Russ Cox 2014 年给 MIT CSAIL 做的一个 Go talk，主要是关于内存模型的

对这方面不太熟悉的可以结合 这篇 看

PingCAP 的创始人黄东旭发了一系列文章，讨论在 2010 年代构建分布式系统

之一 之二 之三 之四

Eric S. Raymond （《大教堂与市集》 的作者）写了一篇关于 Go 语言的感受，其实大部分还是那些问题：

- 错误处理
- 缺少 sum type
- 表达力缺失（没有迭代器，const 只能用于原始类型 etc.）

不过总体上来说他对 Go 的评价其实还是很高的：

- 代码更容易维护（静态类型）
- 性能更好
- 更好的 profile 工具和测试工具

HN 讨论

谷歌十年
https://typlog.com/amp/eyJzaXRlX2lkIjoxMDUzLCJpdGVtX2lkIjoicG9zdC85NTQ5In0.Hox-cQqeWoB58CDNAzin_QTwpXE

https://www.infoq.cn/article/RQfWw2R2ZpYQiOlc1WBE

简要描述了 Java 最近几年的新动向

Python 的一系列性能改进计划

我个人觉得 HPy 比 PEP-659 要更重要，如果 HPy 能进上游的话，Python 扩展就不用跟 CPython 实现绑定了

https://github.com/brettwooldridge/HikariCP/wiki/About-Pool-Sizing

今天跟朋友聊数据库连接池，发现 HikariCP 有一篇很好的概述文章

TL；DR：

> Axiom: You want a small pool, saturated with threads waiting for connections.

https://blog.golang.org/ismmkeynote

Go team member Rick Hudson 关于 Go GC 优化的一篇概述

It's Now Possible To Sign Arbitrary Data With Your SSH Keys

https://www.agwa.name/blog/post/ssh_signatures

终于要有广泛使用的 pgp alternative 了

Git 已经在实现 SSH signing support 了： https://github.com/git/git/pull/1041

prior art: https://ssh-vault.com/

Hacker News：https://news.ycombinator.com/item?id=29208518

#TIL 原来有人再用 Rust 重写 GPG

https://nlnet.nl/pres/20211123/Sequoia-presentations-23-11-2021.pdf

更多相关内容：https://conf.tube/videos/watch/4c6266f1-eefe-4f4b-8f54-9d31e5130080

The Mysteries of Dropbox

使用 Property based testing 来给 Dropbox 做自动化测试，发现了一些隐藏很深的 bug

Slide： https://www.lambdadays.org/static/upload/media/1456917030529391sonofmysteriesofdropbox.pdf

Paper： https://www.cis.upenn.edu/~bcpierce/papers/mysteriesofdropbox.pdf

policy-kit 爆了一个很严重的漏洞，建议立即进行安全更新

https://twitter.com/0xdea/status/1486086902986035207

#TIL
https://github.com/kubernetes/kubernetes/issues/109406#issuecomment-1103479928

---

> IIRC for example Alpine does not make available the source code (AFAICT Alpine publishes source code for the packaging scripts, but not the package sources), or even the LICENSE of binary packages, which is problematic for compliance with licenses ... (Various common license require including the license text, and / or making source code available).

> So those images don't even ship with license / copyright info files for packages which is ... not a great start.
I'm not sure where a good public reference is for this, Google OSPO has some relevant docs internally about following license requirements when producing container images.
So far the best public doc on the topic I've found is lwn.net/Articles/786066

https://evilmartians.com/chronicles/soft-deletion-with-postgresql-but-with-logic-on-the-database

使用 PostgresQL 的特性，在数据库层面实现软删除：

TL, DR:

CREATE RULE "_soft_deletion" AS ON DELETE TO "orders" DO INSTEAD (
  UPDATE orders SET deleted = true WHERE id = old.id AND NOT deleted
);

https://github.com/Vonng/ddia/blob/main/ch12.md#%E5%81%9A%E6%AD%A3%E7%A1%AE%E7%9A%84%E4%BA%8B%E6%83%85

DDIA 作者居然在最后一章里面还讨论了这么多伦理问题

> 收集关于人的数据并进行决策，信用评级机构是一个很经典的例子。不良的信用评分会使生活变得更艰难，但至少信用分通常是基于个人 实际的 借款历史记录，而记录中的任何错误都能被纠正（尽管机构通常会设置门槛）。然而，基于机器学习的评分算法通常会使用更宽泛的输入，并且更不透明；因而很难理解特定决策是怎样作出的，以及是否有人被不公正地，歧视性地对待【89】。
> ...
> 盲目相信数据决策至高无上，这不仅仅是一种妄想，而是有切实危险的。随着数据驱动的决策变得越来越普遍，我们需要弄清楚，如何使算法更负责任且更加透明，如何避免加强现有的偏见，以及如何在它们不可避免地出错时加以修复。

https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn

有趣

TLDR: 利用 Web Server 对 Transfer-Encoding: chunked 和 Content-Length 的不同处理，来诱导前端和后端服务器对 HTTP 请求产生不同的理解

https://http1mustdie.com 看起来又在 HTTP 1.1. 上构造出了新的攻击手段，将于 8 月 6 日公布