锁文件的两难困境:为何确定性构建的守护者成了攻击者的捷径
2019年,安全研究员 Liran Tal 做了一个实验。他向一个开源项目提交了一个看似普通的 Pull Request,添加了两个依赖包,代码审查一切正常——包名正确、版本有效、没有 typosquatting 痕迹。PR 被合并了。 ...
依赖管理
Wirth定律:为什么硬件升级永远追不上软件膨胀的速度
1995年,Niklaus Wirth在《Computer》杂志上发表了一篇名为《A Plea for Lean Software》的文章。他在文中感叹:软件已经膨胀到以兆字节计。他引以为傲的Oberon操作系统——包含编辑器和编译器——只有200千字节。 ...