RedMonk最新编程语言排行榜;Spring 框架现 RCE 漏洞……|叨资讯

简介: 该问题首先由 AntGroup FG 的 codeplutos, meizjm3i 于周二晚间,接近格林威治标准时间午夜时分向 VMware 报告。周三,官方进行了调查、分析、确定修复、测试,同时瞄准周四的紧急发布。与此同时,同样在周三,详细信息已在网上全面泄露,这就是官方在发布和 CVE 报告之前提供此更新的原因。

哈喽,大家好,我是强哥。


Spring 框架现 RCE 漏洞;按月租用iPhone手机、随时能换新款;俄罗斯或将转用 HarmonyOS;Chrome 100发布;RedMonk最新编程语言排行榜;Spring Cloud Function现SPEL漏洞;React 18发布;免费的编程中文书籍索引;系统设计入门;低代码平台:lowcode-engine;经济学电子书;Moby。


科技资讯


Spring 框架现 RCE 漏洞


没错,之前网上疯传的Spring漏洞官方终于正式公布了:


36.png


该问题首先由 AntGroup FG 的 codeplutos, meizjm3i 于周二晚间,接近格林威治标准时间午夜时分向 VMware 报告。周三,官方进行了调查、分析、确定修复、测试,同时瞄准周四的紧急发布。与此同时,同样在周三,详细信息已在网上全面泄露,这就是官方在发布和 CVE 报告之前提供此更新的原因。


该漏洞影响在 JDK 9+ 上运行的 Spring MVC 和 Spring WebFlux 应用程序。具体的利用需要应用程序作为 WAR 部署在 Tomcat 上运行。如果应用程序被部署为 Spring Boot 可执行 jar,即默认值,则它不易受到漏洞利用。但是,该漏洞的性质更为普遍,可能还有其他方法可以利用它。


具体详细修复信息大家可到如下地址查看:


https://spring.io/blog/2022/03/31/spring-framework-rce-early-announcement#misconceptions


按月租用iPhone手机、随时能换新款


据海外网站最新报道,苹果公司正在计划为iPhone和其他硬件产品开发一种订阅服务,可以让用户直接按月支付费用,来“租用”设备。有分析认为,这项服务将成为苹果实现自动重复销售的一次最大推动,让用户首次订阅硬件而不仅仅是数字服务。用户只需每月支付一定的费用,就可以直接使用iPhone和iPad硬件。


这让强哥想起了历史总是惊人的相似:马克·贝尼奥夫(Marc Benioff)毕业去了Oracle,26岁成了公司最年轻的副总裁。突然有一天,他发觉Oracle老了,尽管是企业服务领域的绝对王者,但是除了数据库,Oracle没创造出任何伟大的东西。


最该死的是模式老迈,售卖只读光盘(CD-ROM)的软件包。企业不仅要一次性掏钱买软件,还要花费6-18个月安装测试,还要组建自己的技术团队,还要保持硬件和网络方面的更新和投资,还要每年向Oracle支付咨询、培训费……


年轻人被新出现的互联网深深吸引,为什么不摒弃光盘,用互联网来提供软件服务?这样一来,用户不用再一次性购买,而是采用更简单和更经济的订阅模式,按年甚至按月支付使用费。于是,他在1999年创办Salesforce。


俄罗斯或将转用 HarmonyOS


3 月 24 日 Mobile Research Group 首席分析师 Eldar Murtazin 在 Telegram 上表示:“3 月 23 日,谷歌已经开始拒绝所有俄罗斯公司的认证项目,原因是:美国出口法禁止向俄罗斯提供服务,以及向俄罗斯出口、再出口或转让源自美国的软件和技术。”,这意味着俄罗斯公司将无法为其国内市场发行 Android 智能手机,其手机厂商也无法在其接下来的 Android 智能手机中使用 GMS 服务,甚至俄罗斯可能也无法进口获得授权许可的 Android 设备。


俄罗斯 BQ 公司首先做出回应:其 CEO Vladimir Puzanov 表示,公司正在测试 HarmonyOS,而运行 HarmonyOS 的新 BQ 智能手机最早可能会在 2022 年下半年问世。


这个对于我国来说,是机遇也是挑战吧。加油!!!


35.png


Chrome 100发布


谷歌3月30日发布了新版本Chrome浏览器,版本号为100,终于达到了3位数。谷歌Chrome浏览器在2008年9月发布,至今过去了13年半。


在过去10多年的时间中,谷歌每隔6周会推出重要Chrome版本更新,并增加一位版本号。从2021年9月开始,更新频率为每四周,这是为了更快地修复安全漏洞和推出新功能。


Chrome 100有了新的图标,虽然变化并不是很明显,而按照谷歌的说法,新版本继续大幅减少内存、CPU占用率,速度更快。


这倒是让强哥有兴趣更新一波,像我这种非常喜欢打开网页不关的人来说,Chrome的往往是系统中数一数二占性能的进程。


RedMonk最新编程语言排行榜


2022年Q1即将结束,在该季度编程语言发生了哪些变化?在 GitHub 和 Stack Overflow 上什么语言的讨论度最高?知名软件行业分析公司 RedMonk 对 GitHub Archive 和 Stack Overflow 数据工具进行分析后,发布了 2022 年 Q1 编程语言排名。

TOP 10编程语言的详细排名:


  1. JavaScript
  2. Python
  3. Java
  4. PHP
  5. CSS
  6. C#
  7. C++
  8. TypeScript
  9. Ruby
  10. C


Spring Cloud Function现SPEL漏洞


近日,Spring Cloud Function 官方测试用例曝光了 Spring Cloud Function SPEL 表达式注入漏洞,可利用该漏洞通过注入 SPEL 表达式来触发远程命令执行。


34.png


“由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,攻击者可利用该漏洞远程执行任意代码。”


Spring Cloud Function 的某些版本特定配置(版本 3 <= 版本 <= 3.2.2)的动态路由受到影响。


目前Spring Cloud Function官方已发布此漏洞的补丁:


33.png


React 18发布


前端框架React正式发布了18版本,该版本的主要更新包括开箱即用的功能改进,如自动批处理、新的AIP(如startTransition)和支持Suspense的流式服务器端渲染。该版本的许多功能都建立在新的并发渲染器之上,这是React 18中最重要的功能改进。官方博客表示,希望开发者在使用React时,永远不用考虑并发性。


开源热点


免费的编程中文书籍索引


免费的编程中文书籍索引,项目中包含了网友们投递的各种电子书,内容十分丰富,对于想要学习的小伙伴,这个开源项目千万不要错过:


  • 国外程序员在 stackoverflow 推荐的程序员必读书籍,中文版。
  • stackoverflow 上的程序员应该阅读的非编程类书籍有哪些?中文版
  • github 上的一个流行的编程书籍索引 中文版


32.png


地址:https://github.com/justjavac/free-programming-books-zh_CN


系统设计入门


这个项目的目的是:


  • 学习如何设计大型系统。
  • 为系统设计的面试做准备。


强哥看到这个项目的时候,非常有学习的冲动,直接点了start。对于有几年开发经验的小伙伴来说,如何提升自己设计大型项目的能力无疑是非常关键的。而这个项目重点讲的就是这方面的内容:


31.png


地址:https://github.com/donnemartin/system-design-primer


低代码平台:lowcode-engine


低代码真的是越来越流行了,lowcode-engine 便是阿里开源的低代码平台。特性:


  • 提炼自企业级低代码平台的面向扩展设计的内核引擎
  • 开箱即用的高质量生态元素,包括 物料体系、设置器、插件 等
  • 完善的工具链,支持 物料体系、设置器、插件 等生态元素的全链路研发周期
  • 强大的扩展能力,已支撑近 100 个各种垂直类低代码平台
  • 使用 TypeScript 开发,提供完整的类型定义文件


30.png


地址:https://github.com/alibaba/lowcode-engine


经济学电子书


the-economist-ebooks 收录了大量的经济学刊物,包括经济学人 (含音频)、纽约客、自然、新科学人、卫报、科学美国人、连线、大西洋月刊、国家地理等英语杂志,支持 epub、mobi、pdf 格式,可进行 Kindle 推送。


29.png


地址:https://github.com/hehonghui/the-economist-ebooks


Moby


这周Moby又上GitHub热门,很多人可能不知道Moby,但是你们肯定知道Docker。


28.png



在DockerCon17上,Docker发布了两个新的开源项目LinuxKit和Moby。而原来在Github上托管的docker也随着PR #32691的合入正式变为Moby。


Docker公司直接把原Docker项目改名成了Moby,是为了将之前数年里构建出来的庞大的粉丝团体和Google搜索内容(Google search footprint).全部转移到Docker公司的商业产品上。


为什么这么搞呢?


27.png


地址:https://github.com/moby/moby


叨逼叨


最亲民的苹果桌面


26.png


如果想使用苹果的桌面电脑,目前最便宜的方案(不考虑黑苹果),大概是 Mac mini 主机 + 一台显示器。但是,有网友在推特说,更好的方案是使用没有屏幕的 MacBook Pro。


他说,购买拆掉屏幕的 MacBook Pro,将其当作主机使用,这样不仅有触控板和键盘,而且还有更好的扬声器,更重要是售价也更亲民。


25.png


哈哈,强哥看到这篇文章的时候,看了看自己用了几年的破二手笔记本,心里瞬间就痒痒了。去淘宝搜了下,居然真的有卖不带屏幕的Mac的淘宝店,我的个乖乖,果然淘宝上面什么都卖,先收藏了,等哪天有人粉丝涨上去了就去买。


更让我头秃的是裁员的文章


最近又一次爆发「裁员」热潮,很多朋友跟我反馈裁员焦虑。下面是摘自「码农翻身」的一篇采访一个大厂程序媛的部分内容:


24.png


23.png


22.png


不知道各位看完了是否也深有同感,作为一个有几年开发工作经验的程序员来说,每天不管你想看还是不想看,还是会时不时的被裁员的文章所吸引,尤其是像强哥一样经历过被裁员的人来说,类似的文章更加会引起焦虑。


国内的互联网在经历了高速发展期之后,似乎也遇到了瓶颈。大环境的不景气更是加重了各行各业人们的恐慌。失业了自己要做什么?以后一直做程序员吗?年龄再大一些公司还会招我吗?


有很多问题,强哥也没法给出答案。但是,希望大家能够有更多的探索,除了做好手头上的工作,有时间了,多多地接触一些理财相关的知识。多拓宽一些自己的眼界,多尝试一些新的东西。


一味焦虑无法解决任何问题,不够自信也是我们被动焦虑的缘由。而无法从工作之外的途径获取经济来源让我们更是充满了危机感。既然问题就在这里,何不在事情来临前就多做一些准备,多去试错,有收获也好,没收获也罢,至少不要浪费时间先把自己埋在焦虑之中罢。就比如强哥微信,获取面试资料,找工作的时候肯定用得上。哈哈哈,开个玩笑,总之,让自己充实起来,多思考很重要。

相关文章
|
1月前
|
数据采集 监控 前端开发
二级公立医院绩效考核系统源码,B/S架构,前后端分别基于Spring Boot和Avue框架
医院绩效管理系统通过与HIS系统的无缝对接,实现数据网络化采集、评价结果透明化管理及奖金分配自动化生成。系统涵盖科室和个人绩效考核、医疗质量考核、数据采集、绩效工资核算、收支核算、工作量统计、单项奖惩等功能,提升绩效评估的全面性、准确性和公正性。技术栈采用B/S架构,前后端分别基于Spring Boot和Avue框架。
|
2月前
|
Java API 数据库
构建RESTful API已经成为现代Web开发的标准做法之一。Spring Boot框架因其简洁的配置、快速的启动特性及丰富的功能集而备受开发者青睐。
【10月更文挑战第11天】本文介绍如何使用Spring Boot构建在线图书管理系统的RESTful API。通过创建Spring Boot项目,定义`Book`实体类、`BookRepository`接口和`BookService`服务类,最后实现`BookController`控制器来处理HTTP请求,展示了从基础环境搭建到API测试的完整过程。
48 4
|
2月前
|
Java API 数据库
Spring Boot框架因其简洁的配置、快速的启动特性及丰富的功能集而备受开发者青睐
本文通过在线图书管理系统案例,详细介绍如何使用Spring Boot构建RESTful API。从项目基础环境搭建、实体类与数据访问层定义,到业务逻辑实现和控制器编写,逐步展示了Spring Boot的简洁配置和强大功能。最后,通过Postman测试API,并介绍了如何添加安全性和异常处理,确保API的稳定性和安全性。
38 0
|
2月前
|
前端开发 Java 数据库连接
Spring 框架:Java 开发者的春天
Spring 框架是一个功能强大的开源框架,主要用于简化 Java 企业级应用的开发,由被称为“Spring 之父”的 Rod Johnson 于 2002 年提出并创立,并由Pivotal团队维护。
57 1
Spring 框架:Java 开发者的春天
|
27天前
|
JavaScript 安全 Java
如何使用 Spring Boot 和 Ant Design Pro Vue 构建一个前后端分离的应用框架,实现动态路由和菜单功能
本文介绍了如何使用 Spring Boot 和 Ant Design Pro Vue 构建一个前后端分离的应用框架,实现动态路由和菜单功能。首先,确保开发环境已安装必要的工具,然后创建并配置 Spring Boot 项目,包括添加依赖和配置 Spring Security。接着,创建后端 API 和前端项目,配置动态路由和菜单。最后,运行项目并分享实践心得,帮助开发者提高开发效率和应用的可维护性。
49 2
|
2月前
|
人工智能 Java API
阿里云开源 AI 应用开发框架:Spring AI Alibaba
近期,阿里云重磅发布了首款面向 Java 开发者的开源 AI 应用开发框架:Spring AI Alibaba(项目 Github 仓库地址:alibaba/spring-ai-alibaba),Spring AI Alibaba 项目基于 Spring AI 构建,是阿里云通义系列模型及服务在 Java AI 应用开发领域的最佳实践,提供高层次的 AI API 抽象与云原生基础设施集成方案,帮助开发者快速构建 AI 应用。本文将详细介绍 Spring AI Alibaba 的核心特性,并通过「智能机票助手」的示例直观的展示 Spring AI Alibaba 开发 AI 应用的便利性。示例源
|
26天前
|
消息中间件 NoSQL Java
springboot整合常用中间件框架案例
该项目是Spring Boot集成整合案例,涵盖多种中间件的使用示例,每个案例项目使用最小依赖,便于直接应用到自己的项目中。包括MyBatis、Redis、MongoDB、MQ、ES等的整合示例。
82 1
|
2月前
|
人工智能 开发框架 Java
总计 30 万奖金,Spring AI Alibaba 应用框架挑战赛开赛
Spring AI Alibaba 应用框架挑战赛邀请广大开发者参与开源项目的共建,助力项目快速发展,掌握 AI 应用开发模式。大赛分为《支持 Spring AI Alibaba 应用可视化调试与追踪本地工具》和《基于 Flow 的 AI 编排机制设计与实现》两个赛道,总计 30 万奖金。
|
2月前
|
Java 数据库连接 开发者
Spring 框架:Java 开发者的春天
【10月更文挑战第27天】Spring 框架由 Rod Johnson 在 2002 年创建,旨在解决 Java 企业级开发中的复杂性问题。它通过控制反转(IOC)和面向切面的编程(AOP)等核心机制,提供了轻量级的容器和丰富的功能,支持 Web 开发、数据访问等领域,显著提高了开发效率和应用的可维护性。Spring 拥有强大的社区支持和丰富的生态系统,是 Java 开发不可或缺的工具。
|
2月前
|
Java 数据库连接 数据库
让星星⭐月亮告诉你,SSH框架01、Spring概述
Spring是一个轻量级的Java开发框架,旨在简化企业级应用开发。它通过IoC(控制反转)和DI(依赖注入)降低组件间的耦合度,支持AOP(面向切面编程),简化事务管理和数据库操作,并能与多种第三方框架无缝集成,提供灵活的Web层支持,是开发高性能应用的理想选择。
39 1