Pull to refresh
2
0

если уж обсуждать "эффективных менеджеров" то стоит указать и мнение противоположной стороны как и офф причину ухода "несогласие назначению cve для секурити багов в экспериментальных модулях"

https://news.ycombinator.com/item?id=39374312

We (F5) published two CVEs today against NGINX+ & NGINX OSS. Maxim was against us assigning CVEs to these issues.

F5 is a CNA and follows CVE program rules and guidelines, and we will err on the side of security and caution. We felt there was a risk to customers/users and it warranted a CVE, he did not.

что за CVE:

Сформирован выпуск основной ветки nginx 1.25.4, в рамках которой продолжается развитие новых возможностей. В параллельно поддерживаемой стабильной ветке 1.24.x вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В дальнейшем на базе основной ветки 1.25.x будет сформирована стабильная ветка 1.26. Код проекта написан на языке Си и распространяется под лицензией BSD.

В новой версии устранены две уязвимости в экспериментальном модуле http_v3_module (отключён по умолчанию), обеспечивающем поддержку протокола HTTP/3, использующего протокол QUIC в качестве транспорта для HTTP/2. Первая уязвимость (CVE-2024-24989) вызвана разыменованием нулевого указателя, а вторая (CVE-2024-24990) обращением к памяти после её освобождения. В списке изменений утверждается, что обе уязвимости могут привести лишь к аварийному завершению рабочего процесса при обработке специально оформленных сеансов QUIC, но для второй уязвимости судя по всему анализ более серьёзных последствий не проводился.

Позиция вендора F5: у нас есть пользователи кто уже использует это в продакшене, даже учитывая что оно экспериментал, согласно тому что мы следуем политики cve мы должны назначить им номера как уязвимостям, потому что мы следуем открытой политике CVE

Позиция разраба: это вообще экспериментальные модули и отключены по дефолту, пофиксим как обычные баги, нечего пугать пользователей

всем бы продуктам таких "эффективных менеджеров"

Можете поднять историю незаконно ввезенных в крым турбин от сименс, куда они официально не поставлялись. На все происшествия и "хлопки" компания разводила руками и говорила "не наша зона ответственности, мы туда ничего не отправляли"

Спасибо, про данные компании не слышал.

Считаю такое поведение как минимум неэтичным. У пользователя всегда должна быть возможность забрать свои данные, в идеале предупреждение о блокировке подписки с определённого числа.

Можно ссылки на заморозку контрактов во всём мире? Ну чтобы вести аргументированную дискуссию, а не "одна бабка говорила"

Можете пример именно окирпичивания или удаления без предварительного предупреждения? Даже на вашей картинке предложено забрать все пользовательские данные до указанной даты

тогда встречные вопросы:

  1. если производитель заметил нарушение лицензии и окирпичил устройство удалённо, то был ли он в своём праве?

  2. база oracle обнаружив, что её лицензию похакали решила удалить все данный и следом вызвал rm -rf /

согласно вашей логики ответ на оба вопроса "да", так как производитель не работает на данной территории, то и ответсвенности за действия его софта не несёт. причём тут даже нарушения лицензии или eula нету

что мешало делать это раньше?

от того что "мне не получается купить софт, поэтому я его украду" пиратство не перестаёт быть пиратством

подпись на слайде "на службе бизнеса и государства" лишь намекает о возведении идей пиратства на уровень госструктур и следом этим ещё и гордятся

о каком уважении на международной арене после этого может идти речь?

https://ase21-industry.hotcrp.com/doc/ase21-industry-paper7.pdf?cap=07ax_GWBvNW-0U

В каком-то виде AliTech Cloud уже это делает

А вот право на постоянное жительство и гражданство тут получить нельзя. Навсегда не останешься.

Это тоже смутило =) между "нельзя" и "сложно" всё-таки есть отличия

для Permanent Residence достаточно прозрачные правила, плати налоги в течении 3х лет и сверху доплати при получении самого PR. хотя тем кто как "фрилансер" въезжает по туристической или учебной визе, это конечно же не светит.

ну и немного про невозможность тайского гражданства

https://www.thaicitizenship.com/thai-citizenship-grants-feb-2021/

не совсем, тем кто активно использует там плюшек и причин перейти на порядок больше, вот только краткий список изменений который может быть интересен реальным пользователям

2 тикета которые можно включить на текущем хадупе без обновления

issues.apache.org/jira/browse/HADOOP-16011
OsSecureRandom very slow compared to other SecureRandom implementations
(specific for secured DN)

issues.apache.org/jira/browse/HADOOP-16452
Increase ipc.maximum.data.length default from 64MB to 128MB
(problems with large DN)

с изменением кода, поэтому обновление нужно

issues.apache.org/jira/browse/YARN-9848
revert YARN-4946
(fix stuck application in aggregation state)

issues.apache.org/jira/browse/HDFS-14617
Improve fsimage load time by writing sub-sections to the fsimage index

issues.apache.org/jira/browse/HDFS-12943
Consistent Reads from Standby Node
(позволяет разгрузить неймноду за счёт выноса операций чтения на отдельную ноду, с учётом что вся работа с метаданными идёт под RW Lock и удаление большого количества блоков за раз могло захватить лок надолго и остановить полностью кластер, многие будут счастливы. вызвано тем что в свое время оптимизируя чтение внесли структуру FoldedTreeSet, чтение стало более gc friendly, но на больших объёмах деградация удаления данных из этой структуры очень существенное, поэтому в будущих версиях структуру будут переделывать, жаль в 3.3 не успели и перенесли на 3.4 issues.apache.org/jira/browse/HDFS-13671 и связанные с этим тикеты)

issues.apache.org/jira/browse/HADOOP-16398
Exports Hadoop metrics to Prometheus

issues.apache.org/jira/browse/HDFS-13505
Turn on HDFS ACLs by default.
(Нужно обновляться аккуратно, так как поменяли дефолт)

umbrella ticket YARN Container Phase 2
актуально для тех кто гоняет докер контейнеры в хадупе
issues.apache.org/jira/browse/YARN-8472

issues.apache.org/jira/browse/YARN-9391
Disable PATH variable to be passed to Docker container

issues.apache.org/jira/browse/YARN-9486
Docker container exited with failure does not get clean up correctly

issues.apache.org/jira/browse/YARN-8587
Delays are noticed to launch docker container

issues.apache.org/jira/browse/YARN-9496
Reinit of container stuck in localization

issues.apache.org/jira/browse/YARN-9184
Docker run doesn't pull down latest image if the image exists locally
(сейчас приходится делать отдельный тег на каждый билд, так как образы не перетягиваются)

issues.apache.org/jira/browse/YARN-8643
Docker image life cycle management on HDFS

> Итого из всех плюшек значимо только Java 11.

добавлена возможность работать на java 11
issues.apache.org/jira/browse/HADOOP-15338
Java 11 runtime support (closed)

но вот сборка на java 11 до сих пор имеет определённые падающие unit tests
issues.apache.org/jira/browse/HADOOP-16795
Java 11 compile support (open)

вообще полезная ссылка
hadoop.apache.org/docs/r3.3.0/hadoop-project-dist/hadoop-common/release/3.3.0/RELEASENOTES.3.3.0.html
По поводу Nashorn:

github.com/graalvm/graaljs/blob/master/docs/user/NashornMigrationGuide.md

никто просто так не будет выбрасывать наработки
сдвинулись в стороны graal и truffle, так как реализовывать новые фичи из js мира достаточно ресурсоёмко, реализовывать с помощью truffle оказалось намного проще.
как-то так
github.com/oracle/graal

отсюда берется CE версия
для EE имеются закрытые дополнения касающиеся отдельных оптимизаций, но и сама EE платная для продакшена

описание как собрать свою версию
github.com/oracle/graal/blob/master/vm/README.md#example-build-the-base-graalvm-ce-image
ну это же элементарно =)

всего лишь пару вопросов:

  1. как взять стектрейс у работающего приложения чтобы посмотреть где какие потоки находятся (обёртки которые подключаются через gdb и потом парсят вывод работают через раз, плюс требуют этого самого gdb на машинке и нужным пермишенов)
  2. как стейктрейс из лога вставить в ide чтобы она нормально переходила по клику на нужный файл и строку


«А в остальном, прекрасная маркиза, всё хорошо, всё хорошо!»
к сожалению вы дали слишком старую ссылку

начиная с 9й java
openjdk.java.net/jeps/213

It is also proposed that interfaces be allowed to have private methods.

всё началось с момента как в интерфейсы довезли default методы которые предоставляют реализацию, а потом пошло поехало…

www.journaldev.com/12850/java-9-private-methods-interfaces

теперь ответить на вопрос на собесе «чем отличается абстрактный класс от интерфейса» стало ещё сложнее =)

с шарпом тоже не всё так однозначно

docs.microsoft.com/en-us/dotnet/csharp/whats-new/csharp-8#default-interface-methods

дефолт методы туда подвезли и там же:
Any of the modifiers are allowed on interface members.

то есть ожидаем static, private и тд
$ jshell
|  Welcome to JShell -- Version 11.0.5
|  For an introduction type: /help intro

jshell> System.out.println("hi")
hi

jshell>


openjdk.java.net/jeps/222
на мобильных браузерах всяких адблоков нету

та же ya.ru в инкогнито моде на хроме:
1) 17.8k — сама index страница (пустая страница с минимальной разметкой и пару зашитыми скриптами весит почти 18кб??? половина из этого стили для одного блока ввода, вторая скрипты отсылки статистики)
2) 29.8k — подтянули jqeury.min.js
3) 71.7k — следущий скрипт, походу какая-то статистика, так как внутри Ya.Rum.sendTimeMark
4) 39.4k — yandex metrica watch.js, куда же нам без всяких мониторингов

и это якобы «минимализм с одним полем ввода» =) печаль
обман, везде обман…

сказали что 12 советов, но перечислили 11, так как 5й совет пропустили

troll mode activated: интересно, а если у вас на год взять сервер, то вместо обещанных 12 месяцев тоже получишь 11?
в данный момент набрасываю сервис на quarkus.io
старт с CDI (поиск и инициализация всех бинов) занимает 1с

ну и приложение посложнее чем в примерах =)

Information

Rating
4,300-th
Registered
Activity