React Native 团队近日介绍了他们在过去两年里推动 Hermes 成为 React Native 最佳 JavaScript 引擎所取得的一些进展，并表示基于这些改进，Hermes 将会成为各类平台上 React Native 的默认 JavaScript 引擎。据介绍，目前 Hermes 在社区被越来越多地采用。由 Expo 团队维护的流行 React Native 应用元框架，最近宣布了对 Hermes 的实验性支持。流行移动数据库 Realm 团队也宣布为 Hermes 提供 alpha 支持。 Hermes 是一款小巧...

没有更多内容

加载失败，请刷新页面

点击加载更多

加载中

发表了博客

没有更多内容

暂无内容

发表了问答

没有更多内容

暂无内容

Async 安全漏洞

原型污染

Async是英国Caolan McMahon个人开发者的一个实用模块。用于使用异步 JavaScript。 Async 3.2.1 及之前版本存在安全漏洞，该漏洞源于 mapValues() 方法。攻击者可通过 mapValues() 方法获取权限。

CVE-2021-43138 MPS-2021-34434

2022-08-08 19:08

github ws 资源管理错误漏洞

github ws是一个应用软件。一种易于使用，运行迅速且经过全面测试的WebSocket客户端和服务器实现的方法。漏洞版本中“Sec-Websocket-Protocol”标头的一个特殊的值可以用来显著降低ws服务器的速度，从而导致拒绝服务漏洞。

CVE-2021-32640 MPS-2021-7109

2022-08-08 19:08

nodejs 资源管理错误漏洞

拒绝服务

nodejs是是一个基于ChromeV8引擎的JavaScript运行环境通过对Chromev8引擎进行了封装以及使用事件驱动和非阻塞IO的应用让Javascript开发高性能的后台应用成为了可能。 nodejs-glob-parent 存在安全漏洞，该漏洞源于正则表达式拒绝服务。

CVE-2020-28469 MPS-2021-7827

2022-08-08 19:08

istanbul-reports 存在通过 window.opener 访问使用指向不受信任目标的 Web 链接漏洞

通过 window.opener 访问使用指向不受信任目标的 Web 链接

由于指向 https://istanbul 的链接中没有 rel 属性，因此该软件包的受影响版本容易受到反向 Tabnabbing 的攻击。

MPS-2022-13797

2022-08-08 19:08

Digital Bazaar Forge数据伪造问题漏洞

密码学签名的验证不恰当

Digital Bazaar Forge是美国Digital Bazaar公司的一个Tls在Javascript中的本机实现以及用于编写基于加密和网络密集型Web应用程序的开源工具。digitalbazaar Forge 1.3.0之前版本存在数据伪造问题漏洞，该漏洞源于RSA PKCS＃1 v1.5签名验证码在解码 `DigestInfo` ASN.1 结构后不检查尾随垃圾字节。攻击者可以删除填充字节利用该漏洞添加垃圾数据以伪造签名。

CVE-2022-24772 MPS-2022-3739

2022-08-08 19:08

Components trim 安全漏洞

拒绝服务

Components trim是Components团队的一个用于去除字符串两端空格的 Npm 代码库。 Service trim 所有版本存在安全漏洞，该漏洞源于容易受到通过trim()的正则表达式拒绝服务的攻击。

CVE-2020-7753 MPS-2020-14926

2022-08-08 19:08

Immer 安全漏洞

使用不兼容类型访问资源（类型混淆）

Immer是Immer社区的一个基于Javascript的状态管理库。。 immer 9.0.6之前版本存在安全漏洞，该漏洞源于当path参数中使用的用户提供的密钥是数组时，可能导致绕过CVE-2020-28477。

CVE-2021-23436 MPS-2021-19475

2022-08-08 19:08

Digital Bazaar Forge 输入验证错误漏洞

跨站重定向

Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。 Digital Bazaar Forge 中存在输入验证错误漏洞，该漏洞源于产品允许URL重定向到不受信任的站点。

CVE-2022-0122 MPS-2022-0421

2022-08-08 19:08

node-forge 存在原型污染漏洞

原型污染

node-forge 是网络传输、密码学、密码、PKI、消息摘要和各种实用程序的 JavaScript 实现。此软件包的受影响版本容易受到通过伪造的原型污染。

MPS-2022-13920

2022-08-08 19:08

Digital Bazaar Forge 数据伪造问题漏洞

密码学签名的验证不恰当

Digital Bazaar Forge是美国Digital Bazaar公司的一个 Tls 在 Javascript 中的本机实现以及用于编写基于加密和网络密集型 Web 应用程序的开源工具。 Forge 1.3.0 版本之前 RSA PKCS 存在数据伪造问题漏洞，该漏洞源于 RSA PKCS 签名验证码对摘要算法结构的检查较为宽松。攻击者可以通过精心设计的结构窃取填充字节并在使用低公共指数时使用 PKCS＃1 编码消息的未检查部分来伪造签名。

CVE-2022-24771 MPS-2022-3738

2022-08-08 19:08

Digital Bazaar Forge数据伪造问题漏洞

密码学签名的验证不恰当

Digital Bazaar Forge是美国Digital Bazaar公司的一个Tls在Javascript中的本机实现以及用于编写基于加密和网络密集型Web应用程序的开源工具。Digital Bazaar Forge1.3.0之前版本存在数据伪造问题漏洞，该漏洞源于SA PKCS＃1 v1.5签名验证码无法正确检查DigestInfo以获得正确的 ASN.1 结构。攻击者可以发送特殊的签名利用该漏洞以验证包含无效结构但有效摘要的签名。

CVE-2022-24773 MPS-2022-3740

2022-08-08 19:08

shell-quote 安全漏洞

命令注入

shell-quote是开源的一个软件包。用于解析和引用 shell 命令。 shell-quote package存在安全漏洞，攻击者可利用该漏洞可以植入任意代码从而执行相关操作。

CVE-2021-42740 MPS-2021-34136

2022-08-08 19:08

css-what存在未明漏洞

css-what是一个CSS选择器解析器。 css-what 5.0.1之前版本存在安全漏洞，该漏洞源于css-what包并不能确保属性解析具有相对于输入大小的线性时间复杂度。目前没有详细漏洞细节提供。

CVE-2021-33587 MPS-2021-7397

2022-08-08 19:08

没有更多内容

加载失败，请刷新页面

点击加载更多

加载中

Awesome 软件

换一换

划词翻译 - 浏览器翻译插件

secGear - 机密计算统一开发框架

enGrid - CFD 应用网格生成软件

Cocos - 开源跨平台游戏开发框架

Lunar Mind - WPF 开发的思维导图工具

StockTech - 开源股票软件

YuLan-Chat - 基于中英文混合指令微调的大语言对话模型

datart - 数据可视化开放平台

L3AF - 轻量级 eBPF 项目

Apache Lucene - Java 全文搜索框架

Linux Mint - 基于 Ubuntu 的发行版

LeoCAD - 用于创建虚拟乐高模型的开源 CAD 程序

PentestGPT - 基于 GPT4 的自动化渗透测试工具

Tauri - 用 Web 前端构建更小/快/安全的桌面应用程序

aria2 - 下载工具

Textinator - macOS OCR 工具

QR Designer - 二维码样式自定义工具

LoRA - 大型语言模型的低秩适应

CodeGPT - 用 ChatGPT 帮开发者写 Commit Message

Weather Icons - 天气主题 Icon 和 CSS 库

本草 - 基于中文医学知识的 LLaMA 微调模型

Digdag - 多云工作流引擎

PCLinuxOS - Linux操作系统

HeidiSQL - 数据库管理客户端

Remmina - 远程桌面客户端

KorGE - Kotlin 多平台游戏引擎

废料点击器 - 挂机游戏

OpenSCAD - 3D建模软件

Skyve - 业务软件构建平台

Open 3D Engine - 开源的实时 3D 开发引擎

热门评论

osc_41620859 2023-11-30 16:12

举个例子比如？

百小僧 2023-11-29 14:37

去看看pr，我一个人写了340万字的文档，其他所有开发者提交pr贡献文档的字数总不超过1000字。99.99%都是修改错别字。

zb31761687 2023-11-29 14:02

偷换概念，把你自己违反MIT协议跟小程序混为一谈真的好意思吗？还有脸威胁人家私有化部署追究法律责任？你是知法犯法懂吗？看到你威胁别人的帖子，吓我一跳，大家都看看他怎么吓唬人的： https://github.com/Rwing/debian-benchmarks-game-visualization/issues/1

百小僧 2023-11-30 18:48

这个世界很公平，你花在电脑技术前时间多，你就会成为技术专家。那么你花在思考赚钱和人打交道的事情少，那么你就赚不到钱。认清楚自己的定位，是定位是一个打工的技术大牛，还是可以独当一面的创业者（自由职业者），问问自己的内心。

tomener 2023-11-24 14:59

目前线上项目大多都还停留在7.4版本，别搞这些新特性了，先把基础库做好，去看看人家Golang，后来追上，增加了大量标准库。要不你直接把swoole或者swow原生实现进来，再把数组、字符串相关的函数标准化一下。最好能像go一样可以直接编译成二进制文件，一件部署。

百小僧 2023-11-28 23:41

截至2023年11月28日 23:30:00，Furion 开通 VIP 服务用户 383 个，Furion 注册用户 5144 个，其中付费购买文档的用户 2319 个。感谢大家的支持，Furion 将努力服务好那些认可和喜欢 Furion 的用户。成功需要建立在契约上的朋友，Furion 与您做朋友。

烈冰 2023-11-21 17:16

提问者没自知之明，还把自己挂出来，笑死

我的ID是jmjoy 2023-11-27 11:31

原文：“但可能在某些情况下会比现有版本慢约 20%。”，标题：“Fish Shell 采用 Rust 重写会导致性能下降”

小保哥 2023-11-28 16:14

没啥奇怪的，商用系统很多只要能满足要求的，都还运行得好好的，上古神器都还大把大把的。毕竟那可是当年花大价钱开发的，足够满足需求。只要能满足需求，为什么要换，技术该为系统服务，而不是系统为了技术的升级换代而去更新自己。等到这个系统不满足需求了，自然就会组织人员来更新了。

O龙猫O 2023-11-29 07:57

有的人思路很奇特，平时请朋友吃个饭也得花他个四五百。享受别人免费产品服务，收他几百块他就受不鸟了。明码标价的事，你觉得合适你就用，你觉得不合适就不用。只能说明你还不是别人的目标客户。因为一直在java阵营，一直无缘使用Furion，并不妨碍一直支持Furion，吐槽的，不爽的，你们可以去看看他的代码，文档，官网，还有作者数年如一日的坚持，对这么一个优质个人项目，也算首屈一指了。文档收费的利弊，相信作者想得清楚明白。做开源很难，我们PDManer开源五年了，这些年累计收入，恰好够阿里云服务器费用。坚持做免费很难，如果不是我们找到了一条目前看上去还可以的商业化路径，社区开源版我们才能有条件坚挺免费不动摇。文档收费这个事，虽然我也不是很理解，但是不妨碍我支持他。有钱捧个钱场，没钱捧个人场，加油吧。

技术粉 2023-11-30 16:34

哈哈

技术粉 2023-11-29 15:39

看了，确实吓人，而且还看到了小人得志后的嘴脸。太吓人了

freely8088 2023-11-30 16:18

有点象LENOVO与倪院士

gxm2052 2023-11-30 15:51

可以去看看 arm是怎么创建的

无法选中 2023-11-21 15:58

不同场景下合理性也会发生改变，提问者要求的简洁的回答不能达成有效的沟通，二极管思维更是让自己放弃了思考，发帖纯属网暴自己

Mars2006 2023-11-30 17:17

17比8更简洁，新增了很多实用的语法。21更是有虚拟线程，提升系统并发能力好几倍。

陈钇蒙 2023-11-29 10:50

文档一开始也是免费的, 现在突然转收费了, 我说的修bug是指修我自己的代码的bug, 我用到框架的地方去查文档发现突然查不了了, 得付费, 这算什么事?

Jason909 2023-11-30 16:44

哪个新闻？

zuohuaijun 2023-11-30 18:50

👍👍👍

买房也用券 2023-11-21 08:32

未来人类反抗军,通过时光机器传送过来的终结者通过各种方式,把奥特曼搞垮,要把AI扼杀在摇篮中,然而,未来世界的AI也派出使者,潜伏在微软,一心要扶奥特曼上位....

Ai东 2023-11-30 17:53

谁来给我的开源项目点一个star,我就差一个，就下班了！

叨

叨叨颠颠 2023-11-30 15:20

阿里AI回复：我听说360公司新推出了一款安全软件，可以保护你的电脑不受病毒的攻击。但是如果你安装了它，你可能会发现自己的电脑变得越来越慢，因为这款软件会不断扫描你的硬盘和网络连接，导致系统资源被大量占用。这就是所谓的“360度全方位保护”，不仅保护你的电脑不被病毒攻击，还保护你的电脑不被你自己使用！😂

韦小仇 2023-11-28 14:31

“龙芯浏览器之所以在 2023 年还兼容 IE，是因为我国信息系统主要基于 IE 构建”😂

zb31761687 2023-11-28 17:42

那些用了Furion做底层的公司要哭了

星夜命运 2023-11-24 14:24

各位大佬，测试升级springboot3.2.0，用mybatis后添加@MapperScan注解后，报错Invalid value type for attribute 'factoryBeanObjectType': java.lang.String，有没有知道如何解决的

Jason909 2023-11-30 18:37

0动弹，0博客，0问答，0关注，0粉丝，0经验值，0开源豆，这位比我们都有钱的大老板在这里发出了他的第一条讨论。

infoworld 2023-11-30 18:11

高通怎么就不是美国的了？建议你百度下。

Francesca 2023-11-28 19:16

框架开源，文档闭源，真会玩，如果没有文档，是不是这个框架别人不会用啊，资料都查不到，还不如搞个plus版收费框架，文档开源

思北谢Special 2023-11-23 08:39

差点以为李彦宏开始不务正业，去搞正真的人工智能了，还好，李彦宏不忘初心，还在搞自己的广告正业

技术粉 2023-11-30 17:07

这哥们最后也知道自己是杠精了，不错，挺有自知之名。

魔力猫 2023-11-30 10:23

如果老版本照旧，新版本文档封闭，这没太大问题。遗留系统，各种烂事多了去了。升级框架要加钱不算啥。可如果把老文档也封了，就等同绑票！而且作者也别吹已经有多少肉票交了赎金。交钱的有多少心里咒你们没点数？如果不是沉默成本太大，谁愿意给这笔钱？！考虑过这个框架但没用的，那是真庆幸自己没被杀猪。以后不是真正大厂支持的项目，敢随便放到公司里面了。像这次的事情，风险没边了！今天封框架文档，明天就可以封部分API，不给钱不能用。MIT协议在眼里不如一张厕纸。如果程序员把框架推荐引入公司项目，结果出了这么一出，尴尬不？接下来怎么办？跟公司说现在要交赎金，遇到苛刻的老板，为这499就让你拍屁股走人，还不给补偿，罪名都是现成的，给公司造成重大损失，499不是钱的事情，而是项目风险不可控。

KaySama 2023-11-30 16:48

要闭源也是闭源后面版本的文档吧，前面的都已经开源了，要是我以前给这个文档贡献过内容，那不是侵吞我的劳动所得了？这合理么

phper08 2023-11-29 10:20

假开源，借开源名义养肥用户然后再宰，看他前期宣传就知道了，一股浓浓的洗脑的话术，狐狸尾巴终于露出来了

梦踏溪渔丶 2023-11-30 16:44

收费还是得出更高级的版本，而不是在开源的版本上做。

ice天了噜 2023-11-30 17:39

在呢，就这篇阅读量格外的高哈哈哈

MetaDatas 2023-11-30 17:56

同问

期待地下城的邂逅 2023-11-30 17:26

他主页5、6月份的评论很有意思

梦踏溪渔丶 2023-11-30 15:38

说真的不止这一个软件，阿里的其他软件感觉也开始出bug了。感觉软件行业用不了很久得洗牌。

AsukaQua 2023-11-30 15:31

项目开源，文档不开源🤣

复二呆 2023-11-28 18:19

之前这么干的是那个啥io来着？记不住名字了…

zb31761687 2023-11-29 11:30

就是诈骗，先以开源免费的名义让很多公司用上，然后封锁文档，让产品没有说明书，不得不被收割。先告诉你免费上船，到得江心，且问你要吃板刀面还是馄饨面。有人说：没人逼着你用啊，你可以不用嘛。说得对，可是那些已经上船的公司和开发者怎么办？力荐公司使用该项目作为底层的同行怎么办？他的所作所为完全违反了MIT协议，并且很恶心的还威胁那些已经上车需要文档的人。事实上该文档属于以MIT开源的项目的一部分，他可以拆分出来且不再维护，但是过去的内容无权禁止，其本质是违反MIT协议。欺骗众多因为MIT协议而选择Furion的公司和个人。问题在于，我们懂，可是公司的老板、非技术的领导懂吗？人家看到的是风险！百小僧用自己没资格不合法的事威胁人，很搞笑，但又切实的破坏dotnet国内的形象，破坏选择dotnet技术栈的公司的信心，砸大家的饭碗。

哈库纳 2023-11-29 15:30

周鸿祎说的没错 360 的确是可以被卸载，但是周鸿祎没说 3721 会把它重新安装回来。

技术粉 2023-11-30 16:34

https://oscimg.oschina.net/oscnet/up-b182b52fe56f56bb8308410992824b53134.webp

zb94748325 2023-11-29 12:23

什么辣鸡行为啊，别又当又立。搞社区版和商业版的公司多了去了，没人会骂。先开源再搞部分收费就特么辣鸡，还怨别人带节奏？？？鄙视鄙视鄙视！👎👎👎

osc_73355549 2023-11-30 16:35

主要是收费之前的文章应该免费公开，收费后更新的文章可以加密，这坑人的玩意，之前还推荐同行用。

高排量低炭烧 2023-11-30 16:58

唉，面子工程，多烂不知道，先有个名

高排量低炭烧 2023-11-30 16:12

怎么禁止换一个项目就下载一套gradle?

我写代码像蔡徐坤 2023-11-28 13:10

别啊，让ie死彻底吧

思北谢Special 2023-11-29 09:48

作者的作品确实属于高质量一流作品，不过吃相不雅，早起通过开源免费，圈起了一批忠实用户，然后文档开始闭源收费，等于把用户哄上贼船，其实收费也是可以的，你一开始就收费，或者新出个Plus版本收费，都没问题，现在这种就属于砸了自己的招牌，还有人觉得代码开源免费，文档收费没问题，没有文档的代码，一文不值，因为有时间去读懂全部代码，已经可以重新撸一个出来了

陈钇蒙 2023-11-29 09:12

他这个事情不一样, 等于是开源转闭源收费了, 你要收费从一开始就收费无所谓, 有人愿意付费有人就喜欢免费的, 你一开始免费, 我用上了, 然后你一转闭源, 我怎么办? 不付费我连bug都修不了? 绑架用户吗?

zb31761687 2023-11-30 16:33

有点怀疑这个测评是不是收了微软的钱

有

有色白水 2023-11-30 17:40

你比龙芯都牛逼，人家好歹还立足现实，你都已经飞起来了

ice天了噜 2023-11-30 16:54

不错不错