Redis 7.4 及其后将由 3-clause BSD 改为 RSALv2/SSPLv1 授权。

这两种协议都不符合 OSI 的开源定义。简而言之，和 MongoDB 及 Elastic 一样，云服务商不再能够免费将 Redis 作为服务出售。

redis.com/~

linksrc: https://t.me/plltxe/5581

#Redis #Opensource

中国政府机构已实质性禁止采购国外CPU、操作系统和数据库

根据财政部和工信部2023年12月16日印发的针对计算机、操作系统和数据库的政府 采购需求标准，乡镇以上党政机关及事业单位在采购时应将CPU、操作系统、数据库符合安全可靠测评要求纳入采购需求。
根据同日中国信息安全测评中心发布的安全可靠 测评结果，通过安全可靠测评的CPU包括鲲鹏、龙芯、申威、兆芯等国产芯片；操作系统包括银河麒麟、统信、方德等国产操作系统；数据库包括达梦、PolarDB、TDSQL等国产数据库软件。
此举意味着英特尔、AMD芯片、Windows操作系统以及国外数据库被实质性排除在政府采购之外。
此外，国资委2022年9月发文启动国央企信息化系统的 信创国产化改造，要求在2027年底前全面完成安全可靠信创替代，期间每季度报送进度。OA门户邮箱等全面替换，生产制造研发系统“能替就替”。此事被称为“消A行动”。
采购官员透露，采购配备国外处理器和操作系统的电脑仍留有余地，但需要额外登记和说明原因。

金融时报

线索：@ZaiHuabot
投稿：@TNSubmbot
频道：@TestFlightCN

#china #life https://coolshell.cn/articles/19085.html 😭预言家，刀了

Great minds discuss ideas;
Average minds discuss events;
Small minds discuss people —--Eleanor Roosevelt

第一步要努力实现自我价值，第二步要全力照顾好家人，第三步要尽可能帮助善良的人，第四步为族群发声，第五步为国家争荣誉。事实上作为男人，前两步成功，人生已算得上圆满，做到第三步堪称伟大，而随意颠倒次序的那些人，一般不值得信任——《教父》

抵制这个抵制那个只不过是幼稚和狭隘的爱国主义，真想强国，想别让他人看得起，就应该把时间和精力放在努力学习放在精益求精上，做出比他们更好的东西来。**另外，感觉用对内的爱国主义解决对外的外交问题也有点驴唇不对马嘴，无非也就是转移一下内部的注意力罢了，另外还发现爱国主义还可以成为消费营销手段……**不是我不爱国，是我觉得世道变复杂了，我只是一个普通的老百姓，能力有限，请不要赋予我那么大的使命，我只想在我的专业上精进，能力所能及地帮助身边的人，过一个简单纯粹安静友善的生活……

……老实说，大的层面我也感受不到，但就我在的互联网计算机行业方面，我觉得整个世界的开放性越来越好，开源项目空前地繁荣，世界上互联网文化也空前的开放，在计算机和互联网行业，我们享受了太多的开源和开放的红利，人家不开放，我们可能在很多领域还落后数十年。然而现在很多资源我们都访问不了，用个VPN也非法

**我对国与国之间的关系的态度是，有礼有节，不卑不亢，对待外国人，有礼貌但也要有节气，既不卑躬屈膝，也不趾高气昂**，整体上，我并不觉得我们比国外有多差，但我也不觉得我们比国外有多好，我们还在成长

我现在更多关心的是和我生活相关的东西，比如：上网、教育、医疗、食品、治安、税务、旅游、收入、物价、个人权益、个人隐私……
与其花时间教育这些人，不如花时间提升自己，让自己变得更优秀，这样就有更高的可能性去接触更聪明更成功更高层次的人。

我选择对了一个正确的专业（计算机科学），呆在了一个正确的年代（信息化革命），这样的“狗屎运”几百年不遇，如果我还患得患失，那我岂不辜负活在这样一个刺激的时代？！我所要做的就是在这个时代中做有价值的事
我更愿意花时间在技术的原理和技术的本质上，这导致我需要了解各种各样的技术的设计方法，以及内在原理。越是有能力的人，就越不计较一些短期得失，越计较短期得失的人往往都是很平庸的人。

#dalao https://mcyoung.xyz/2022/06/07/alkyne-gc/ 有趣的blog主题！ 包含LLVM IR 语法入门

狗理解单词所代表的物体

2024-03-25 14:34 by 白鸟异传

狗是否理解单词所代表的物体？为了探索这个问题，匈牙利罗兰大学 Marianna Boros 团队测试了边境牧羊犬、玩具贵宾犬和拉布拉多犬等品种的 18 只狗。狗的主人为每只狗挑选了五种熟悉的物品。在测试中，主人说出一个物体的名称，然后向狗展示对应的物体或不同的物体。研究人员通过脑电图（EEG）监测每只狗的脑电波，看看当狗的主人说“球”，但显示出一根棍子时，与单词和物体相同时相比，狗的反应是否有差异。Boros 说：“这个想法是，如果狗理解单词的含义，它们的大脑反应会因匹配和不匹配物体的表现而不同。”研究人员发现，当物体与单词不匹配时，脑电图信号会有所不同，而且对个别狗熟悉的单词的影响更强烈。这与在人类身上看到的结果相似，表明狗明白某些单词代表某些物体。

https://www.cell.com/current-biology/fulltext/S0960-9822(24)00171-4?_returnURL=https%3A%2F%2Flinkinghub.elsevier.com%2Fretrieve%2Fpii%2FS0960982224001714%3Fshowall%3Dtrue
https://news.sciencenet.cn/htmlnews/2024/3/519663.shtm

#科学

#ai 🤔 突然想到，目前 琴棋书画 领域，还只有AlphaGo超过了人类智商

suno,gpt4,sd 这些，比如gpt写的小说单靠sd画的画还是没新意

所以，棋类、魔方、数学水平，是能代表科学意义的IQ，还是单纯是社会学的不明觉厉呢？

#吐槽

【敏捷已凉，该！ 【老袁讲敏捷】】 https://www.bilibili.com/video/BV1f6421F7HH

敏捷是我特别不能了解的一种东西，卖白粉好歹真的有白粉，白粉也真的能让人 high 一把，卖敏捷能卖啥？居然有人能当「敏捷教练」赚钱，现在退潮了视频 up 主还能通过骂敏捷赚流量。

Windows 11 使用的磁盘格式化 UI 仍然与 1994 年相同

2024-03-26 22:07 by 失忆的星球

有些东西可能几十年都没变，比如 Windows 上的磁盘格式化 UI。前微软程序员 Dave Plummer 回顾了 Windows 的早年历史，称 Windows 11 仍然使用他在 1994 年为 Windows NT 编写的磁盘格式化对话框。当时他所在团队正忙于将 UI 从面向消费者的 Windows 95（1995 年中发布）移植到更稳定资源更密集的 Windows NT（NT 4.0、1996 年中发布）。Windows 95 主要使用 FAT16 文件系统，而 Windows NT 能处理 FAT 和 NTFS 等不同文件系统。Plummer 称，他在纸上写下了格式化磁盘时的所有选项和选择，如文件系统、标签、簇大小、压缩、加密等等，然后用 Visual C++ 2.0 和资源编辑器做了一个简单的垂直堆叠。结果是这个临时做的对话框现在还在用。Plummer 称 FAT 卷的 32GB 限制是他武断的一个决定，现代 Windows 仍然遵循这一限制。Plummer 于 2003 年离开微软。

https://arstechnica.com/gadgets/2024/03/windows-current-disk-formatting-ui-is-a-30-year-old-placeholder-from-windows-nt/

#Windows

Vultr 声称对托管的所有内容拥有完全且永久的商业权利

Vultr 的新服务协议要求其客户转让在 Vultr 上托管的应用程序、软件、数据，甚至是任何内容的权利。以下是 Vultr 新服务协议的相关部分：

您或您的最终用户在服务上或通过服务提交、上传、张贴、托管、存储或以其他方式提供的信息、文本、观点、消息、评论、视听作品、动态图片、照片、动画、视频、图形、声音、音乐、软件、应用程序以及任何其他内容或材料（统称为 "您的内容"、"内容 "或 "用户内容"）。

您特此授予 Vultr 非独占的、永久的、不可撤销的、免版税的、全部付清的、全球范围的许可（包括通过多层转授的权利），以使用、复制、处理、改编、公开表演、公开展示、修改、制作衍生作品、出版、传输和分发您的全部用户内容、 或其任何部分，以现在已知或今后存在、已知或开发的任何形式、媒介或分发方法，并以 Vultr 认为适当的任何方式使用用户内容并将其商业化，而无需向您或任何第三方提供任何进一步的同意、通知和/或补偿，以便向您提供服务。

https://www.reddit.com/r/selfhosted/comments/1bouuv7/warning_vultr_a_major_cloud_provider_is_now/

#ai #learn http://zh.d2l.ai/
个人觉得想了解ai的原理，看完这本书，然后会把里面代码跑跑通，就差不多了

如果仅仅想要调用ai的一系列api的话，可以照着huggingface上学一学，然后可以搜一下别人微调huggingface模型的框架，可以找kaggle这些平台用gpu免费跑跑
可搭配李沐（该书作者，前amazon Sr. Principal Scientist）的视频教程：https://space.bilibili.com/1567748478/channel/series
技巧可以搜索prompt engineering相关内容。如果想要获得网页对话框之上的体验，希望利用LLM搭建一些自己的项目的话，会一些基础的python还是必要的。
如果要深入了解原理，得吴恩达深度学习、cs231n、cs224w、这些是最基本的原理，然后要学pytorch框架、huggingface基本使用，一堆transformer架构这些，当然这是ai研究生的内容了。。

The rev.ng decompiler goes open source (Score: 153+ in 9 hours)

Link: https://readhacker.news/s/64Y9S
Comments: https://readhacker.news/c/64Y9S

https://inside.java/2024/03/19/the-arrival-of-java-22/ 怎么jvav22都GA了啊

好幽默的图片

云托管商 Vultr 撤回引发争议的服务条款

2024-03-29 15:00 by 方舟

大部分人都不会去阅读服务商的服务条款，服务条款中的内容通常旨在给服务商免责，而且很多时候很有可能是拷贝自其他公司的类似条款，但其他公司的条款未必适用于你的公司。云托管商 Vultr 被发现其服务条款包括了可自由支配用户内容的声明，此举立即在社交媒体上引发了争议，而 Vultr 随即修改了条款，撤销了自由使用用户内容的条款。CEO J.J. Kardwell 表示相关服务条款适用于论坛帖子，而不是私人服务器内容。他承认条款在法律意义上过于宽泛。他强调 Vultr 不使用用户内容，极其注重隐私和安全，这是其服务的核心。他承认服务条款可能让用户感到困惑，普通用户是没有法学学位的。他再次强调该公司并无恶意。

https://yro.slashdot.org/story/24/03/28/2319230/cloud-server-host-vultr-rips-user-data-ownership-clause-from-tos-after-web-outage

#云计算

Linux 基金会推出 Redis 分支 Valkey

2024-03-29 16:30 by 白玫瑰

3 月 21 日 Redis Ltd.宣布流行键值对存储数据库 Redis 从 7.4 版本开始从 3-clause BSD 许可证切换到商业使用需获得授权的双许可证 Redis Source Available License (RSALv2) 和 Server Side Public License (SSPLv1)。社区对此并不感到意外，目前出现了 Redis 至少四个开源替代，其中之一是 Linux 基金会发起的 Valkey，该项目得到了 Google、亚马逊 AWS 和甲骨文等云巨头的支持，而云服务商是 Redis 新许可证瞄准的目标。现在的问题是哪一个替代会得到用户和服务商的青睐。Redis 项目最早由 Salvatore Sanfilippo (aka antirez)发起，其名字是 remote dictionary server 的缩写。它作为 NoSQL 运动的一部分迅速流行起来，被 Twitter 和 Pinterest 等流行社交媒体使用。2013 年创业公司 Garantia Data 开始提供 Redis 服务，2014 年它改名为 Redis Labs，2015 年 Sanfilippo 加入了该公司担任其开源开发负责人直至 2020 年辞职。2021 年该公司将名字中的 Labs 移除。变更许可证的主要理由是云服务商，但统计数据显示它们并不是没有贡献代码，腾讯、亚马逊、阿里巴巴、华为、字节跳动和网易的开发者都贡献了大量代码，其中腾讯的 BinBin Wang 一人负责了近四分之一的 commits。

https://linux.slashdot.org/story/24/03/28/213213/linux-foundation-launches-valkey-as-a-redis-fork
https://lwn.net/SubscriberLink/966631/6bf2063136effa1e/

#开源

TLDR:

刚读完了这两篇关于 xz-utils 包的供应链攻击说明，攻击者潜伏了三年，很精彩，只差一点点就可以往众多 Linux 发行版的 sshd 注入后门，可用于绕过密钥验证，后果不堪设想。
概括：
1. 攻击者 JiaT75 (Jia Tan) 于 2021 年注册了 GitHub 账号，之后积极参与 xz 项目的维护，并逐渐获取信任，获得了直接 commit 代码的权利。
2. JiaT75 在最近几个月的一次 commit 中，悄悄加入了 bad-3-corrupt_lzma2.xz 和 good-large_compressed.lzma 两个看起来人畜无害的测试用二进制数据，然而在编译脚本（注1）中，在特定条件下会从这两个文件中读取内容对编译结果进行修改，致使编译结果和公开的源代码不一致。
3. 目前初步的研究显示，注入的代码会使用 glibc 的 IFUNC 去 Hook OpenSSH 的 RSA_public_decrypt 函数，致使攻击者可以通过构造特定的验证数据绕过 RSA 签名验证。（具体细节还在分析中）
4. 只要是同时使用了 liblzma 和 OpenSSH 的程序就会受到影响，最直接的目标就是 sshd（注2），使得攻击者可以构造特定请求，绕过密钥验证远程访问。
5. 受影响的 xz-utils 包已经被并入 Debian testing 中进行测试，攻击者同时也在尝试并入 fedora 和 ubuntu。
6. 幸运的是，注入的代码似乎存在某种 Bug，导致特定情况下 sshd 的 CPU 占用飙升。被一位安全研究人员（注3）注意到了，顺藤摸瓜发现了这个阴谋并报告给 oss-security，致使此事败漏。
如果不是因为这个 Bug，那么这么后门有不低的概率被并入主流发行版的 stable 版本，恐怕会是一件前所未有的重大安全事件。

另外从一些细节能看出来攻击者非常用心：
1. 攻击者抢在 ubuntu beta freeze 的几天前才尝试让新版本并入，以期望减少在测试期间被发现的时间。
2. xz-utils 项目的原维护者 Lasse Collin (Larhzu)，有着定期进行 internet breaks 的习惯，而且最近正在进行，导致这些变动他并没有 review 的机会，即使到现在也没能联系上他本人。这可能也是攻击者选定 xz-utils 项目的原因之一。

更多的细节还在被分析中，目前 GitHub 已经关停了整个 xz 项目。

https://x.com/Blankwonder/status/1773921956615877110?s=20

注1：仓库中的构建脚本没有问题，但是随新版本发布的源代码打包（tarball）中的构建脚本中添加了对后门的利用。这导致直接使用源代码包的用户构建了带有后门的程序。

注2：据其他来源，受影响的 sshd 是 Debian 和 Ubuntu 等系统经过修改后支持 systemd notification 的版本。xz 是 systemd 的依赖，不是 sshd 的直接依赖。

注3：这个人似乎并不是安全研究人员。参见：https://www.openwall.com/lists/oss-security/2024/03/29/4

完整上下文事件链接另见：https://t.me/CE_Observe/32247