#前沿资讯

大家好,我是DD,已经是封闭在家的第51天了! 最近一直在更新Java新特性(https://www.didispace.com/java-features/)和IDEA Tips(https://www.didispace.com/idea-tips/)两个原创专栏,其他方向内容的动态关注少了。昨天天晚上刷推的时候,瞄到了这个神奇的东西,觉得挺cool的,拿出来分享下: 相信你看到图,不用我说,你也猜到是啥了吧?html里可以跑python代码了! 看到好多Python公众号已经开始猛吹未来了,但乍看怎么觉得有点像JSP?或者一些模版引擎?是进步还是倒退呢?与其瞎想,不如仔细看看这个东东的能力吧! 根据官方介绍,这个名为PyScript的框架,其核心目标是为开发者提供在标准HTML中嵌入Python代码的能力,使用 Python调用JavaScript函数库,并以此实现利用Pyt...

近日,IDEA 2022.1的Beta 2版本发布了!下面我们一起来看看对于我们Java开发者来说,有哪些重要的更新内容。 Java增强随着Java 18的正式发布,IDEA也在该版本中迅速跟进。目前已经支持的功能包括: @snippet标记 为了简化在API文档中包含示例源代码,在JDK 18中引入了用于JavaDoc的标准Doclet的@Snipket标记。所以,在这个版本中,就可以像下面这样在注释中添加一些示例代码了。 switch增强 在JDK 17中引入的Switch表达式模式匹配规范这次也已经更新,在该版本的IntelliJ IDEA已支持这两种基本更新。 其他更新 在JDK18中,默认字符集直接就是UTF-8,而不是根据平台的不同而有不同的默认字符集。 非静态内部类不会捕获未使用的this,所以将不会再触发警告 JUnit 5增强添加了对JUnit 5.7中引...

昨天,在发布了《Spring官宣承认网传大漏洞,并提供解决方案》之后。群里(点击加群)就有几个小伙伴问了这样的问题:我们的Spring版本比较老,这个怎么办?这是一个好问题,所以DD今天单独拿出来说说。 这次的RCE漏洞宣布之后,官方给出的主要解决方案是升级版本,但只有Spring 5.2、5.3和Spring Boot 2.5、2.6提供了对应的升级版本。 那么对于一些还在用Spring 5.0、5.1甚至Spring 4.x、或者Spring Boot 1.x和Spring 2.4及以下版本的用户该怎么办呢? 第一种方法官方给出过一种通过扩展RequestMappingHandlerAdapter来实现的方法。同时也给出了一个Spring Boot下使用Spring MVC的实现方案,如果是WebFlux的话略做修改即可。但如果不是Spring Boot的话,则Bean的初始化方...

Spring沦陷了!这样的标题这几天是不是看腻了?然而,仔细看看都是拿着之前的几个毫不相干的CVE来大吹特吹。所以,昨天发了一篇关于最近网传的Spring大漏洞的文章,聊了聊这些让人迷惑的营销文、以及提醒大家不要去下载一些利用漏洞提供补丁的钓鱼内容。而对于这个网传的漏洞,依然保持关注状态,因为确实可能存在,只是没有官宣。 就在不久前(3月31日晚),Spring社区发布了一篇名为《Spring Framework RCE, Early Announcement》的文章,官宣了最近网传的Spring漏洞。这也证实了网传漏洞确实存在,并且并非最近很多文章说提到的3月28、29日公布的CVE,如果你是照着那些文章解决问题的话,请根据这次官宣内容重新来过吧。 这次确定的Spring核心框架中的RCE漏洞,CVE号为CVE-2022-22965[1]。 这个漏洞是在周二深夜,由AntGrou...

昨天凌晨发了篇关于Spring大漏洞的推文,白天就有不少小伙伴问文章怎么删了。 主要是因为收到朋友提醒说可能发这个会违规(原因可参考:阿里云因发现Log4j2核弹级漏洞但未及时上报,被工信部处罚),所以就删除了。 经过一天的时间,似乎这个事情变得有点看不懂了。所以下面聊聊这个网传的Spring大漏洞吧。 这个漏洞话题的起点源自3月29日晚,DD在群里(点击加群)看到网友分享了几位安全大佬爆料Java生态出现了超级大漏洞。 但两位大佬都没有透露这次漏洞更详细的信息。只有网友问了一句:“有log4j那么大吗?”。云舒大佬的回复是:“更大”。 之后,又有安全大佬sunwear(就之前那个因为上海银行工作人员服务态度差,而直接怒取500万现金的大佬,具体什么故事如果你不知道可以百度一下,这里DD就不细说了)给了一些更细节的信息: 所以漏洞影响范围,可以缩小到使用Java 9+和Sp...

2022年3月24日,Spring官方发布了Spring Boot 3.0.0 M2版本发布。这个版本包含50个Bug修复、文档改进和依赖更新。 M2版本主要是对M1版本的问题修复与更新,之前关于Spring Boot 3.0.0 M1版本,我们已经介绍过,下面一起结合了解一下整个Spring Boot 3的进展。 M1版本回顾 Java基线从 Java 8 提升到了 Java 17 从Java EE APIs 到 Jakarta EE 移除一些还未支持Java 17的组件,包括:Apache ActiveMQ、Atomikos、EhCache 2、Hazelcast 3 M2版本更新M2版本对于M1主要的更新内容如下: 恢复EhCache 3的支持 恢复H2 Console的支持 改进@ConstructorBinding的检测 更多改版本的更新可通过下面的了链接查看:htt...

昨天下午,微信群(点击加入)里正好在讨论分享的这篇文章Spring Boot 配置 HTTPS 的详细流程。 然后就有群友跳出来吐槽:别搞HTTPS了,到时候一起被制裁,并发了下面的推文: 发布该推文的Scott Helme是一名黑客,Security Headers和Report Uri的创始人、Pluralsight作者、BBC常驻黑客。 他表示,CAs现在似乎正在停止为俄罗斯域名颁发证书,甚至吊销之前已经为俄罗斯域名颁发的证书。同时,他还给出了一下被撤销证书的报告: 比如这是一家俄罗斯银行的:https://crt.sh/?id=5828347935,有兴趣的小伙伴可以去研究下,还有这些: https://crt.sh/?id=5828347935https://crt.sh/?id=6218871547https://crt.sh/?id=4582341817https:...

昨天在网上看到特斯拉老板Elon Musk的一条推,真的是脑洞大呀!分享出来,大家一起看看! 图中列出来4家公司,分别为:韩国的三星、日本的东芝、日本的中道(做音响的)以及美国的摩托罗拉。还特别圈出来了这几家公司的开头字母,但没说啥,也因此引发了网友们的热议。 然后有网友把圈出的字母内容做了组合后发现,最后组成的是:Satoshi Nakamoto。 接着就有很多网友问了,谁是Satoshi Nakamoto? 相信这个名字,你们大多不陌生吧?如果不知道的话,可以看看百度百科的介绍: 中本聪(英语:Satoshi Nakamoto),自称日裔美国人,日本媒体常译为中本哲史,此人是比特币协议及其相关软件Bitcoin-Qt的创造者,但真实身份未知。中本聪于2008年发表了一篇名为《比特币:一种点对点式的电子现金系统》(Bitcoin: A Peer-to-Peer Electr...

大家好,DD又来了! 3月9日,Spring官方博客发文:Spring Cloud Alibaba 2021.0.1.0发布了。 前段时间DD还在微信群里看到小伙伴吐槽Spring Cloud Alibaba更新太慢了。大概官方人员看到了?这不,最新版本来了! 这次发布的Spring Cloud Alibaba 2021.0.1.0版本基于Spring Boot 2.6.3和Spring Cloud 2021.0.1。要升级的小伙伴一定注意这个版本基线! 突然发现,官博这里还烦了个小错误,把Spring Boot写成Spring Cloud了… 版本内容下面一起看看这个版本内容吧: Nacos:将Nacos客户端升级到1.4.2版本,修复Nacos 1.4.1中的相关问题,支持Nacos服务发现故障和容错。 RocketMQ:升级到4.9.2,之前项目中RocketMQ的单独分支...

大家好,我是DD! XShell相信大家都不陌生了,作为Windows平台下最强大的SSH工具,是大部分开发者的必备工具。但由于免费许可证的标签限制,有不少开发者会去找破解版使用。虽然功能是可以使用了,但其实这还是存在不少风险的,比如一些破解软件被投毒的事情,之前DD也给大家报道过。 今天早上,正好看到有群友(点击加群)分享了个消息: 从 2022/02/16 开始,免费许可证的标签限制已经被删除了。除了XShell之外,Xftp这次也一起移除了这样的限制。 大家只需要填写下面的表单: 稍等片刻,邮箱里就可以收到对应的下载链接: Windows平台下的小伙伴需要下载的话,可以直接通过下面的链接直达:https://www.xshell.com/zh/free-for-home-school/ 另外,如果你跟DD一样,不是Windows用户,是MacOS用户的话,顺手也给大家推...

大家好,我是DD! 最近俄乌冲突引发的科技公司站队,Oracle、微软、三星等全球知名科技公司都开始对俄罗斯实施制裁与封锁。就连崇尚自由的开源社区GitHub也发文会严格限制俄罗斯获得维持其咄咄逼人的军事能力所需的技术。 面对来自西方世界的围攻,还在猜测俄罗斯接下来要怎么样的时候,没想到反击来的很快,刚刚在群里(点击加群)里就看到了一个消息,俄罗斯直接放了个出乎大家意料的大招!什么大招?下面一起看看! 有俄罗斯媒体称,自2015年开始,被封禁7年之久的资源站RuTracker解封,刚刚DD试了一下,还真的可以访问。 RuTracker上有大量的破解资源,包括:Windows、Office等知名的付费软件、各种你玩过或者没玩过的破解游戏、还有各种电影、连续剧等。 所以,当Netflix说要暂定俄罗斯服务的时候,就有网友称:不在乎,RuTracker回来了! 还有网友欢呼:互联网革命...

3月1日,Spring官方博客发布了一篇关于Spring Cloud Gateway的CVE报告。 其中包含一个高风险漏洞和一个中风险漏洞,建议有使用Spring Cloud Gateway的用户及时升级版本到3.1.1+、3.0.7+或采用其他缓解方法加强安全防护。 有涉及的小伙伴可以看看下面具体这两个漏洞的内容和缓解方法。 CVE-2022-22947:代码注入漏洞严重性:Critical 漏洞描述:使用Spring Cloud Gateway的应用程序在Actuator端点在启用、公开和不安全的情况下容易受到代码注入的攻击。攻击者可以恶意创建允许在远程主机上执行任意远程执行的请求。 影响范围: Spring Cloud Gateway以下版本均受影响: 3.1.0 3.0.0至3.0.6 其他老版本 缓解方法: 受影响版本的用户可以通过以下措施补救。 3.1.x用户应升级...

大家早上好,我是DD! 刚刚看到一份来自微步在线发布的威胁情报通报,其中提到了被我们广泛应用的数据库管理工具Navicat Premium被投毒消息!如果你有用过相关版本的话,可能当前正处于数据泄漏的风险之下。 怎么一回事呢? 根据微步的情报称,这一投毒版本的Navicat Premium源自国内一个MacOS应用的下载站:www.macwk.com。 由于Navicat Premium是一款收费软件,所以攻击者利用用户搜索破解版的需求,在该网站提供的Navicat Premium破解版中进行了投毒。 从网站数据来看,该软件的下载次数达到了373128次之多! Navicat Premium在国内的用户量还是非常大的。同时由于工具的特殊性(数据库连接工具),对于数据资产的威胁大家一定要重视下。 目前该网站应该也是收到相关的风险信息,所以在该软件页面对此风险作出了提示: DD建议...

今早,DD注意到JetBrains在官方博客发文宣布要将log4j从IntelliJ平台移除了,该变化将在2022.1版本发布。 从博文看,本次移除log4j的漏洞,并非担心log4j2的漏洞问题,因为基于IntelliJ平台的IDE使用的并非log4j2,而是log4j 1.2的补丁版本(移除了所有网络相关的代码)。这里DD也顺便看了一下,之前log4j核弹漏洞大爆发时候的消息,根据官方给出的公告看,其旗下大量开发工具类产品并不受影响。 此次决定将log4j移除,核心还是因为IntelliJ平台的IDE其实对于日志的需求非常低(仅用来信息到文件和控制台),而log4j太过于复杂(会直接或间接引入太多第三方内容)。为了避免未来出现其他潜在的问题,所以将移除对log4j的依赖。 影响范围从开发工具中移除log4j其实对大部分开发者影响不大,但如果你是插件开发者,那么会受一些影响。所以...

2022年1月20日,Spring官方发布了Spring Boot 3.0.0的第一个里程碑版本M1。 下面一起来来看看Spring Boot 3.0.0 M1版本都有哪些重大变化: Java基线从 Java 8 提升到了 Java 17这个在最早的Spring Boot 3相关预告中就已经知道了,Java 17将成为未来的主流版本。那么问题来了,大家都把Java 17的升级提上日程了吗?如果你对Java 8之后的各种版本的信息不太了解的话,这里有份 4.6 W 字的总结,或许你可以读一读。 从Java EE APIs 到 Jakarta EESpring Boot 3开始,所有的Java EE Api都需要迁移到Jakarta EE上来。大部分用户需要修改import相关API的时候,要用jakarta替换javax。比如:原来引入javax.servlet.Filter的地方,需...