最新

“消息”似乎已经从 Google Takeout 中消失了。有没有人知道 Google 为什么移除了它，或者是否有官方通知或解释？

我今天意识到一个重大事实：我们都被愚弄了。 目前发生的所有供应链攻击，如果我们只是将各自语言的 vendor/node_modules/venv 目录提交到 git，并直接从中部署，这些攻击根本就不会发生。 放弃依赖安装和升级步骤吧。放弃自动构建步骤。放弃因为 $package_owner 不遵循语义版本控制而导致的破坏性更改。 逐个提交依赖及其更新，一直以来都是摆脱这个混乱局面的办法。 今天就把 vendor/node_modules/venv 从你的 .gitignore 中移除，跳过 CI 中的安装步骤，你就能立即消除 99% 的攻击面。难道这一直都这么简单吗？我觉得是的！ 你认为提交你的 composer.lock 或 package.lock 能拯救你吗？哈哈。npm install 是“智能”的，会检查更新并悄悄安装新版本，更新你的锁定文件。你应该使用 npm ci。我们还在积极训练开发者运行 'composer update' 来检查可能在本地遇到的“问题”的新版本，并将锁定文件作为修复问题的第一步删除。 你会审核每一个对 composer.lock 的更新吗？那一个看似无辜的提交哈希一旦改变，可能就会引入 20kb 的混淆漏洞代码，而你却对此一无所知。 所有这一切都被长期存在的搞笑 GitHub bug 加剧了：你可以分叉一个仓库并将你的提交推送到它，然后提取提交哈希并将其附加到原始仓库的 URL。在 GitHub 的网页界面上，你会看到一条通知：“这个提交可能不属于这个仓库或它的分叉”，但在终端上你永远看不到这一点，而这正是当前蠕虫所利用的。 提交你的依赖并消除安装步骤将使所有这些变得可追踪和可追溯。在我看来，这样带来的性能损失是值得的。

我一直觉得，寻找可以一起合作副项目的人是多么具有挑战性，这真是有趣。<p>实际上，有整整一部分Reddit子版块专门供人们发布寻找合作伙伴的信息。这种方式非常低效。此外，还有专门的通讯来满足这个需求（同样也很低效）。<p>因此，我推出了“Let's Jam”，这是我尝试解决这个问题的方式。<p>这并不是一个联合创始人匹配平台。这个想法是连接有创意和技能的人，让他们能够一起合作。如果他们最终成为联合创始人，那很好，但这取决于他们自己。这也不是一个自由职业者寻找工作机会的地方。再次强调，这个平台是为那些有想法或技能并希望一起合作的人而设的。<p>它的工作方式如下：<p>&gt; 你可以 a) 找到一个项目并请求与那个人合作，b) 发布一个项目，等待有人请求与你合作，c) 声明一个想法，等待有人请求与你合作。<p>&gt; 一旦有人请求与你合作，你会收到一封电子邮件，你可以通过LinkedIn或他们的过往工作进行筛选。如果你认为他们合适，就接受他们的请求，他们会联系你。<p>&gt; 就这样。简单。<p>任何反馈都非常感谢！

我在2023年离开这个领域，2026年回来，发现编码代理的进展仅仅是渐进式的发展，而一些生产解决方案不过是工具的拼凑，可能还有MCP，这总体上也只是工具。我原以为从那时到现在会有巨大的飞跃，但实际上并没有什么变化。

我正在创建一个数学网站，想寻求帮助。谢谢！