2025-03-16 Hacker News Top Stories 1. Milk Kanban 的概念及其应用 (Milk Kanban) https://brodzinski.com/2025/03/milk-kanban.html
本文讨论了 Kanban 的概念及其在实际应用中的简化。作者指出,Kanban 的本质是通过视觉信号来传达信息,例如需要完成的工作或需要关注的任务。作者以办公室经理 Kasia 为例,介绍了一个简单的 Kanban 系统。
HN 评论 120 comments | 作者:ladronevincet | 9 hours ago • Milk Kanban 的概念源自制造业中的补货系统,通过可视化信号来触发补货。
• 软件开发中的 Kanban 方法强调可视化工作流程和限制工作进度。
• 不同领域对 Kanban 的理解不同,制造业注重补货信号,而软件开发则注重可视化工作流程和限制工作进度。
• Kanban 的原理在各个领域都可以应用,包括日常生活中的物品管理。
• 有些产品设计中会加入可视化信号来提示用户需要补货或更换。
2. 受欢迎的 GitHub Action 工具被入侵 (Popular GitHub Action tj-actions/changed-files is compromised) https://semgrep.dev/blog/2025/popular-github-action-tj-actionschanged-files-is-compromised/
近期,一款受欢迎的 GitHub Action 工具 “tj-actions/changed-files” 遭到攻击,黑客在其代码中植入了恶意代码,试图窃取用户的秘密信息,这一事件对成千上万的持续集成(CI)管道造成了影响。
HN 评论 269 points | 评论 3 comments | 作者:moyer | 1 day ago • 很多人不再安装具有多个传递依赖的 npm 包。
• 开始避免安装 VSCode 或 Chrome 扩展。
• 第三方库经常被劫持,或者开发者可能会注入恶意代码。
• 强调设置受保护的分支和标签以防止意外更改。
• 讨论了网络访问控制,建议消除不必要的互联网访问权限。
3. 纽约时报关闭 Tor 服务 (New York Times shut down Tor Onion service) https://open.nytimes.com/https-open-nytimes-com-the-new-york-times-as-a-tor-onion-service-e0d0b67b7482
《纽约时报》关闭了其 Tor 服务,这一服务曾允许用户通过 Tor 网络访问其网站。关闭的原因并未明确说明,但可能与技术和安全问题有关。
HN 评论 154 comments | 作者:vaygr | 1 day ago • 订阅费使得 Tor 服务的使用价值降低。
• 不确定是否可以通过 Tor 购买订阅,可能存在欺诈风险。
• WhatsApp 和 Telegram 无法替代 Tor 访问,容易被政府封锁。
• 使用这些应用程序会暴露用户的阅读习惯,增加被监控的风险。
• Runa Sandvik 的被解雇被视为对公司的重大损失。
4. Akira 勒索软件加密文件解密方法 (Decrypting encrypted files from Akira ransomware using a bunch of GPUs) https://tinyhack.com/2025/03/13/decrypting-encrypted-files-from-akira-ransomware-linux-esxi-variant-2024-using-a-bunch-of-gpus/
本文介绍了一种从 Akira 勒索软件(Linux/ESXI 变体 2024)加密文件中恢复数据的方法。作者分享了他帮助一家公司从 Akira 勒索软件中恢复数据的经历,而无需支付赎金。
HN 评论 50 comments | 作者:costco | 1 day ago • 公开披露漏洞会导致黑客修复漏洞,使得其他受害者无法恢复文件
• 使用 GPU 破解加密文件是一种有效的方法,但可能存在一定的局限性
• 应用程序沙盒化可以帮助防止勒索软件攻击,但需要用户指定访问权限
• 备份和快照技术可以帮助减少勒索软件攻击的影响
5. 学校接送车队的现状是一个国家性的尴尬 (The School Car Pickup Line Is a National Embarrassment) https://collegetowns.substack.com/p/the-school-car-pickup-line-is-a-national
这篇文章讨论了美国学校接送车辆排队文化的现象,作者指出这种现象不仅令人尴尬,而且是个复杂的问题。文章分析了美国学生上学方式的变化,尤其是私家车使用率的上升和步行、骑自行车的比例的下降。
HN 评论 359 comments | 作者:trevin | 1 day ago • 学校接送车队的现状是一个国家性的尴尬,需要改变。
• 美国的文化需要改变,才能让孩子们安全地独自出行。
• 日本的“Old Enough”电视系列片展示了 2-4 岁的孩子可以独自完成任务,这是值得学习的。
• 美国的“Karen”文化是问题的一部分,需要解决。
• 法律可以帮助解决这个问题,例如“自由范围”法律。
6. 动态双曲正切:一种新的Transformer技术 (Transformers Without Normalization) https://jiachenzhu.github.io/DyT/
这篇文章介绍了一种新的技术,称为动态双曲正切(DyT),它可以作为神经网络中常用的归一化层的替代品。使用DyT的Transformer模型可以在不使用归一化层的情况下实现相同甚至更好的性能。
HN 评论 29 comments | 作者:hellollm | 22 hours ago • 新的 Transformer 模型可以在不使用归一化的情况下匹配或超过传统模型的性能
• 去除归一化层可以减少计算成本和延迟,尤其是在低精度格式下
• 模型的收敛速度可能会受到影响,需要进行超参数调优
• 初始化和残差连接可以帮助解决梯度消失的问题
• 新模型的提出可能会带来更快和更便宜的训练过程
7.TJ-Actions/Changed-Files GitHub Action 被攻陷 – 用于超过 23K 个仓库 (Tj-actions/changed-files GitHub Action Compromised – used by over 23K repos) https://www.stepsecurity.io/blog/harden-runner-detection-tj-actions-changed-files-action-is-compromised
TJ-Actions/Changed-Files GitHub Action 被发现存在安全漏洞,可能导致 CI/CD 秘钥泄露。该 Action 已被篡改,会在 GitHub Actions 的构建日志中打印出 CI/CD 秘钥。StepSecurity 公司已经发布了一个免费的安全替代 Action。
HN 评论 254 comments | 作者:varunsharma07 | 1 day ago • 第三方依赖和扩展的安全性令人担忧,许多人开始限制安装第三方包和扩展。
• Git 标签并非不可变,许多人对此存在误解,需要更好地保护代码仓库的安全。
• 自动沙箱化可以提高安全性,类似移动操作系统和网页浏览器的沙箱机制。
• 代码审查和安全检查可以帮助发现潜在的安全风险,保护代码仓库和用户数据。
• 依赖包的安全性需要更多关注,需要更好的机制来确保依赖包的安全和可靠性。
8. 字距调整的复杂性 (Kerning, the Hard Way) https://home.octetfont.com/blog/kerning-hard.html
这篇文章讨论了字体设计中的字距调整问题,特别是在设计具有垂直条纹背景的字体时。作者使用字形替换来调整字距,通过一个例子来说明这个过程。
HN 评论 66 comments | 作者:todsacerdoti | 1 day ago • 这篇帖子关于字体设计的讨论,特别是关于字距调整(kerning)的复杂性和挑战。
• 有人认为将背景图案和字体设计结合在一起是没有必要的,会增加设计的复杂性。
• 字体设计需要考虑到不同平台和设备的渲染差异,才能确保设计的效果。
• 有人提到使用 SVG 或图片技术来实现高级字体设计和背景图案的结合。
• 字距调整的好坏取决于个人视觉感受和设计经验,很难有一个统一的标准。
9. 亚马逊的 Echo 设备将从 3 月 28 日起发送所有语音请求到亚马逊 (Everything you say to your Echo will be sent to Amazon starting on March 28) https://arstechnica.com/gadgets/2025/03/everything-you-say-to-your-echo-will-be-sent-to-amazon-starting-on-march-28/
亚马逊即将推出一项新的功能,名为 Alexa+,这是一种基于人工智能的语音助手。然而,这项功能的推出也引发了人们对用户隐私的担忧。根据亚马逊的计划,所有 Echo 设备上的语音请求将被发送到亚马逊的云服务器进行处理,而不是在设备本地处理。
HN 评论 96 comments | 作者:MBCook | 1 day ago • 智能音箱可能会随时录制和存储用户的语音数据,引发了对隐私的担忧
• 部分人士认为,智能手机也可能存在同样的问题,但由于其历史上没有太多的隐私丑闻,因此被更多人接受
• 有人认为苹果公司在保护用户隐私方面做得更好,但仍然存在数据收集的问题
• 使用去谷歌化的安卓系统可以更好地保护用户隐私
• 部分人士担心,如果智能音箱录制的语音数据被用于法律诉讼或其他目的,可能会对用户造成不利影响
10. Postgres 扩展 (Making Postgres scale) https://pgdog.dev/blog/you-can-make-postgres-scale
这篇文章讨论了如何扩展 Postgres 数据库的容量。作者认为,尽管有人认为 Postgres 不能扩展,但是通过合理的设计和优化,Postgres 可以很好地扩展以满足大规模应用的需求。
HN 评论 163 comments | 作者:levkk | 1 day ago • PostgreSQL 可以很好地扩展,处理大量数据和高并发请求,并不需要特殊的配置和优化。
• 扩展的含义可能不同,包括处理高负载、弹性扩容等,但 PostgreSQL 在处理高负载方面表现良好。
• 使用自定义块大小、ZFS 和合理的 VACUUM 计划可以提高 PostgreSQL 的性能。
• 垂直扩展可以满足大多数数据库的需求,避免增加复杂性和降低性能。
• 合理使用 JSONB 和数据冗余可以减少连接操作,提高查询效率。
完整摘要请点击 “阅读原文” 👇👇👇 Hacker News 精彩评论及翻译 Google Being Forced to Sell Chrome Is Not Good for... https://news.ycombinator.com/item?id=43369491
Google is a web business, that’s their whole thing. They made a browser to invest in the web itself because what is good for the web is good for Google, and happens to be good for all of us.
Google is less a 'web business' than it is an 'advertising business', a 'surveillance business', and a 'finance business'.
Consequently, it is false that 'what is good for the web is good for Google'. AMP, and the Ad-blocking prohibition are evidence of this.
thomassmith65
谷歌是一家网络业务公司,这是他们的核心事情。他们开发浏览器是为了投资于网络本身,因为对网络有益的事情对谷歌有益,碰巧也对我们所有人都有益。
这种观点充满乐观主义,至少要追溯到2005年。
谷歌根本上讲,不是一家“网络业务”公司,而是一家“广告业务”公司、“监控业务”公司和“金融业务”公司。
因此,认为“对网络有益的事情对谷歌也有益”是一种错误的说法。加速移动页(AMP)和禁止屏蔽广告的行为就是明证。
