2026-04-02
作者指出第三方库的漏洞(如 XZ 后门和 Trivy 事件)证明了依赖项带来的巨大安全风险,且开发依赖同样可能导致凭据泄露。文章认为真正的风险点在于缺乏审查的自动更新,因此建议关闭 Dependabot 等工具。作者提倡遵循 Go 语言格言,通过少量代码复制代替引入不必要的依赖,从而缩小攻击面并保持软件精简安全。
社区讨论普遍支持作者观点,认为一个依赖项往往意味着多个潜在攻击点,并批评了构建时不使用缓存而实时下载依赖的危险做法。有评论指出,大型企业的合规性要求往往强制推行自动化更新,导致开发者难以平衡风险与效率。此外,部分用户质疑开发者在引入初始依赖时是否真的做了充分审查,并探讨了在“造轮子”与引入外部风险之间的权衡难题。
BrowserGate 调查指出,领英在用户访问时运行隐藏代码,利用 fetch API 探测浏览器扩展程序的公开资源路径,从而识别用户安装的软件。该行为被指涉及收集用户宗教、政治倾向及求职活动等敏感信息,并用于识别竞争对手产品以进行商业间谍活动。报告还指责领英通过此手段规避欧盟《数字市场法案》的监管,并将数据传输给第三方网络安全公司。
社区讨论对该调查报告的严谨性表示怀疑,指出领英隐私政策中已提及收集插件信息,且部分证据被指存在 AI 生成的错误或过度解读。技术上,评论解释了该扫描利用了 Chrome 扩展的 web_accessible_resources 特性。讨论者普遍建议通过使用 Firefox 浏览器或减少使用领英来保护隐私。
jj v0.40.0 引入了多项功能改进,包括新增用于匹配差异行的 revset 函数,以及对 jj arrange TUI 界面进行了优化,使其支持更直观的提交移动和更丰富的上下文显示。模板系统得到增强,支持动态配置查找和更灵活的字符串截取。此外,操作日志命令现在默认仅显示感兴趣的修订版本,并提升了对 UTF-8 BOM 格式 .gitignore 文件和 gpgsm 的兼容性。
社区对新版本反应积极,许多用户表示已完全转向 jj 并称赞其操作流畅度。讨论中提到,虽然 jj 与 Git 高度兼容,但在推送标签和处理大文件方面仍需依赖 Git 命令。有用户建议通过禁用同地协作模式或开发提醒工具来克服 Git 的肌肉记忆。