好看到有群友(点击加群)分享了个消息: 从 2022/02/16 开始,免费许可证的标签限制已经被删除了。除了XShell之外,Xftp这次也一起移除了这样的限制。 大家只需要填写下面的表单: 稍等片刻,邮箱里就可以收到对应的下载链接: Windows平台下的小伙伴需要下载的话,可以直接通过下面的链接直达:https://www.xshell.com/zh/free-for-home-school/ 另外,如果你跟DD一样,不是Windows用户,是MacOS用户的话,顺手也给大家推...

大家好,我是DD! 最近俄乌冲突引发的科技公司站队,Oracle、微软、三星等全球知名科技公司都开始对俄罗斯实施制裁与封锁。就连崇尚自由的开源社区GitHub也发文会严格限制俄罗斯获得维持其咄咄逼人的军事能力所需的技术。 面对来自西方世界的围攻,还在猜测俄罗斯接下来要怎么样的时候,没想到反击来的很快,刚刚在群里(点击加群)里就看到了一个消息,俄罗斯直接放了个出乎大家意料的大招!什么大招?下面一起看看! 有俄罗斯媒体称,自2015年开始,被封禁7年之久的资源站RuTracker解封,刚刚DD试了一下,还真的可以访问。 RuTracker上有大量的破解资源,包括:Windows、Office等知名的付费软件、各种你玩过或者没玩过的破解游戏、还有各种电影、连续剧等。 所以,当Netflix说要暂定俄罗斯服务的时候,就有网友称:不在乎,RuTracker回来了! 还有网友欢呼:互联网革命...

大家早上好,我是DD! 刚刚看到一份来自微步在线发布的威胁情报通报,其中提到了被我们广泛应用的数据库管理工具Navicat Premium被投毒消息!如果你有用过相关版本的话,可能当前正处于数据泄漏的风险之下。 怎么一回事呢? 根据微步的情报称,这一投毒版本的Navicat Premium源自国内一个MacOS应用的下载站:www.macwk.com。 由于Navicat Premium是一款收费软件,所以攻击者利用用户搜索破解版的需求,在该网站提供的Navicat Premium破解版中进行了投毒。 从网站数据来看,该软件的下载次数达到了373128次之多! Navicat Premium在国内的用户量还是非常大的。同时由于工具的特殊性(数据库连接工具),对于数据资产的威胁大家一定要重视下。 目前该网站应该也是收到相关的风险信息,所以在该软件页面对此风险作出了提示: DD建议...

今早,DD注意到JetBrains在官方博客发文宣布要将log4j从IntelliJ平台移除了,该变化将在2022.1版本发布。 从博文看,本次移除log4j的漏洞,并非担心log4j2的漏洞问题,因为基于IntelliJ平台的IDE使用的并非log4j2,而是log4j 1.2的补丁版本(移除了所有网络相关的代码)。这里DD也顺便看了一下,之前log4j核弹漏洞大爆发时候的消息,根据官方给出的公告看,其旗下大量开发工具类产品并不受影响。 此次决定将log4j移除,核心还是因为IntelliJ平台的IDE其实对于日志的需求非常低(仅用来信息到文件和控制台),而log4j太过于复杂(会直接或间接引入太多第三方内容)。为了避免未来出现其他潜在的问题,所以将移除对log4j的依赖。 影响范围从开发工具中移除log4j其实对大部分开发者影响不大,但如果你是插件开发者,那么会受一些影响。所以...

2022年1月20日,Spring官方发布了Spring Boot 3.0.0的第一个里程碑版本M1。 下面一起来来看看Spring Boot 3.0.0 M1版本都有哪些重大变化: Java基线从 Java 8 提升到了 Java 17这个在最早的Spring Boot 3相关预告中就已经知道了,Java 17将成为未来的主流版本。那么问题来了,大家都把Java 17的升级提上日程了吗?如果你对Java 8之后的各种版本的信息不太了解的话,这里有份 4.6 W 字的总结,或许你可以读一读。 从Java EE APIs 到 Jakarta EESpring Boot 3开始,所有的Java EE Api都需要迁移到Jakarta EE上来。大部分用户需要修改import相关API的时候,要用jakarta替换javax。比如:原来引入javax.servlet.Filter的地方,需...

今天一早,还没起床,拿起手机赫然看到一个头条信息,标题着实让我心理咯噔了一下! 马上起床,直奔官网(https://logback.qos.ch/news.html),看看到底什么问题?塌的有多厉害? 既然是1.2.9版本以下问题,那就直接找到1.2.9版本修复了些啥,一看是12月16日发布的,已经有几天了,初步判断,应该问题不大吧? 仔细看看这个版本主要修复的漏洞编号:CVE-2021-42550 继续查了一下关于这个漏洞的信息如下: 该漏洞影响1.2.9以下的版本,攻击者可以通过编辑logback配置文件制作一个恶意的配置,允许执行从LDAP服务器加载的任意代码! 看描述似乎挺严重?其实并没有想象的那么严重。从上图中的,其实也可以发现,该漏洞的严重程度只是MEDIUM级别。 为避免恐慌(毕竟这两周被log4j2折腾的不轻),官方新闻中也醒目提示:该漏洞与log4Shell是完...

Spring Native 0.11.1 已发布,此版本主要是修复 0.11.0 中发现的问题,以及改进兼容性和优化功能。 从 WebMvcHints 中删除方法反射配置 优化@EnableJpaRepositories支持 无法处理 bean 定义时提供更多上下文 修复 Netty native 构建失败的问题 …… 详情查看 release note。 Spring Native 0.11.0 是两周前发布的一个主要版本,主要新特性: 使用 GraalVM 21.3, Spring Boot 2.6 和 Spring Cloud 2021.0 作为底层应用 由于 GraalVM 不再支持 Java 8,因此 Spring Native 也不再支持它。但可使用 Java 11 版本的 GraalVM 编译大多数 Java 8 应用程序 为函数类型提供 BeanFactoryN...

12月22日,Spring官方发布了Spring Boot 2.6.2版本,此版本包括55个错误修复、文档改进和依赖项升级。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.6.2</version> <relativePath/> <!-- lookup parent from repository --></parent> 缺陷修复 当getter或setter被子类覆盖属性配置类型,在属性绑定期间使用的getter和setter的时候会有所不同 #29143 Databa...