RedMonk最新编程语言排行榜；Spring 框架现 RCE 漏洞……|叨资讯

哈喽，大家好，我是强哥。

Spring 框架现 RCE 漏洞；按月租用iPhone手机、随时能换新款；俄罗斯或将转用 HarmonyOS；Chrome 100发布；RedMonk最新编程语言排行榜；Spring Cloud Function现SPEL漏洞；React 18发布；免费的编程中文书籍索引；系统设计入门；低代码平台：lowcode-engine；经济学电子书；Moby。

科技资讯

Spring 框架现 RCE 漏洞

没错，之前网上疯传的Spring漏洞官方终于正式公布了：

该问题首先由 AntGroup FG 的 codeplutos, meizjm3i 于周二晚间，接近格林威治标准时间午夜时分向 VMware 报告。周三，官方进行了调查、分析、确定修复、测试，同时瞄准周四的紧急发布。与此同时，同样在周三，详细信息已在网上全面泄露，这就是官方在发布和 CVE 报告之前提供此更新的原因。

该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序被部署为 Spring Boot 可执行 jar，即默认值，则它不易受到漏洞利用。但是，该漏洞的性质更为普遍，可能还有其他方法可以利用它。

具体详细修复信息大家可到如下地址查看：

https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#misconceptions

按月租用iPhone手机、随时能换新款

据海外网站最新报道，苹果公司正在计划为iPhone和其他硬件产品开发一种订阅服务，可以让用户直接按月支付费用，来“租用”设备。有分析认为，这项服务将成为苹果实现自动重复销售的一次最大推动，让用户首次订阅硬件而不仅仅是数字服务。用户只需每月支付一定的费用，就可以直接使用iPhone和iPad硬件。

这让强哥想起了历史总是惊人的相似：马克·贝尼奥夫（Marc Benioff）毕业去了Oracle，26岁成了公司最年轻的副总裁。突然有一天，他发觉Oracle老了，尽管是企业服务领域的绝对王者，但是除了数据库，Oracle没创造出任何伟大的东西。

最该死的是模式老迈，售卖只读光盘（CD-ROM）的软件包。企业不仅要一次性掏钱买软件，还要花费6-18个月安装测试，还要组建自己的技术团队，还要保持硬件和网络方面的更新和投资，还要每年向Oracle支付咨询、培训费……

年轻人被新出现的互联网深深吸引，为什么不摒弃光盘，用互联网来提供软件服务？这样一来，用户不用再一次性购买，而是采用更简单和更经济的订阅模式，按年甚至按月支付使用费。于是，他在1999年创办Salesforce。

俄罗斯或将转用 HarmonyOS

3 月 24 日 Mobile Research Group 首席分析师 Eldar Murtazin 在 Telegram 上表示：“3 月 23 日，谷歌已经开始拒绝所有俄罗斯公司的认证项目，原因是：美国出口法禁止向俄罗斯提供服务，以及向俄罗斯出口、再出口或转让源自美国的软件和技术。”，这意味着俄罗斯公司将无法为其国内市场发行 Android 智能手机，其手机厂商也无法在其接下来的 Android 智能手机中使用 GMS 服务，甚至俄罗斯可能也无法进口获得授权许可的 Android 设备。

俄罗斯 BQ 公司首先做出回应：其 CEO Vladimir Puzanov 表示，公司正在测试 HarmonyOS，而运行 HarmonyOS 的新 BQ 智能手机最早可能会在 2022 年下半年问世。

这个对于我国来说，是机遇也是挑战吧。加油！！！

Chrome 100发布

谷歌3月30日发布了新版本Chrome浏览器，版本号为100，终于达到了3位数。谷歌Chrome浏览器在2008年9月发布，至今过去了13年半。

在过去10多年的时间中，谷歌每隔6周会推出重要Chrome版本更新，并增加一位版本号。从2021年9月开始，更新频率为每四周，这是为了更快地修复安全漏洞和推出新功能。

Chrome 100有了新的图标，虽然变化并不是很明显，而按照谷歌的说法，新版本继续大幅减少内存、CPU占用率，速度更快。

这倒是让强哥有兴趣更新一波，像我这种非常喜欢打开网页不关的人来说，Chrome的往往是系统中数一数二占性能的进程。

RedMonk最新编程语言排行榜

2022年Q1即将结束，在该季度编程语言发生了哪些变化？在 GitHub 和 Stack Overflow 上什么语言的讨论度最高？知名软件行业分析公司 RedMonk 对 GitHub Archive 和 Stack Overflow 数据工具进行分析后，发布了 2022 年 Q1 编程语言排名。

TOP 10编程语言的详细排名：

1. JavaScript
2. Python
3. Java
4. PHP
5. CSS
6. C#
7. C++
8. TypeScript
9. Ruby
10. C

Spring Cloud Function现SPEL漏洞

近日，Spring Cloud Function 官方测试用例曝光了 Spring Cloud Function SPEL 表达式注入漏洞，可利用该漏洞通过注入 SPEL 表达式来触发远程命令执行。

“由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理，造成了Spel表达式注入漏洞，攻击者可利用该漏洞远程执行任意代码。”

Spring Cloud Function 的某些版本特定配置（版本 3 <= 版本 <= 3.2.2）的动态路由受到影响。

目前Spring Cloud Function官方已发布此漏洞的补丁:

React 18发布

前端框架React正式发布了18版本，该版本的主要更新包括开箱即用的功能改进，如自动批处理、新的AIP（如startTransition）和支持Suspense的流式服务器端渲染。该版本的许多功能都建立在新的并发渲染器之上，这是React 18中最重要的功能改进。官方博客表示，希望开发者在使用React时，永远不用考虑并发性。

开源热点

免费的编程中文书籍索引

免费的编程中文书籍索引，项目中包含了网友们投递的各种电子书，内容十分丰富，对于想要学习的小伙伴，这个开源项目千万不要错过：

• 国外程序员在 stackoverflow 推荐的程序员必读书籍，中文版。
• stackoverflow 上的程序员应该阅读的非编程类书籍有哪些？中文版
• github 上的一个流行的编程书籍索引 中文版

地址：https://github.com/justjavac/free-programming-books-zh_CN

系统设计入门

这个项目的目的是：

• 学习如何设计大型系统。
• 为系统设计的面试做准备。

强哥看到这个项目的时候，非常有学习的冲动，直接点了start。对于有几年开发经验的小伙伴来说，如何提升自己设计大型项目的能力无疑是非常关键的。而这个项目重点讲的就是这方面的内容：

地址：https://github.com/donnemartin/system-design-primer

低代码平台：lowcode-engine

低代码真的是越来越流行了，lowcode-engine 便是阿里开源的低代码平台。特性：

• 提炼自企业级低代码平台的面向扩展设计的内核引擎
• 开箱即用的高质量生态元素，包括 物料体系、设置器、插件 等
• 完善的工具链，支持 物料体系、设置器、插件 等生态元素的全链路研发周期
• 强大的扩展能力，已支撑近 100 个各种垂直类低代码平台
• 使用 TypeScript 开发，提供完整的类型定义文件

地址：https://github.com/alibaba/lowcode-engine

经济学电子书

the-economist-ebooks 收录了大量的经济学刊物，包括经济学人 (含音频)、纽约客、自然、新科学人、卫报、科学美国人、连线、大西洋月刊、国家地理等英语杂志，支持 epub、mobi、pdf 格式，可进行 Kindle 推送。

地址：https://github.com/hehonghui/the-economist-ebooks

Moby

这周Moby又上GitHub热门，很多人可能不知道Moby，但是你们肯定知道Docker。

在DockerCon17上，Docker发布了两个新的开源项目LinuxKit和Moby。而原来在Github上托管的docker也随着PR #32691的合入正式变为Moby。

Docker公司直接把原Docker项目改名成了Moby，是为了将之前数年里构建出来的庞大的粉丝团体和Google搜索内容（Google search footprint）.全部转移到Docker公司的商业产品上。

为什么这么搞呢？

地址：https://github.com/moby/moby

叨逼叨

最亲民的苹果桌面

如果想使用苹果的桌面电脑，目前最便宜的方案（不考虑黑苹果），大概是 Mac mini 主机 + 一台显示器。但是，有网友在推特说，更好的方案是使用没有屏幕的 MacBook Pro。

他说，购买拆掉屏幕的 MacBook Pro，将其当作主机使用，这样不仅有触控板和键盘，而且还有更好的扬声器，更重要是售价也更亲民。

哈哈，强哥看到这篇文章的时候，看了看自己用了几年的破二手笔记本，心里瞬间就痒痒了。去淘宝搜了下，居然真的有卖不带屏幕的Mac的淘宝店，我的个乖乖，果然淘宝上面什么都卖，先收藏了，等哪天有人粉丝涨上去了就去买。

更让我头秃的是裁员的文章

最近又一次爆发「裁员」热潮，很多朋友跟我反馈裁员焦虑。下面是摘自「码农翻身」的一篇采访一个大厂程序媛的部分内容：

不知道各位看完了是否也深有同感，作为一个有几年开发工作经验的程序员来说，每天不管你想看还是不想看，还是会时不时的被裁员的文章所吸引，尤其是像强哥一样经历过被裁员的人来说，类似的文章更加会引起焦虑。

国内的互联网在经历了高速发展期之后，似乎也遇到了瓶颈。大环境的不景气更是加重了各行各业人们的恐慌。失业了自己要做什么？以后一直做程序员吗？年龄再大一些公司还会招我吗？

有很多问题，强哥也没法给出答案。但是，希望大家能够有更多的探索，除了做好手头上的工作，有时间了，多多地接触一些理财相关的知识。多拓宽一些自己的眼界，多尝试一些新的东西。

一味焦虑无法解决任何问题，不够自信也是我们被动焦虑的缘由。而无法从工作之外的途径获取经济来源让我们更是充满了危机感。既然问题就在这里，何不在事情来临前就多做一些准备，多去试错，有收获也好，没收获也罢，至少不要浪费时间先把自己埋在焦虑之中罢。就比如强哥微信，获取面试资料，找工作的时候肯定用得上。哈哈哈，开个玩笑，总之，让自己充实起来，多思考很重要。