RedMonk最新程式語言排行榜;Spring 框架現 RCE 漏洞……|叨資訊
哈嘍,大家好,我是強哥。
Spring 框架現 RCE 漏洞;按月租用iPhone手機、隨時能換新款;俄羅斯或將轉用 HarmonyOS;Chrome 100釋出;RedMonk最新程式語言排行榜;Spring Cloud Function現SPEL漏洞;React 18釋出;免費的程式設計中文書籍索引;系統設計入門;低程式碼平臺:lowcode-engine;經濟學電子書;Moby。
科技資訊
Spring 框架中的一個 RCE 漏洞
沒錯,之前網上瘋傳的Spring漏洞官方終於正式公佈了:
該問題首先由 AntGroup FG 的 codeplutos, meizjm3i 於週二晚間,接近格林威治標準時間午夜時分向 VMware 報告。週三,官方進行了調查、分析、確定修復、測試,同時瞄準週四的緊急釋出。與此同時,同樣在週三,詳細資訊已在網上全面洩露,這就是官方在釋出和 CVE 報告之前提供此更新的原因。
該漏洞影響在 JDK 9+ 上執行的 Spring MVC 和 Spring WebFlux 應用程式。具體的利用需要應用程式作為 WAR 部署在 Tomcat 上執行。如果應用程式被部署為 Spring Boot 可執行 jar,即預設值,則它不易受到漏洞利用。但是,該漏洞的性質更為普遍,可能還有其他方法可以利用它。
具體詳細修復資訊大家可到如下地址檢視:
https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#misconceptions
按月租用iPhone手機、隨時能換新款
據海外網站最新報道,蘋果公司正在計劃為iPhone和其他硬體產品開發一種訂閱服務,可以讓使用者直接按月支付費用,來“租用”裝置。有分析認為,這項服務將成為蘋果實現自動重複銷售的一次最大推動,讓使用者首次訂閱硬體而不僅僅是數字服務。使用者只需每月支付一定的費用,就可以直接使用iPhone和iPad硬體。
這讓強哥想起了歷史總是驚人的相似:馬克·貝尼奧夫(Marc Benioff)畢業去了Oracle,26歲成了公司最年輕的副總裁。突然有一天,他發覺Oracle老了,儘管是企業服務領域的絕對王者,但是除了資料庫,Oracle沒創造出任何偉大的東西。
最該死的是模式老邁,售賣只讀光碟(CD-ROM)的軟體包。企業不僅要一次性掏錢買軟體,還要花費6-18個月安裝測試,還要組建自己的技術團隊,還要保持硬體和網路方面的更新和投資,還要每年向Oracle支付諮詢、培訓費……
年輕人被新出現的網際網路深深吸引,為什麼不摒棄光碟,用網際網路來提供軟體服務?這樣一來,使用者不用再一次性購買,而是採用更簡單和更經濟的訂閱模式,按年甚至按月支付使用費。於是,他在1999年創辦Salesforce。
俄羅斯或將轉用 HarmonyOS
3 月 24 日 Mobile Research Group 首席分析師 Eldar Murtazin 在 Telegram 上表示:“3 月 23 日,谷歌已經開始拒絕所有俄羅斯公司的認證專案,原因是:美國出口法禁止向俄羅斯提供服務,以及向俄羅斯出口、再出口或轉讓源自美國的軟體和技術。”,這意味著俄羅斯公司將無法為其國內市場發行 Android 智慧手機,其手機廠商也無法在其接下來的 Android 智慧手機中使用 GMS 服務,甚至俄羅斯可能也無法進口獲得授權許可的 Android 裝置。
俄羅斯 BQ 公司首先做出迴應:其 CEO Vladimir Puzanov 表示,公司正在測試 HarmonyOS,而執行 HarmonyOS 的新 BQ 智慧手機最早可能會在 2022 年下半年問世。
這個對於我國來說,是機遇也是挑戰吧。加油!!!
Chrome 100釋出
谷歌3月30日釋出了新版本Chrome瀏覽器,版本號為100,終於達到了3位數。谷歌Chrome瀏覽器在2008年9月釋出,至今過去了13年半。
在過去10多年的時間中,谷歌每隔6週會推出重要Chrome版本更新,並增加一位版本號。從2021年9月開始,更新頻率為每四周,這是為了更快地修復安全漏洞和推出新功能。
Chrome 100有了新的圖示,雖然變化並不是很明顯,而按照谷歌的說法,新版本繼續大幅減少記憶體、CPU佔用率,速度更快。
這倒是讓強哥有興趣更新一波,像我這種非常喜歡開啟網頁不關的人來說,Chrome的往往是系統中數一數二佔效能的程序。
RedMonk最新程式語言排行榜
2022年Q1即將結束,在該季度程式語言發生了哪些變化?在 GitHub 和 Stack Overflow 上什麼語言的討論度最高?知名軟體行業分析公司 RedMonk 對 GitHub Archive 和 Stack Overflow 資料工具進行分析後,釋出了 2022 年 Q1 程式語言排名。
TOP 10程式語言的詳細排名:
- JavaScript
- Python
- Java
- PHP
- CSS
- C#
- C++
- TypeScript
- Ruby
- C
Spring Cloud Function現SPEL漏洞
近日,Spring Cloud Function 官方測試用例曝光了 Spring Cloud Function SPEL 表示式注入漏洞,可利用該漏洞通過注入 SPEL 表示式來觸發遠端命令執行。
“由於Spring Cloud Function中RoutingFunction類的apply方法將請求頭中的“spring.cloud.function.routing-expression”引數作為Spel表示式進行處理,造成了Spel表示式注入漏洞,攻擊者可利用該漏洞遠端執行任意程式碼。”
Spring Cloud Function 的某些版本特定配置(版本 3 <= 版本 <= 3.2.2)的動態路由受到影響。
目前Spring Cloud Function官方已釋出此漏洞的補丁:
React 18釋出
前端框架React正式釋出了18版本,該版本的主要更新包括開箱即用的功能改進,如自動批處理、新的AIP(如startTransition)和支援Suspense的流式伺服器端渲染。該版本的許多功能都建立在新的併發渲染器之上,這是React 18中最重要的功能改進。官方部落格表示,希望開發者在使用React時,永遠不用考慮併發性。
開源熱點
免費的程式設計中文書籍索引
免費的程式設計中文書籍索引,專案中包含了網友們投遞的各種電子書,內容十分豐富,對於想要學習的小夥伴,這個開源專案千萬不要錯過:
- 國外程式設計師在 stackoverflow 推薦的程式設計師必讀書籍,中文版。
- stackoverflow 上的程式設計師應該閱讀的非程式設計類書籍有哪些? 中文版
- github 上的一個流行的程式設計書籍索引 中文版
地址:https://github.com/justjavac/free-programming-books-zh_CN
系統設計入門
這個專案的目的是:
- 學習如何設計大型系統。
- 為系統設計的面試做準備。
強哥看到這個專案的時候,非常有學習的衝動,直接點了start。對於有幾年開發經驗的小夥伴來說,如何提升自己設計大型專案的能力無疑是非常關鍵的。而這個專案重點講的就是這方面的內容:
地址:https://github.com/donnemartin/system-design-primer
低程式碼平臺:lowcode-engine
低程式碼真的是越來越流行了,lowcode-engine 便是阿里開源的低程式碼平臺。特性:
- 提煉自企業級低程式碼平臺的面向擴充套件設計的核心引擎
- 開箱即用的高質量生態元素,包括 物料體系、設定器、外掛 等
- 完善的工具鏈,支援 物料體系、設定器、外掛 等生態元素的全鏈路研發週期
- 強大的擴充套件能力,已支撐近 100 個各種垂直類低程式碼平臺
- 使用 TypeScript 開發,提供完整的型別定義檔案
地址:https://github.com/alibaba/lowcode-engine
經濟學電子書
the-economist-ebooks 收錄了大量的經濟學刊物,包括經濟學人 (含音訊)、紐約客、自然、新科學人、衛報、科學美國人、連線、大西洋月刊、國家地理等英語雜誌,支援 epub、mobi、pdf 格式,可進行 Kindle 推送。
地址:https://github.com/hehonghui/the-economist-ebooks
Moby
這周Moby又上GitHub熱門,很多人可能不知道Moby,但是你們肯定知道Docker。
在DockerCon17上,Docker釋出了兩個新的開源專案LinuxKit和Moby。而原來在Github上託管的docker也隨著PR #32691的合入正式變為Moby。
Docker公司直接把原Docker專案改名成了Moby,是為了將之前數年裡構建出來的龐大的粉絲團體和Google搜尋內容(Google search footprint).全部轉移到Docker公司的商業產品上。
為什麼這麼搞呢?
地址:https://github.com/moby/moby
叨逼叨
最親民的蘋果桌面
如果想使用蘋果的桌面電腦,目前最便宜的方案(不考慮黑蘋果),大概是 Mac mini 主機 + 一臺顯示器。但是,有網友在推特說,更好的方案是使用沒有螢幕的 MacBook Pro。
他說,購買拆掉螢幕的 MacBook Pro,將其當作主機使用,這樣不僅有觸控板和鍵盤,而且還有更好的揚聲器,更重要是售價也更親民。
哈哈,強哥看到這篇文章的時候,看了看自己用了幾年的破二手筆記本,心裡瞬間就癢癢了。去淘寶搜了下,居然真的有賣不帶螢幕的Mac的淘寶店,我的個乖乖,果然淘寶上面什麼都賣,先收藏了,等哪天有人粉絲漲上去了就去買。
更讓我頭禿的是裁員的文章
最近又一次爆發「裁員」熱潮,很多朋友跟我反饋裁員焦慮。下面是摘自「碼農翻身」的一篇採訪一個大廠程式媛的部分內容:
不知道各位看完了是否也深有同感,作為一個有幾年開發工作經驗的程式設計師來說,每天不管你想看還是不想看,還是會時不時的被裁員的文章所吸引,尤其是像強哥一樣經歷過被裁員的人來說,類似的文章更加會引起焦慮。
國內的網際網路在經歷了高速發展期之後,似乎也遇到了瓶頸。大環境的不景氣更是加重了各行各業人們的恐慌。失業了自己要做什麼?以後一直做程式設計師嗎?年齡再大一些公司還會招我嗎?
有很多問題,強哥也沒法給出答案。但是,希望大家能夠有更多的探索,除了做好手頭上的工作,有時間了,多多地接觸一些理財相關的知識。多拓寬一些自己的眼界,多嘗試一些新的東西。
一味焦慮無法解決任何問題,不夠自信也是我們被動焦慮的緣由。而無法從工作之外的途徑獲取經濟來源讓我們更是充滿了危機感。既然問題就在這裡,何不在事情來臨前就多做一些準備,多去試錯,有收穫也好,沒收穫也罷,至少不要浪費時間先把自己埋在焦慮之中罷。就比如強哥微信,獲取面試資料,找工作的時候肯定用得上。哈哈哈,開個玩笑,總之,讓自己充實起來,多思考很重要。