知鸦日报2024-08-20

为满足业务对更高性能的需求，流式计算团队对 FlinkSQL 进行了深度优化。​本文将聚焦这一实践，详解主要优化思路。

为了提供更好的用户体验，支持更多的应用生态，哔哩哔哩在去年年底启动了哔哩哔哩鸿蒙原生应用的开发。

本文对常见Android传感器类型、使用方法、相关系统权限进行简要介绍并展开分析了几种典型的传感器安全漏洞。

本文以syzkaller平台在android平台进行fuzz为例介绍syzkaller的原理。

Android应用的防杀是指进程在后台运行保持活跃状态，并尽可能延长应用在后台运行的时间，防止被系统kill掉。

在本篇中，我们会详细阐述余下三类Binder服务的漏洞挖掘相关知识。

Android应用的防杀是指进程在后台运行保持活跃状态，并尽可能延长应用在后台运行的时间，防止被系统kill掉。

在过去的一年里，安珀实验室团队重点对Android本地服务进行了漏洞挖掘，截止今日，向多个厂商提交了数百份有效漏洞报告，并已获得了数十个CVE编号。本系列我们会给大家详细分享我们在工作过程取得的一些技术成果。

本文将带大家了解各种frida的使用方法以及其中的一些踩坑点。

本文将简单介绍honggfuzz在Android平台的使用方法，通过源码解释关键模块实现原理。

众所周知，应用与数据安全防护的一个重点关注方向，就是三方SDK的安全问题。作为一个基础性的安全问题，SDK广泛应用于APP当中，这就导致三方SDK的安全问题可能影响更为深远。

近些年，开源程序陆续爆出安全漏洞，轻则影响用户体验，重则业务应用沦陷。大量的业务应用以及每天数千次的迭代，使得自动检测和治理第三方开源程序成为企业安全建设的必要一环。

At Lyft Media, we’re obsessed with building flexible and highly reliable native ad products. Since our technical stack encompasses mobile clients on both iOS and Android, as well as multiple backend services, it is crucial to ensure robust and efficient communication between all involved entities. For this task we are leveraging Protocol Buffers, and we would like to share the best practices that are helping us achieve this goal. This article focuses on our experience addressing the challenges that come with collaborating on shared protocols in teams where people with different levels of familiarity and historical context, or even people outside the team, get to contribute. The problem of development process quality is prioritized over raw efficiency optimizations.

An Important Foundation For Security, Privacy, and Compliance at Airbnb.

第三方组件具有开放、共享、自由等特性，在软件开发中扮演着越来越重要的角色，也是软件供应链的重要组成部分，它的使用大大提高企业中软件研发的效率、缩短上线时间，能有效降低开发成本。但这些组件，可能会存在一些安全问题，所以对开发使用的这些组件进行监控，是很有必要的。之前我们写过一篇文章《漫谈SDL之三方库漏洞检测与CICD》，文章介绍了如何在CI/CD流程中接入第三方组件漏洞检测工具。紧接上一篇文章，再介绍一下我们使用的检测工具的检测原理以及后续漏洞修复的运营工作。目前我们公司使用的是自研第三方组件检测工具，现在整个工具正处于起步阶段，所以这篇文章也是起到一个抛砖引玉的作用，欢迎大佬们来分享交流关于第三方组件漏洞检测工具的见解。

最近有小伙伴在做落地、推动三方包漏洞检测时遇到了一些问题：与devops工具侧同学以及业务线研发同学沟通时，存在双方不理解对方表述，鸡同鸭讲的情况。

解答了几次相关问题后，发现这些问题有一些共性：都会涉及到研发流程、CICD、工程化的一些点，比如CICD具体是哪些，commit、build这些阶段是属于哪个阶段，具体是什么含义，哪个是合适的安全检测触发点，有实现安全左移么？工具侧同学说的gitlab-ci、runner、.gitlab-ci.yml、pipeline又是什么，安全检测与这些又是什么关系等等）。这些知识对安全同学一定程度上来说是陌生的，但又是研发安全在企业里落地推动时的基础。在网上查到的资料一般是对于这些名词概念的单独描述，并没有与安全结合。所以稍作整理，或许可以提供参考价值。

混沌工程是通过在系统环境中主动注入故障，分析故障对系统产生的影响，提前发现系统存在的问题，并针对性进行加固防范，将隐患消灭在初始阶段。

在这个不断变化的复杂世界里，人类每天会在搜索系统中敲下数万乃至上亿个问题，找寻答案，给自己的好奇一个归宿。而搜索系统就像一个输送管道，每日孜孜不倦地进行各种计算，浪里淘金，旨在为各种问题送上致命一击。在庞大的数据流中，答案的搜索往往离不开大量计算资源和时间；并且，随着问题越来越多，搜索系统的计算往往会出现挤兑，大大影响效率。因此，为搜索系统搭建一个有效的缓存机制，将会大幅提升计算效率，节省大量资源。

本文探讨了从使用PowerMock的测试环境迁移到仅使用Mockito（Mockito Only）策略的必要性和实践方法。

地理信息技术融合大数据、人工智能等前沿技术，可结合场景推动获客、营销及风控等业务的发展，是商业银行实现“推动场景融通，深化多重服务能力”的重要策略。在为客户提供便捷的“金融＋场景”服务中，地理信息技术及标准化的地理信息数据发挥着关键作用。本文以邮储银行信用卡中心的实践经验为基础，介绍利用人工智能技术对地理信息数据进行标准化处理的技术实现路径。

受启发于各个AI编码助手和AI Code Review方案，我们希望AI Code Review具备以下特性：

1). 与现有的CI流程紧密贴合，即Gitlab-Runner+SonarQube；

2). 具备整个项目的上下文理解能力，支持多编程语言，并且能以较低成本实现；

3). 具备高扩展性，可以使用任意模型或AI-Agent平台，可以使用任意的上下文搜索方式，如RAG或AST搜索；

于是Nova应运而生。

在AI技术日益渗透至各领域的背景下，本文深入探讨了B端（D2C）前端代码生成技术的核心挑战与实战解决方案，诚实地揭示了在实现自动化代码生成过程中遭遇的重重难关。

如何把多个大模型合并部署以节省成本呢？本文将深入探讨这一技术与应用场景，利用多Lora合并部署大模型。

QoS（Quality of Service，服务质量）是网络技术中用来确保某些数据流的优先级和服务质量的一系列策略和机制。在实时通信和流媒体传输中，QoS尤为重要，因为它可以减少延迟、丢包和抖动，从而提高用户体验。包括NACK策略、TWCC策略等。NACK是一种反馈机制，当接收端检测到丢包时，它会向发送端发送一个NACK消息，请求重新发送丢失的数据包。TWCC是一种拥塞控制机制，旨在减少网络拥塞和丢包。下面详细讲解一下这几种抗丢包策略。

爱猫的一切，除了它的屎。