听安全大佬介绍了一下 security posture management,去了解了一下。
主要是 CSPM、DSPM,核心点如下:
1. vendor independent,不依赖于某个云,而是关注于跨云管理
2. DSPM 以数据为核心,关注敏感数据发现,尤其是数据在哪、谁在访问、访问方式等
3. CSPM 以配置为核心,提出云时代最大的安全风险就是配置错误
除此之外还有一些其他的概念:
1. CWPP 这是比较传统的云主机防护 agent
2. CASB 跨云 API 的跳板机
3. CIEM 跨云的权限管理(IAM)
- IAPM 感觉和 CIEM 类似
4. NSPM 跨云的网络策略管理
5. ASPM 安全左移,更关注 dev 侧的安全发现
总的来说,一个大趋势就是跨云、下云,让用户摆脱云的控制。
而且部署方式也从 agent 到 agentless 的演变,提供安全 SaaS 云,
以 API 的形式对多云进行远程扫描。
核心概念应该来自于 Gartner 的报告,售价两千刀,没有搞到全文,只有零零散散的引用。
相关的一些参考资料:https://laisky.notion.site/6-Categories-of-Cybersecurity-Posture-LinkedIn-09ca9919136d4982b2c2ce97826241ab?pvs=4
主要是 CSPM、DSPM,核心点如下:
1. vendor independent,不依赖于某个云,而是关注于跨云管理
2. DSPM 以数据为核心,关注敏感数据发现,尤其是数据在哪、谁在访问、访问方式等
3. CSPM 以配置为核心,提出云时代最大的安全风险就是配置错误
除此之外还有一些其他的概念:
1. CWPP 这是比较传统的云主机防护 agent
2. CASB 跨云 API 的跳板机
3. CIEM 跨云的权限管理(IAM)
- IAPM 感觉和 CIEM 类似
4. NSPM 跨云的网络策略管理
5. ASPM 安全左移,更关注 dev 侧的安全发现
总的来说,一个大趋势就是跨云、下云,让用户摆脱云的控制。
而且部署方式也从 agent 到 agentless 的演变,提供安全 SaaS 云,
以 API 的形式对多云进行远程扫描。
核心概念应该来自于 Gartner 的报告,售价两千刀,没有搞到全文,只有零零散散的引用。
相关的一些参考资料:https://laisky.notion.site/6-Categories-of-Cybersecurity-Posture-LinkedIn-09ca9919136d4982b2c2ce97826241ab?pvs=4
❤3
在GitHub的一个事故中,某个数据并非完全同步的MySQL从节点被提升为主副本,数据库使用了自增计数器将主键分配给新创建的行,但是因为新的主节点计数器落后于原主节点(即二者并非完全同步),它重新使用了已被原主节点分配出去的某些主键,而恰好这些主键已被外部Redis所引用,结果出现MySQL和Redis之间的不一致,最后导致了某些私有数据被错误地泄露给了其他用户。
—-
《DDIA》第五章的例子,使用分布式 ID 可避免此类问题。至于分布式 ID 的局部性问题,可参考 UUID7 的思路,以时间戳为前缀。
—-
《DDIA》第五章的例子,使用分布式 ID 可避免此类问题。至于分布式 ID 的局部性问题,可参考 UUID7 的思路,以时间戳为前缀。
我的 macbook 是通过一根 usb-c 连接到显示器供电的(线材是青州小熊那买的廉价 4K 线),以前每次拔掉再插上,macbook 都需要很长时间才能正确识别到显示器,表现为反复闪屏。后来发现是 usb-c 线离对面同事的 usb-c 线太近了,我用笔筒把两根线隔开后就解决了。有遇到类似问题的可以检查下自己的排线…
《蒙古帝国的兴亡》,日本人写的蒙元史,非常有趣,详细介绍了蒙古诸王的兴盛与变迁。
某种意义上,一个地位不稳固的中央王朝往往是对民生最为宽容开放的王朝。比如忽必烈虽然贵为大汗,但是元朝从未能统一所有的蒙古部落,始终处于西部四王的长期威胁之下,这也使得元朝成为了中国历史上最为宽容的王朝之一,重视商业,对外开放,多族共和(被称为南蛮的汉族除外)。
以至于朱元璋总结称:元朝以宽失天下。
最终朱元璋的明王朝实际上也并未击败蒙古帝国,严格地说他只是驱逐了早就被蒙古部落所放弃的元朝幼帝。而蒙古王朝的各部落们早在从东欧到南亚的广阔土地上开枝散叶,并且直接促成或参与了奥斯曼帝国、俄罗斯帝国、莫卧儿帝国、萨法维王朝的建立。
从历史的眼光看,虽然明朝的建立被汉人视为驱逐鞑虏,但其实明朝的整个体系都是一次可耻的历史大倒车,明朝建立的统治体系,将会成为长久笼罩这片土地的梦魇。 #book
某种意义上,一个地位不稳固的中央王朝往往是对民生最为宽容开放的王朝。比如忽必烈虽然贵为大汗,但是元朝从未能统一所有的蒙古部落,始终处于西部四王的长期威胁之下,这也使得元朝成为了中国历史上最为宽容的王朝之一,重视商业,对外开放,多族共和(被称为南蛮的汉族除外)。
以至于朱元璋总结称:元朝以宽失天下。
最终朱元璋的明王朝实际上也并未击败蒙古帝国,严格地说他只是驱逐了早就被蒙古部落所放弃的元朝幼帝。而蒙古王朝的各部落们早在从东欧到南亚的广阔土地上开枝散叶,并且直接促成或参与了奥斯曼帝国、俄罗斯帝国、莫卧儿帝国、萨法维王朝的建立。
从历史的眼光看,虽然明朝的建立被汉人视为驱逐鞑虏,但其实明朝的整个体系都是一次可耻的历史大倒车,明朝建立的统治体系,将会成为长久笼罩这片土地的梦魇。 #book
👍4
各位如果最近抢了国内的廉价 VPS 不知道拿来干嘛,可以考虑跑一个 tailscale derper 做境内中转。
参考资料:
- https://blog.laisky.com/p/tailscale/ 容器安装 derper 一节
具体步骤:
1. 首先你已经有了 tailscale 账号
2. 你有自己的域名,然后拿到 dns server(如 cloudflare)的 access token
3. 服务器上装好 docker,域名指向这个服务器,用子域名也 ok
4. 在服务器上运行 swag + derper 的 docker compose
5. 编辑 swag 的 dns-conf,填入你的 dns access token,重启 swag
6. 等待 swag 成功申请到证书,重启一下 derper,检查一下 derper 成功加载了 TLS(derper 的日志里有这么一行
7. 去 tailscale ACL 把你的 derper 地址和端口配置好
注意:derper 可以挂在子域名和自定义端口,这样不会和你的既有服务冲突。
注意:如果你的域名没有备案,而且部署的服务器是境内的,那么不要用 443 端口!部署好后不要手贱用浏览器去访问!
实测腾讯云是不会阻断非 443 端口的未备案 HTTPS 流量的,当 derper 完全可以!
docker-compose 和 acl 配置可以参考附件
参考资料:
- https://blog.laisky.com/p/tailscale/ 容器安装 derper 一节
具体步骤:
1. 首先你已经有了 tailscale 账号
2. 你有自己的域名,然后拿到 dns server(如 cloudflare)的 access token
3. 服务器上装好 docker,域名指向这个服务器,用子域名也 ok
4. 在服务器上运行 swag + derper 的 docker compose
5. 编辑 swag 的 dns-conf,填入你的 dns access token,重启 swag
6. 等待 swag 成功申请到证书,重启一下 derper,检查一下 derper 成功加载了 TLS(derper 的日志里有这么一行
derper: serving on :YOUR_PORT with TLS)7. 去 tailscale ACL 把你的 derper 地址和端口配置好
注意:derper 可以挂在子域名和自定义端口,这样不会和你的既有服务冲突。
注意:如果你的域名没有备案,而且部署的服务器是境内的,那么不要用 443 端口!部署好后不要手贱用浏览器去访问!
实测腾讯云是不会阻断非 443 端口的未备案 HTTPS 流量的,当 derper 完全可以!
docker-compose 和 acl 配置可以参考附件
👍7
https://laisky.notion.site/Go-Containers-and-the-Linux-Scheduler-f4be286e0550474fbc04814bca4f43ec?pvs=4 #TIL #Golang
老生常谈了,go 不识别 cgroup 的 cpu limit,当 cgroup 给的 cpu 数目小于实际 CPU 数时,会导致 go 创建过多 threads 带来更多的切换开销。一般都会用 uber 的库 https://github.com/uber-go/automaxprocs ,加一行就完事儿:
老生常谈了,go 不识别 cgroup 的 cpu limit,当 cgroup 给的 cpu 数目小于实际 CPU 数时,会导致 go 创建过多 threads 带来更多的切换开销。一般都会用 uber 的库 https://github.com/uber-go/automaxprocs ,加一行就完事儿:
import _ "go.uber.org/automaxprocs"laisky on Notion
Go, Containers, and the Linux Scheduler | Notion
Like many Go developers my applications are usually deployed in containers. When running in container orchestrators it’s important to set CPU limits to ensure that the container doesn’t consume all the CPU on the host. However, the Go runtime is not aware…
❤3
https://copilot.microsoft.com/ 微软把 Bing Chat 和 Bing dall-e-3 都集成到这个页面了。虽然名义上是“免费”,但实际上在这里画图会同步消耗 dall-e-3 页面上的 boost 配额。而且目前 bug 还挺多的,vision 功能显然是挂掉的,chat 看上去也仅仅集成了 web-search 的 function。
#Golang 踩了个很无聊的坑,今天我在魔改 one-api,写了个单元测试,但是一运行就报了一些奇奇怪怪的从没见过的错。查了半天发现作者老哥居然在
init() 里写 flag.Parse(),然后导致 test 的 flags 也被这个 init() 捕获然后报错。各位千万别在 init() 里写 flag.Parse() 啊。openai 这个 chat completion API 的设计堪称教科书级的灾难,用静态语言写中间件的基本都吐了。同一个接口的字段类型可以来回变。各位设计 API 可千万别这样,宁肯多用 dict/object,给未来加属性留出足够的空间,千万别改变字段类型。
👍3