2024 09 27 HackerNews

2024-09-27 Hacker News Top Stories #

  1. Meta 公司发布了首款真正的增强现实(AR)眼镜——Orion,旨在打破物理世界与虚拟世界之间的界限,使用户能够更好地连接和参与周围的环境。
  2. OpenAI 正在计划将其核心业务重组为一家盈利性利益公司,非营利董事会将不再控制该盈利实体。
  3. Meta 最近发布了 Llama 3.2,这是一个革命性的边缘 AI 和视觉模型,旨在为移动设备提供开放和可定制的解决方案。
  4. Mira Murati 在推特上发布了一条消息,宣布她离开 OpenAI 团队。
  5. PostgreSQL 全球开发组宣布发布了 PostgreSQL 17,这是全球最先进的开源数据库的最新版本。
  6. Git-absorb 是一个用于 Git 的工具,旨在自动化处理未提交更改的过程,类似于 git commit --fixup
  7. OpenAI 计划取消其非营利控制结构,并将更多的股权分配给首席执行官萨姆·阿尔特曼。
  8. 这篇文章《Rewriting Rust》由 Joseph Gentle 撰写,主要探讨了 Rust 编程语言的现状和未来发展潜力。
  9. 谷歌在 Android 平台上通过转向内存安全语言和实施安全编码,有效地消除了内存安全漏洞。
  10. WordPress.org 宣布禁止托管服务提供商 WP Engine 访问其资源,这一决定引发了广泛关注。

Orion, our first true augmented reality glasses #

https://about.fb.com/news/2024/09/introducing-orion-our-first-true-augmented-reality-glasses/

Meta 公司近日发布了其首款真正的增强现实(AR)眼镜——Orion,称其为迄今为止最先进的 AR 眼镜。Orion 旨在打破物理世界与虚拟世界之间的界限,使用户能够更好地连接和参与周围的环境。

Orion 的主要特点: #

  1. 无缝的数字体验:Orion 提供大尺寸全息显示,用户可以在物理空间中自由放置 2D 和 3D 内容,超越智能手机屏幕的限制。
  2. 集成上下文 AI:眼镜能够感知和理解周围环境,主动满足用户需求。
  3. 轻便设计:适合室内外使用,用户可以清晰看到他人的面部表情,增强社交互动。

发展历程: #

Meta 之前推出的 Ray-Ban Meta 眼镜已展示了无屏幕眼镜的潜力,而 Orion 则是将大尺寸全息显示与个性化 AI 助手结合的真正 AR 眼镜。Orion 在设计上经过多次迭代,确保其轻便且时尚,适合日常佩戴。

AR 体验: #

Orion 配备了 Meta AI 智能助手,能够理解用户的需求并提供实用的视觉化帮助。例如,用户可以在冰箱前询问食谱,或在洗碗时与朋友进行视频通话。此外,用户可以通过眼镜直接访问 WhatsApp 和 Messenger,无需拿出手机。

产品原型: #

虽然 Orion 目前不会直接面向消费者,但它是一个高度成熟的产品原型,代表了未来可能推出的消费者产品。Meta 计划在内部开发的基础上,继续优化显示质量、缩小设计尺寸,并实现规模化生产,以降低成本。

未来展望: #

Meta 将在未来几个月内向员工和部分外部用户开放 Orion 的使用,以便收集反馈并进一步改进。预计未来几年将推出更多基于 Orion 研发的设备,展示增强现实技术的潜力。

总之,Orion 不仅是对未来的展望,更是当前技术进步的体现,旨在让用户在享受数字世界的同时,更加融入现实生活。

HN 热度 1178 points | 评论 1003 comments | 作者:mfiguiere | 1 day ago #

https://news.ycombinator.com/item?id=41650047

  • 对 Meta 在增强现实领域的创新表示赞赏,认为其技术有潜力成为下一个消费电子平台。
  • 对 Facebook 的负面印象根深蒂固,许多人对其产品持怀疑态度,认为信任是关键。
  • 有人认为 Facebook 在硬件支持方面的表现不佳,导致对其 AR 和 VR 产品的兴趣减弱。
  • 对于 Facebook 的隐私和监控问题,用户普遍持有警惕态度,担心其产品会侵犯个人隐私。
  • 有评论指出,社交媒体并没有创造社会问题,而是放大了已有的问题。
  • 对于 AR 眼镜的实际应用持怀疑态度,认为其可能只是解决了一个并不存在的问题。
  • 有人认为,尽管技术先进,但 Facebook 的品牌形象使得消费者不愿意使用其产品。
  • 对于 Meta 的商业模式表示担忧,认为其广告驱动的模式可能会影响用户体验。
  • 有人指出,AR 技术的未来取决于是否能在不依赖广告的情况下运营。
  • 对于 AR 眼镜的市场前景持乐观态度,认为未来可能会成为日常生活的一部分。

OpenAI to become for-profit company #

https://www.reuters.com/technology/artificial-intelligence/openai-remove-non-profit-control-give-sam-altman-equity-sources-say-2024-09-25/

OpenAI 正在计划将其核心业务重组为一家盈利性利益公司,非营利董事会将不再控制该盈利实体。这一重组计划旨在吸引更多投资者,同时确保非营利组织仍然存在并拥有新公司的少数股份。OpenAI 首席执行官山姆・阿尔特曼(Sam Altman)将首次获得公司股权,重组后公司的估值可能达到 1500 亿美元。该公司目前的非营利结构旨在确保其开发的人工智能(AI)能够 “安全且广泛地惠及大众”。

这一重组计划是在 OpenAI 面临一系列领导层变动的背景下进行的,长期首席技术官米拉・穆拉提(Mira Murati)已于近日突然离职,而总裁格雷格・布罗克曼(Greg Brockman)也在请假。OpenAI 于 2015 年作为非营利 AI 研究组织成立,并在 2019 年增加了盈利性子公司 OpenAI LP,以便从微软等公司获得资金支持。

自从 2022 年推出 ChatGPT 以来,OpenAI 的估值从 140 亿美元飙升至目前讨论中的 1500 亿美元,吸引了包括 Thrive Capital 和苹果公司在内的投资者。尽管盈利性结构可能会使 OpenAI 更像典型的初创企业,但这也引发了 AI 安全界的担忧,质疑公司是否仍能在追求通用人工智能(AGI)的过程中保持足够的治理能力。

此外,阿尔特曼之前选择不在公司中获得股权,是为了确保董事会中有足够的不持股董事。新的公司结构可能与其主要竞争对手 Anthropic 以及埃隆・马斯克的 xAI 类似,这些公司也注册为利益公司,旨在促进社会责任和可持续发展。

总的来说,这一重大变革反映了 OpenAI 在治理结构和商业模式上的转变,可能会对其未来的运营及 AI 风险管理产生深远影响。

HN 热度 1074 points | 评论 600 comments | 作者:jspann | 15 hours ago #

https://news.ycombinator.com/item?id=41655954

  • 有评论指出,Sam Altman 曾声称自己不关心 OpenAI 的股权,但现在转为营利性公司,显得不诚实。
  • 有人质疑 Altman 的声明是否构成虚假财务预测,认为他可能为了重新获得职位而做出这种表态。
  • 另有观点认为,转为营利性结构可能对投资者更友好,符合市场需求。
  • 有评论提到,OpenAI 的结构与 Mozilla 类似,非营利组织拥有营利性公司,主要收入来自于 ChatGPT 和 API。
  • 一些评论认为,OpenAI 的转变是为了吸引更多人才和资金,尽管这与其最初的使命相悖。
  • 还有人指出,OpenAI 的非营利身份可能只是为了掩盖其盈利动机,认为这种做法具有欺骗性。
  • 有评论认为,非营利组织的资产转移至营利性公司可能会引发法律和道德问题。
  • 一些人对 OpenAI 未来的方向表示担忧,认为其可能会偏离最初的公益目标。

Llama 3.2: Revolutionizing edge AI and vision with open, customizable models #

https://ai.meta.com/blog/llama-3-2-connect-2024-vision-edge-mobile-devices/?_fb_noscript=1

Meta 最近发布了 Llama 3.2,这是一个革命性的边缘 AI 和视觉模型,旨在为移动设备提供开放和可定制的解决方案。以下是该发布的详细摘要:

  1. 模型概述

    • Llama 3.2 包括小型和中型视觉大语言模型(11B 和 90B)以及轻量级文本模型(1B 和 3B),这些模型适合在边缘和移动设备上使用。
    • 1B 和 3B 模型支持 128K 的上下文长度,适用于本地的摘要、指令跟随和重写任务。

  2. 技术优势

    • 这些模型在 Qualcomm 和 MediaTek 硬件上优化,特别针对 Arm 处理器进行了优化。
    • 11B 和 90B 视觉模型在图像理解任务上超越了许多封闭模型,且可以通过 torchtune 进行微调,便于定制应用。

  3. Llama Stack 分发

    • Meta 推出了 Llama Stack 分发,简化了开发者在不同环境中使用 Llama 模型的方式,包括单节点、本地、云和设备上的部署。
    • 与 AWS、Databricks、Dell 等合作伙伴共同构建 Llama Stack 分发,以支持企业客户。

  4. 模型能力

    • 11B 和 90B 模型支持图像推理任务,如文档理解、图像标注和视觉定位。
    • 轻量级的 1B 和 3B 模型具备多语言文本生成和工具调用能力,适合开发个性化的本地应用,确保数据隐私。

  5. 性能评估

    • Llama 3.2 的视觉模型在图像识别和视觉理解任务上与领先的基础模型(如 Claude 3 Haiku 和 GPT4o-mini)竞争。
    • 在 150 多个基准数据集上进行评估,显示出其在多种语言和视觉任务上的优越性能。

  6. 安全性与责任

    • Meta 强调开放性驱动创新,并致力于构建安全和负责任的系统。推出了 Llama Guard 3,以支持新模型的图像理解能力,并优化了部署成本。

  7. 可用性

    • Llama 3.2 模型现已在 llama.com 和 Hugging Face 上提供下载,并可在多个合作平台上进行开发。

Meta 希望通过 Llama 3.2 的发布,推动 AI 的开放性和创新,同时为开发者提供必要的工具和资源,以负责任地构建应用。

HN 热度 877 points | 评论 310 comments | 作者:nmwnmw | 1 day ago #

https://news.ycombinator.com/item?id=41649763

  • Llama 3.2 模型的能力令人惊讶,尽管其下载仅为 1.3GB,仍能处理大量代码并进行总结。
  • Google 的 Gemini 提供每日 1 亿个免费 token,速度快且在数学和逻辑能力上超越其他模型。
  • 对于 Gemini 的可持续性存在疑虑,担心未来可能会收费。
  • 许多新服务在吸引用户后会提高价格,因此本地模型是避免被勒索的唯一选择。
  • 不同 API 和模型的能力和限制各异,用户在切换时需考虑这些因素。
  • Google 在企业包中通过 API 访问和专业服务赚取大量利润,可能会影响 Gemini 的定价策略。
  • Gemini 的免费 API 并非仅限于美国,其他地区也可使用,但请求会被记录用于训练数据。
  • Llama 3.2 在本地运行,用户数据不会被发送给第三方,提供更高的隐私保护。
  • Meta 团队在模型开发方面的开放态度受到赞赏,推动了更多的开放性。
  • 许多人认为,使用 AI 工具来提升工作效率是合理的,但应关注构建更好的产品而非仅仅依赖工具。
  • 对于 AI 模型的偏见问题,存在不同的观点,认为偏见源于训练数据的选择和处理。
  • 许多用户对 AI 模型的政治倾向表示担忧,认为模型可能会反映开发者的价值观。
  • 讨论中提到,AI 模型的训练数据和对齐过程可能会影响其输出的中立性和准确性。

Mira Murati leaves OpenAI #

https://twitter.com/miramurati/status/1839025700009030027

Mira Murati 在推特上发布了一条消息,提到她今天与 OpenAI 团队分享了一份重要的备忘录。

Mira 深情回顾了在 OpenAI 团队的六年半时光,对团队表示感激,特别是感谢 Sam 和 Greg 的信任与支持。信中提到 OpenAI 在 AI 领域的卓越贡献,如语音转语音技术和 OpenAI o1 的发布,这些成就归功于团队的智慧和努力。Mira 强调,OpenAI 不仅构建了更智能的模型,还改变了 AI 系统学习和解决复杂问题的方式,使 AI 研究更加直观和可访问。她表示将全力确保平稳过渡,并永远感激与团队共同推动科学进步的机会。最后,Mira 对团队间的友谊、成就和共同克服的挑战表示感激,并祝愿 OpenAI 未来继续站在 AI 创新的巅峰。

HN 热度 777 points | 评论 568 comments | 作者:brianjking | 1 day ago #

https://news.ycombinator.com/item?id=41651038

  • 有人认为 OpenAI 的重组和高管离职可能是为了追求利润,而不是专注于安全性,可能会导致新的公司出现。
  • 另一些评论认为,离职者可能意识到 OpenAI 当前的工作无法实现 AGI,因此选择去其他地方继续追求 AGI 和安全性。
  • 也有人指出,OpenAI 可能已经锁定在某些技术和产品上,重心转向最大化现有架构的利润。
  • 有评论提到,离职可能与内部文化和工作条件有关,可能导致员工感到疲惫和不满。
  • 一些人对政府在 AI 安全方面的监管能力表示怀疑,认为行业可能会自行监管。
  • 还有人认为,当前的 AI 技术并未达到 AGI 的水平,很多人对其能力的期望过高。
  • 有观点认为,AGI 的到来可能会导致社会结构的崩溃,经济和社会面临重大挑战。
  • 讨论中也提到,OpenAI 的未来可能受到人才流失的影响,可能会影响其在行业中的竞争力。

PostgreSQL 17 #

https://www.postgresql.org/about/news/postgresql-17-released-2936/

PostgreSQL 全球开发组于 2024 年 9 月 26 日宣布发布了 PostgreSQL 17,这是全球最先进的开源数据库的最新版本。该版本在性能和可扩展性方面进行了显著改进,适应了新兴的数据访问和存储模式。

主要改进和新特性: #

  1. 系统性能提升

    • 引入了新的内部内存结构,使得 vacuum 过程的内存消耗减少至 20 倍,从而加快了 vacuum 速度并减少了共享资源的使用。
    • 高并发工作负载的写入吞吐量提高了 2 倍,得益于写前日志(WAL)处理的改进。
    • 新的流式 I/O 接口加速了顺序扫描和 ANALYZE 更新规划器统计信息的速度。

  2. 查询执行优化

    • 对使用 B-tree 索引的 IN 子句查询进行了性能改进。
    • BRIN 索引支持并行构建,查询规划也得到了优化,包括对 NOT NULL 约束的优化。

  3. 开发者体验增强

    • 新增了 SQL/JSON 标准的支持,允许开发者将 JSON 数据转换为标准的 PostgreSQL 表。
    • MERGE 功能得到了扩展,支持条件更新和返回子句。

  4. 逻辑复制增强

    • 简化了使用逻辑复制进行重大版本升级的过程,用户无需删除逻辑复制槽。
    • 引入了 failover 控制,提高了在高可用环境中的弹性。

  5. 安全性和操作管理

    • 新增了 TLS 选项,支持直接的 TLS 握手。
    • pg_basebackup 工具现在支持增量备份,并新增了 pg_combinebackup 工具。

  6. 监控和分析功能增强

    • EXPLAIN 命令现在显示本地 I/O 块读取和写入的时间,并新增了 SERIALIZE 和 MEMORY 选项。
    • 增加了对 vacuum 索引进度的报告。

PostgreSQL 17 的发布展示了全球开源社区在数据库开发中的持续努力,旨在为用户提供更好的数据管理体验。该版本的功能不仅适用于新工作负载,也能有效支持关键系统的需求。有关新特性和改进的完整列表,请参阅发布说明。

HN 热度 526 points | 评论 107 comments | 作者:jkatz05 | 11 hours ago #

https://news.ycombinator.com/item?id=41657986

  • PostgreSQL 17 发布,贡献者们的努力得到了认可,新增了许多重要功能。
  • 新版本在清理操作(vacuum)上有显著改进,内存消耗减少了 20 倍。
  • 增加了增量备份功能,pg_basebackup 工具得到了增强。
  • 外部数据包装器(FDW)功能得到提升,支持更高效的远程查询处理。
  • JSON_TABLE 功能的引入,使得在关系数据库中处理 JSON 数据更加方便。
  • 对于复杂查询,PostgreSQL 的优化器持续改进,提升了性能。
  • 对于云数据库的凭证管理,建议使用云提供商的秘密管理工具。
  • 对于数据导入,使用 DuckDB 等工具可以有效提高效率。
  • PostgreSQL 17 支持在分区表上使用身份列和排除约束。
  • 对于数据库迁移,自动化工具的支持仍有待加强。
  • 对于大数据量的处理,Power BI 的列存储数据库引擎表现出色。
  • 对于使用开源软件的信任问题,许多企业仍存在顾虑。
  • PostgreSQL 的 JSON 支持在不断增强,但在并发更新方面仍有待改进。
  • 对于系统版本表的需求,用户希望在未来版本中得到支持。

Git-absorb: Git commit –fixup, but automatic #

https://github.com/tummychow/git-absorb

git-absorb 是一个用于 Git 的工具,旨在自动化处理未提交更改的过程,类似于 git commit --fixup。它的主要功能是将工作目录中的未提交更改“吸收”到适当的草稿祖先提交中,从而简化版本控制的工作流程。

主要功能 #

  1. 自动吸收未提交更改:当你在一个功能分支上有多个提交,并且需要根据同事的反馈进行修改时,git absorb 可以自动识别哪些提交是安全的,可以进行修改,并将相应的更改合并到这些提交中。
  2. 简化修复流程:用户只需添加修复的文件,然后运行 git absorb --and-rebase,工具会自动生成修复提交,并将其整合到对应的提交中。
  3. 灵活的配置选项:用户可以通过配置文件调整工具的行为,例如设置最大堆栈大小、是否自动阶段所有更改等。

安装方法 #

  • 通过包管理器:支持多种操作系统的包管理器,如 Arch Linux、Debian、Fedora、Ubuntu 等。
  • 从源代码编译:需要安装 Rust 的包管理工具 Cargo,然后通过 cargo install git-absorb 进行安装。

使用方法 #

  1. 添加更改:使用 git add 将要吸收的更改添加到暂存区。
  2. 运行 git absorb:该命令会创建一系列带有 fixup! 消息的提交,指向相应的目标提交。
  3. 合并提交:如果满意生成的提交,可以使用 git rebase -i --autosquash 将这些修复提交合并到其前驱提交中。

工作原理 #

git absorb 通过检查两个补丁是否可以交换应用顺序来确定合适的父提交。如果未找到合适的父提交,则该更改将保持未提交状态。

TODO 列表 #

  • 实现强制标志
  • 添加对远程默认分支的检查
  • 增加更多的日志输出和测试

许可证 #

该项目使用 BSD-3-Clause 许可证。

总的来说,git-absorb 是一个强大的工具,旨在提高 Git 用户在处理提交和修复时的效率,特别是在需要频繁修改和合并提交的工作流程中。

HN 热度 411 points | 评论 241 comments | 作者:striking | 24 hours ago #

https://news.ycombinator.com/item?id=41653191

  • 有人认为评论中的负面情绪是不必要的,使用 git absorb 的体验非常好,能够自动找到需要修复的提交,节省了手动查找的麻烦。
  • 另一些人则质疑为什么不直接推送一个“修复代码风格问题”的新提交,认为这样的提交是自包含的,能够清晰表达目的。
  • 还有人指出,使用 git absorb 可能会使得代码审查变得更加困难,因为它可能会隐藏多个提交的具体变化。
  • 有评论提到,合并提交会使得 git bisect 更加复杂,建议使用线性历史和自包含的提交。
  • 一些用户表示,虽然 git absorb 可以节省时间,但在某些情况下,手动管理提交历史可能更可控。
  • 还有人提到,团队中有些规则要求不允许提交会破坏构建的代码,认为代码历史应该保持清晰。
  • 有人提到,使用 git absorb 可以避免在历史中出现过多的“修复”提交,从而保持提交记录的整洁。
  • 也有人表示,使用 git absorb 的过程可能会带来不必要的复杂性,认为手动管理提交更符合自己的工作习惯。

OpenAI to remove non-profit control and give Sam Altman equity #

https://www.reuters.com/technology/artificial-intelligence/openai-remove-non-profit-control-give-sam-altman-equity-sources-say-2024-09-25/

根据路透社的报道,OpenAI 计划取消其非营利控制结构,并将更多的股权分配给首席执行官萨姆·阿尔特曼。这一变动旨在增强公司的灵活性和吸引投资。消息人士透露,OpenAI 的董事会正在考虑这一转变,以便在竞争激烈的人工智能领域中更好地定位公司。

此次调整可能会使 OpenAI 能够更有效地筹集资金,并加速其技术开发。阿尔特曼在推动这一变革中发挥了重要作用,旨在确保公司能够在快速发展的市场中保持竞争力。

此外,报道指出,这一决定可能会引发关于公司治理和盈利模式的广泛讨论,尤其是在人工智能技术的伦理和社会影响日益受到关注的背景下。

HN 热度 390 points | 评论 58 comments | 作者:award_ | 1 day ago #

https://news.ycombinator.com/item?id=41651548

  • OpenAI 的非营利控制被移除,许多人对这一变化表示震惊,认为这与最初的承诺背道而驰。
  • 有评论指出,在面对巨大的财富诱惑时,保持初衷是非常困难的。
  • 一些人认为,OpenAI 的转变是一个长期的阴谋,可能会导致对人类的控制。
  • 对于非营利董事会为何会批准转为营利公司,评论者表示质疑,认为这与非营利的本质相悖。
  • 有人担心,转变可能会影响 OpenAI 对 AI 安全的承诺,认为营利驱动可能会优先于社会责任。
  • 评论中提到,Sam Altman 的行为被视为缺乏道德约束,且可能会导致利益冲突。
  • 有人建议,OpenAI 可能需要重新品牌化,以反映其新的商业模式。
  • 许多人对 Altman 的领导能力表示怀疑,认为他可能会利用非营利组织的名义进行个人利益的追求。
  • 有评论认为,当前的变化可能会在历史上留下深刻的印记,类似于重要的科技转折点。

Rewriting Rust #

https://josephg.com/blog/rewriting-rust/

这篇文章《Rewriting Rust》由 Joseph Gentle 撰写,主要探讨了 Rust 编程语言的现状和未来发展潜力。以下是详细的中文摘要:

Rust 的第一代特性 #

作者将 Rust 比作第一代 iPhone,虽然在推出时令人惊艳,但仍有许多未实现的功能。他在使用 Rust 四年后,感到语言的进步速度减缓,许多新特性仍未在稳定版本中实现。

语言的共识过程 #

Rust 的共识过程在早期由少数贡献者主导,但随着社区的扩大,讨论变得复杂且效率低下。许多好的提案(如协程)在 RFC(请求评论)过程中停滞不前,导致语言发展停滞。

对 Rust 的期望 #

作者希望 Rust 能引入更多现代编程语言的特性,例如:

  • 函数特性(Effects):定义函数的行为特性,如是否会 panic、是否有固定的栈大小等。
  • 编译时能力(Compile-time Capabilities):通过标记特性来控制对敏感操作(如文件系统访问)的调用,减少供应链风险。

Pin、Move 和结构体借用 #

作者对 Rust 的 Pin 和借用检查器表示不满,认为它们过于复杂,建议通过扩展借用检查器来简化结构体的使用。

编译时执行(Comptime) #

作者提到 Zig 语言的编译时执行特性,认为 Rust 的宏系统过于复杂,建议使用 Rust 本身作为编译时代码的实现语言。

其他小改进 #

作者还提出了一些小的改进建议,如:

  • 使 Range 类型可复制。
  • 改进 if-let 表达式的逻辑与支持。
  • 使原始指针的语法更易读。

结论 #

尽管作者对 Rust 的未来感到失望,但他仍然希望能看到语言的改进。他考虑过自己分叉 Rust 编译器来实现这些想法,但也意识到这需要大量的时间和精力。

总的来说,文章表达了对 Rust 语言现状的反思和对未来改进的渴望,强调了语言发展中的共识和社区参与的重要性。

HN 热度 331 points | 评论 363 comments | 作者:yett | 18 hours ago #

https://news.ycombinator.com/item?id=41654871

  • 有人认为 Rust 核心团队在添加新特性时非常谨慎是正确的,以避免语言的复杂性和不一致性。
  • 也有人认为 Rust 在某些特性上存在功能缺失,导致语言学习和使用变得复杂,希望能解决这些问题。
  • 对于 Pin 特性的讨论中,部分人认为其设计复杂,使用困难,可能需要重新考虑其实现方式。
  • 有评论指出,Rust 的特性开发过程缓慢,导致一些功能的实现滞后,影响了开发者的使用体验。
  • 还有人提到,Rust 语言的设计应该在简化和功能扩展之间找到平衡,避免过度复杂化。
  • 有观点认为,优秀的编程语言设计应该易于学习和使用,但也承认某些特性本身就具有复杂性。
  • 讨论中提到,Rust 的依赖管理问题较为严重,可能导致项目的复杂性增加。
  • 一些评论者对 Rust 的 RFC(请求评论)过程表示不满,认为许多好主意在这个过程中被搁置。
  • 还有人提到,Rust 在处理跨平台特性时,可能需要更多的时间和精力来确保兼容性。

Eliminating Memory Safety Vulnerabilities at the Source #

https://security.googleblog.com/2024/09/eliminating-memory-safety-vulnerabilities-Android.html

这篇文章讨论了谷歌在消除 Android 内存安全漏洞方面的努力,强调了“安全编码”(Safe Coding)作为一种设计安全的软件开发方法的重要性。以下是详细摘要:

  1. 内存安全漏洞的威胁:内存安全漏洞是软件安全的普遍威胁,谷歌认为,通过转向内存安全语言并实施安全编码,可以在大规模上消除这类漏洞。

  2. 安全编码的优势:文章指出,专注于新代码的安全编码可以迅速降低整体安全风险,打破内存安全漏洞的高发 plateau,并实现可扩展和成本效益的解决方案。

  3. 数据支持:过去六年中,Android 的内存安全漏洞比例从 76% 降至 24%。这一变化与开发语言的转变密切相关。

  4. 反直觉的结果:尽管内存不安全代码的数量在增加,但通过逐步转向内存安全语言,新开发的功能使得内存安全漏洞的数量显著下降。这是因为漏洞的生命周期呈指数衰减,大多数漏洞出现在新或最近修改的代码中。

  5. 内存安全策略的演变

    • 第一代:反应性修补,主要集中在修复已发现的漏洞。
    • 第二代:主动缓解,通过提高攻击成本来减少风险。
    • 第三代:主动漏洞发现,使用模糊测试等工具检测漏洞,但未能解决根本问题。

  6. 第四代:高保障预防:转向内存安全语言不仅是技术的变化,更是安全方法的根本转变。安全编码通过语言特性、静态分析和 API 设计直接在开发平台中强制执行安全性不变性,从而建立一个安全的生态系统。

  7. 互操作性的重要性:谷歌强调不需要完全重写现有的内存不安全代码,而是要在内存安全语言与现有代码之间建立安全的互操作性,以便逐步采用新技术。

  8. 未来展望:随着安全编码的推广,预计对主动缓解和检测的依赖将减少,但其有效性将提高。谷歌计划继续分享其安全设计的努力。

总之,谷歌通过安全编码和转向内存安全语言,正在有效地减少 Android 平台上的内存安全漏洞,提升整体安全性。

HN 热度 307 points | 评论 155 comments | 作者:coffeeaddict1 | 1 day ago #

https://news.ycombinator.com/item?id=41650647

  • 文章强调在新代码中使用内存安全语言比重写现有代码更具成本效益和安全性。
  • 许多评论者认为,重写现有代码的安全性收益有限,维护成熟的遗留代码更为重要。
  • Rust 语言被认为是与其他代码库无缝集成的理想选择,但其与 C++ 的兼容性受到质疑。
  • 有人指出 Rust 在与其他语言集成方面的历史上存在敌意,但这种情况正在改善。
  • 讨论中提到,内存安全语言的选择应基于项目需求,而非盲目重写。
  • 文章的数据表明,新的代码更容易出现安全漏洞,因此应优先关注新代码的安全性。
  • 评论者对文章中关于老旧代码安全性较低的结论表示怀疑,认为可能存在其他解释。
  • 有观点认为,逐步过渡到内存安全语言可以有效降低内存安全漏洞的数量。
  • 文章的图表清晰明了,展示了数据选择和标记的重要性。
  • 讨论中提到,开发人员的时间和成本是项目成功的关键,选择合适的语言和工具至关重要。

WordPress.org bans WP Engine #

https://techcrunch.com/2024/09/25/wordpress-org-bans-wp-engine-blocks-it-from-accessing-its-resources/

在 2024 年 9 月 25 日,WordPress.org 宣布禁止托管服务提供商 WP Engine 访问其资源,这一决定引发了广泛关注。WordPress 的共同创始人及 Automattic 首席执行官 Matt Mullenweg 在 WordPress.org 的公告中指出,WP Engine 在法律争议未解决之前,将无法使用 WordPress 平台的主题和插件等资源。

Mullenweg 表示,WP Engine 试图控制用户的 WordPress 体验,要求运行自己的用户登录系统和更新服务器等。他强调,WP Engine 可以向客户提供其修改过的 WordPress 代码,但不再允许其服务器免费访问 WordPress 的服务器。这一禁令导致使用 WP Engine 服务的网站无法安装插件或更新主题,进而使得这些网站面临安全更新缺失的风险。

WP Engine 对此表示关注,并称正在寻找解决方案。该公司在声明中指出,虽然 WordPress.org 已阻止其客户通过 WP Admin 更新和安装插件和主题,但这并不影响网站的性能、可靠性或安全性。

此次事件的起因是 Mullenweg 在一次会议上公开批评 WP Engine,称其为 WordPress 的“癌症”,并指责该公司在社区贡献方面不如 Automattic。随后,WP Engine 向 Mullenweg 和 Automattic 发出了停止侵权的信函,要求撤回相关言论,并指控 Mullenweg 威胁采取极端措施。

Automattic 也向 WP Engine 发出了停止侵权的信函,指控其侵犯 WordPress 和 WooCommerce 的商标。WordPress 基金会则表示,WP Engine 确实违反了 WordPress 商标政策。

Mullenweg 在禁令发布后不久的博客中提到,商标问题是核心。他表示,Automattic 一直在尝试与 WP Engine 达成许可协议,并提供了支付许可费或以实物形式贡献开源项目的选项,但未详细说明实物贡献的具体内容。

此次事件不仅影响了 WP Engine 及其客户,也对整个 WordPress 生态系统产生了广泛影响。

HN 热度 261 points | 评论 288 comments | 作者:openplatypus | 15 hours ago #

https://news.ycombinator.com/item?id=41655967

  • 有人认为 WordPress.org 与 WP Engine 之间的争端反映了 Automattic 与 WP Engine 之间的竞争关系,WordPress.org 不应在此争端中利用其资源。
  • 另一些评论指出,Automattic 和 WordPress.org 之间的界限模糊,可能导致对其他竞争对手的不公平对待。
  • 有人担心这种行为可能会对 WordPress 基金会的 501c(3)非营利地位造成风险。
  • 讨论中提到,WP Engine 可能会向 IRS 投诉 WordPress.org 滥用税收豁免状态。
  • 一些评论者认为,WordPress.org 的行为可能会损害其作为一个开放源代码项目的声誉。
  • 还有人指出,WP Engine 的商业模式与 WordPress.org 的开放性原则存在冲突。
  • 有评论提到,WordPress.org 的资源不应被视为免费使用的权利,尤其是在 WP Engine 未能对 WordPress 社区做出足够贡献的情况下。
  • 讨论中提到,Automattic 的领导人 Matt Mullenweg 的行为可能会导致 WordPress 社区对其信任的下降。
  • 一些人认为,WP Engine 的用户可能会因为 WordPress.org 的决定而受到影响,导致对 WordPress 的信任度降低。
  • 还有人提到,WordPress.org 的行为可能会引发法律问题,尤其是在商标和版权方面。