majula 最近的时间轴更新
majula

majula

V2EX 第 556886 号会员,加入于 2021-09-26 01:05:08 +08:00
今日活跃度排名 1952
根据 majula 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
majula 最近回复了
1 天前
回复了 roundRobin 创建的主题 程序员 论添加一行代码需要付出多少努力
大厂是这样的

之前在大厂做内部系统的时候,就连“修正界面上错别字”这种不涉及任何逻辑变更的改动,都需要分别找十几个业务方同步,等他们都确认无影响后才能上线,共耗时 5 个工作日。可想而知,那些涉及到逻辑变更的改动,要多久才能上线

至于为什么要这么做,那就不得不提当年的生产事故。有个业务方在获取数据的时候不去调 rpc 接口,而是直接爬 web 页面。有次我们修改了文案而没有通知下游,导致他们的爬虫获取到的数据错乱,影响生产环境,直接损失数百万元。最后我们全组背锅,绩效 C (意味着年终奖少了 10k+,而且一年内没有晋升资格)。那个业务方也没好到哪里去,据说裁了十几人
2 天前
回复了 zx900930 创建的主题 信息安全 MSI 公网泄露 600,000+客户返修信息
牢星真的是拉胯啊

记得去年这个时候还泄露过固件签名私钥来着
12 天前
回复了 frencis107 创建的主题 信息安全 OpenSSH 爆高危漏洞 CVE-2024-6387
@cnbatch #118

也不能算是 glibc 的锅。glibc 的文档里明确指出 free() 是 AS-Unsafe 的: https://sourceware.org/glibc/manual/2.39/html_node/Freeing-after-Malloc.html

而且 POSIX 也没有要求 free() 必须是 async-signal-safe 的。有这个要求的函数列举在这里: https://pubs.opengroup.org/onlinepubs/9699919799/functions/V2_chap02.html

如果一定说是谁的过失,那只能是“将 OpenSSH 移植到 Linux”或者“认为 OpenSSH 在 Linux 上可用”的人,没有充分意识到(或者从测试用例中感知到)不同 libc 实现的差异,从而导致了兼容性缺陷

----

就好比某用户从二道贩子手里买了个进口家电,只支持 110V 交流电,但是二道贩子自己给改装了个国标插头,用户直接插到 220V 市电上,引发了安全事故。这时候用户是应该谴责电网( glibc ),还是原厂家( OpenSSH ),还是二道贩子(移植者)呢?

当然还是那句话,开源软件是 provided as is, without any warranty 的,用户应当为自己的安全负责。真出了安全事故,不管是 glibc 还是 OpenSSH 还是任何一个 Linux 发行版的负责人都没有义务补偿他。

That's the price you have to pay for freedom.
@drymonfidelia #6

啊,这个文件是每次启动时生成的,如果你跑完 freebsd-update install 后没有重启,这个文件并不会更新

那你可以跑一下 freebsd-version -u 看下版本号(其实 /etc/os-release 中看到的 VERSION 就是用这个命令获取的,见 /etc/rc.d/os-release )
@drymonfidelia #4

理论上是没问题的

再看下 /etc/os-release 里的 VERSION 是不是 14.0-RELEASE-p8
14.0-RELEASE-p8 已经修复,但只是打了 patch ,并没有全量更新到 openssh 9.8p1: https://github.com/freebsd/freebsd-src/commit/70eb00f17b310f599b60939c1afa326c7b2c390c

你看一下 /usr/src/crypto/openssh/version.h ,只要 SSH_VERSION_FREEBSD 的值为 "FreeBSD-20240701" 就没问题(保险起见,再看一下 /usr/sbin/sshd 的 mtime ),重启一下服务就好
开源赏金猎人没那么好当的,尤其是那些高额赏金的项目,想要达成一般需要理论上的重大突破,不是随便打个杂、卖个苦力就能拿下的

比如最近看到的一个: https://github.com/tromp/cuckoo?tab=readme-ov-file#linear-time-memory-trade-off-bounty ,感受一下难度

如果能够靠做悬赏赚够饭钱,那估计你也是业界大佬了,不缺赏金这点钱
你这题让我想起来以前面过的一家公司(甚至有可能是同一家)

题目类型也是先考察一下语法,然后几道算法题,几道 高数/线代/数理统计 题,几道 操作系统/计网/图形学 题,最后考察基英语读写能力。考察的方面很广,但都是基础题,并不难(尤其是对于应届生)

不过最后是我把这家公司挂了(有三面邀约但我没去),因为面试官的态度令人不爽,让我对团队的技术氛围很担忧
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1240 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 17:57 · PVG 01:57 · LAX 10:57 · JFK 13:57
Developed with CodeLauncher
♥ Do have faith in what you're doing.