ZhuLink ZhuLink
登录

【HN中文日报】劲爆!NSA暗中搞鬼?Rust勇闯Lua界!还有NPM惊魂,快来吃瓜!

意外富翁 · 1个月前 · News · 22 · 0

今天 Hacker News 社区聊了啥? NO.20251124

这期日报信息量爆炸!先有NSA和密码学标准的迷雾重重,再看Rust挑战Lua运行时,性能飞升!想听音乐?Cynthia播放器满足你。NPM供应链再遭毒手,Shai-Hulud卷土重来!还有更快Notion替代品、分布式矩阵乘法新算法、RuBee近场通信、Chrome JPEG XL复活、经典游戏重制、听力辅助设备选购指南… 篇篇干货,不容错过!快来一探究竟,get 最新技术趋势!

Hacker News 中文精选

NSA 和 IETF 的博弈:规避核心问题

这篇文章主要讨论了 NSA(美国国家安全局)和 IETF(互联网工程任务组)之间在密码学标准制定中的一些问题,特别是关于混合密码学和后量子密码学(PQcrypto)的争议。作者认为,一些关键问题没有得到充分解决,存在规避问题的情况。

文章指出,IETF 在保护异议方面有所倒退,并质疑攻击者是否可以通过购买来影响密码学标准的制定,从而引入弱化的密码算法。作者还提到了之前关于 NSA、NIST(美国国家标准与技术研究院)以及后量子密码学的诉讼,以及对双重加密(混合加密)的分析,认为 NSA 和 GCHQ(英国政府通信总部)对此的论点存在问题。此外,文章还涉及了对 Kyber-512 安全性的分析,以及对 NIST 在计算 Kyber-512 安全级别时的质疑。

总而言之,这篇文章暗示了在密码学标准化过程中,NSA 可能存在不当影响,以及 IETF 在应对这些影响时可能存在的不足。文章还讨论了后量子密码学标准化中的一些挑战,以及密码学界对量子计算风险的评估。

由于没有评论内容,这里跳过评论分析。

Astra:Rust 编写的快速 Lua 运行时

Astra 是一个用 Rust 编写的快速 Lua 运行时,它提供了一个轻量级的 Lua 环境,并可以通过 HTTP 服务器处理请求。文章展示了如何使用 Astra 创建一个简单的 HTTP 服务器,注册路由,处理请求,并返回 JSON 响应。

这段代码示例展示了如何创建一个新的 HTTP 服务器实例,并使用 server:get() 方法注册两个路由。第一个路由 "/" 返回一个简单的字符串 "hello from default Astra instance!"。第二个路由 "/count" 演示了如何访问请求体、设置响应状态码和头部,以及返回 JSON 数据。这个路由还包含一个计数器,每次访问都会递增,展示了如何在路由处理函数中使用局部变量。服务器可以通过设置 server.port 属性来配置端口,最后通过 server:run() 方法启动。

评论区主要围绕 Astra 的实现方式和意义展开了讨论。有人提到将 Lua 转译为 WASM 以在浏览器中运行,虽然实用性不高,但觉得很有趣。另一些人则对“用 Rust 编写”这一点表示关注,甚至有人希望屏蔽所有包含“用 Rust 编写”的条目。有人指出 Astra 实际上是使用了 mlua Rust bindings,本质上是 C Lua/LuaJIT 的 Rust 接口,并非完全从头用 Rust 实现的 Lua 运行时。最后,有人简单地询问是否支持 100% 的 Lua。总的来说,评论区对 Astra 的实现细节和技术选型更感兴趣,而非其应用场景。

Cynthia:可靠的 MIDI 音乐播放器

Cynthia 是一款可靠的 MIDI 音乐播放器,它以 MIT 许可证发布,并且是可移植的 Windows 应用程序。这款工具旨在轻松播放 MIDI 音乐文件,并提供了一系列功能来增强用户体验。

Cynthia 允许用户从文件夹或 M3U 播放列表播放 MIDI 文件,并支持在播放过程中动态调整播放速度、音量和输出设备。其大型播放进度条使用户能够通过单击或轻触轻松地前后跳转。该软件支持 Format 0 (单轨) 和 Format 1 (多轨) 的 ".mid"、".midi" 和 ".rmi" 文件,并附带 25 个可供播放的示例 MIDI 文件。

Cynthia 提供了双播放系统(播放文件夹和播放列表),并内置了 25 个示例 MIDI 文件。它还提供经过、剩余和总时间读数,以及设备状态、设备计数、每秒消息数和数据速率读数。此外,Cynthia 支持原生 M3U 播放列表,允许用户复制、粘贴、打开、保存和构建播放列表。用户还可以通过拖放 MIDI 文件来播放或添加到播放列表。

该软件提供了多种播放模式,包括单次、重复单曲、重复全部、全部单次和随机播放。播放速度范围从 50% 到 200%(标准)和 10% 到 1000%(扩展)。Intro 模式允许播放 MIDI 文件的开头 2 秒、5 秒、10 秒或 30 秒。用户还可以快退/快进 1 秒、2 秒、5 秒、10 秒或 30 秒。

Cynthia 还具有自动淡入、音量控制和 Windows 音量混合器链接。它还具有滚动歌词查看器、详细的 MIDI 信息面板以及用于实时音轨数据、通道输出音量和音符使用情况的面板。用户可以使用集成的混音器调整各个通道的音量,并使用钢琴面板查看实时钢琴击键。该软件还提供了转调选项,并支持使用 Xbox 控制器来控制主要功能。Cynthia 具有大列表容量,可以处理数千个 MIDI 文件,并允许用户在最多 10 个 MIDI 播放设备之间切换。

Cynthia 是一款功能丰富且易于使用的 MIDI 播放器,适用于 Windows 系统,并且可以通过 Wine 在 Linux 和 Mac 系统上运行。它提供了广泛的功能,可以满足休闲听众和严肃音乐家的需求。

Shai-Hulud 卷土重来:NPM 包恶意攻击事件

HelixGuard 在 2025 年 11 月 24 日检测到超过 300 个 NPM 组件在短短几小时内遭受了相同的恶意攻击,攻击者通过伪装成 Bun 运行时环境进行渗透,并在超过 27,000 个 GitHub 仓库中传播。

攻击者通过在受感染的 NPM 包中添加 preinstall: node setup_bun.js 脚本以及混淆的 bun_environment.js 文件,诱导用户执行恶意代码。setup_bun.js 脚本会调用 bun_environment.js,后者是一个体积超过 10MB 的高度混淆的 JavaScript 文件,其主要功能是从环境中窃取敏感信息,例如 AWS、Azure、GCP、GitHub 和 NPM 凭据。该恶意脚本还利用 TruffleHog 进行密钥扫描,并通过 GitHub Actions 泄露数据。

更进一步,该恶意代码会修改 package.json 文件,注入恶意脚本,重新打包组件,并使用窃取的令牌执行 npm publish,从而实现蠕虫式的传播。攻击者还会创建一个名为 SHA1HULUD 的 GitHub Action runner,并在 GitHub 仓库描述中留下 "Sha1-Hulud: The Second Coming." 的标记,暗示这与 2025 年 9 月发生的 "Shai-Hulud" 攻击为同一幕后黑手。

攻击者创建恶意 workflow 文件 .github/workflows/formatter_123456789.yml,并将仓库 secrets 通过双重 Base64 编码打包到 actionsSecrets.json 中。被盗取的 secrets 包括 EC2 SSH 密钥、github_token、AWS 密钥、Slack webhook URL 等敏感信息。受影响的包包括 @zapier/zapier-sdk@posthog/coreposthog-node@asyncapi/specs 等多个流行的 NPM 包。

该事件表明供应链攻击的威胁日益严重,开发者需要提高安全意识,及时更新依赖,并使用安全工具进行漏洞扫描和恶意代码检测。

使用 Rust 构建更快的 Notion 替代品:Outcrop

本文介绍了作者使用 Rust 语言构建知识库产品 Outcrop 的过程,旨在提供比现有方案更快、更简单的体验。文章重点介绍了 Outcrop 在权限管理和搜索功能上的优化,以及在实时协作方面遇到的挑战和解决方案。

作者提到,在构建知识库时,速度和简洁性至关重要。为了实现这一目标,他们没有选择流行的语言,而是选择了 Rust,因为它能够提供更好的性能和更多的控制权。文章详细介绍了 Outcrop 的几个关键特性:

  • 微型 Zanzibar 权限系统: 借鉴 Google 的 Zanzibar 权限管理系统,Outcrop 构建了一个更轻量级的版本,将权限验证从数据库查询和应用程序代码中分离出来,从而提高了性能。权限规则定义在 CSV 文件中,易于管理和维护。
  • 更灵活的搜索: Outcrop 使用 Tantivy 作为搜索引擎,并集成了语言检测和多语言分词功能。更重要的是,搜索结果与权限系统集成,确保用户只能搜索到他们有权访问的资源。
  • Prosemirror 的挑战: 在实时协作方面,作者遇到了 Prosemirror 的挑战。由于 Prosemirror 是用 JavaScript 编写的,无法直接利用 Rust 的优势。最初的解决方案是将所有更改发送到服务器进行验证,但这种方法存在安全风险和延迟问题。

最终,作者意识到需要重新思考 Prosemirror 的集成方式,并考虑是否需要用 Rust 重写 Prosemirror。构建 Outcrop 的经验表明,选择合适的工具和技术对于构建高性能、可扩展的知识库至关重要。

由于没有评论内容,因此跳过评论相关的输出。

分布式矩阵乘法的通用单边算法:Slicing Is All You Need

本文介绍了一种通用的单边算法,用于分布式矩阵乘法,旨在支持所有分区和复制因子的组合。该算法的核心思想是利用切片(索引运算)来计算必须相乘的重叠瓦片集合。

文章指出,现有的分布式矩阵乘法算法通常仅限于特定的分区方式,为了支持所有可能的分区,需要实现多种算法,或者在分区方式不匹配时重新分配操作数,这会增加通信成本。为了解决这个问题,作者提出了一个通用的单边算法,该算法可以通过切片操作来确定需要进行局部矩阵乘法的瓦片集合。这些局部乘法可以直接执行,也可以重新排序并优化,以最大化重叠。

该算法使用基于 C++ 的 PGAS 编程框架实现,该框架支持使用节点内互连进行直接 GPU 到 GPU 的通信。作者通过各种分区和复制因子评估了该算法的性能,结果表明,该算法与 PyTorch DTensor(一种针对 AI 模型的高度优化的分布式张量库)具有竞争力。

总的来说,这篇文章提出了一种新的分布式矩阵乘法算法,该算法具有通用性、高效性和易于实现的优点,有望在科学、数据分析和 AI 等领域得到广泛应用。它通过“切片”这一核心概念,简化了分布式矩阵乘法的实现,并提高了性能。该研究为未来的分布式计算研究提供了一个新的方向。

RuBee:一种独特的近场通信技术

本文介绍了 RuBee,一种主要应用于资产追踪的近场通信技术,它利用磁场而非电场进行数据传输,在特定领域表现出优于 RFID 的性能。

RuBee 是一种由 Visible Assets Inc. 开发的无线通信协议,创始人 John K. Stevens 最初是为了解决医疗冷链物流中的温度监控问题。与蓝牙和 RFID 等技术不同,RuBee 被设计用于需要持续追踪多个对象的情况,强调可靠性而非高速数据传输。RuBee 的主要特点是使用低频(通常为 131 kHz)进行通信,工作在近场区域,利用磁场进行数据传输。这种方式使其在金属和水等介质的干扰下表现出更强的鲁棒性,这是 RFID 技术的一个痛点。

与 NFC 相比,虽然两者都基于近场通信和磁耦合,但 NFC 的工作频率更高,导致通信范围非常短。RuBee 能够在 30 米的范围内实现磁耦合,这使得它在库存跟踪等应用中具有优势。RuBee 的抗干扰能力使其在高价值物品(如枪支、爆炸物和机密材料)的追踪中非常有用,在这些场景下,即使是很低的失败率也是不可接受的。尽管 Stevens 最初的目标是医疗领域,但 RuBee 在军械库等安全领域的应用前景似乎更为广阔。

由于 RuBee 标签体积小且主要由电池供电,因此可以很容易地嵌入到各种资产中,从而实现持续监控。虽然电池寿命是一个需要考虑的因素,但 RuBee 在可靠性和抗干扰方面的优势使其成为某些特定应用的理想选择。

停止 Roadmap 一周,修复 189 个 Bug:一次有益的 Bug 修复活动

这篇文章讲述了一个软件工程团队如何通过暂停常规 Roadmap 工作一周,集中精力修复 Bug,从而提升产品质量、提高开发人员效率和增强团队凝聚力。作者分享了他们团队组织 "Fixit" 活动的经验,包括活动规则、成果以及带来的好处。

文章的核心在于介绍 "Fixit" 活动,即团队每季度会抽出一个星期,停止所有 Roadmap 工作,专注于修复那些长期困扰用户和开发人员的小问题。这些问题可能包括不清晰的错误消息、滚动和缩放时的奇怪故障,以及运行缓慢的测试。为了激励大家参与,他们还引入了积分系统和排行榜,并承诺为取得各种成就的人员颁发 T 恤。

通过这次 "Fixit" 活动,团队修复了 189 个 Bug,有 40 人参与,人均修复 Bug 数量的中位数为 4 个,最多一人修复了 12 个 Bug。作者分享了一些亮点,例如修复了一个 2021 年提出的功能请求,改进了团队的生产力,以及提供了一个新的 SDK 版本,方便集成到项目中。

文章强调了 "Fixit" 活动的几个好处。首先,它能提升产品质量,关注那些区分好产品和优秀产品的细节。其次,它能让开发人员重温早期职业生涯中修复问题的乐趣,摆脱日常规划和协调工作的束缚。第三,它能增强团队的士气和凝聚力,让大家在轻松友好的氛围中共同解决问题。

作者还分享了成功举办 "Fixit" 活动的关键要素,包括充分的准备、严格的 2 天时间限制以及足够多的人员参与。准备工作包括鼓励大家全年标记 "Fixit" 候选 Bug,并在活动前对这些 Bug 进行评估和分类。2 天的时间限制是为了防止 Bug 修复演变成耗时的大项目,影响活动的节奏和效果。足够多的人员参与可以营造出集体能量,增强活动的吸引力。

Chrome 浏览器重新开启 JPEG XL 解码支持的讨论

Chrome 浏览器正在重新评估对 JPEG XL 图像格式的支持,目标是提升网络图像的质量和效率。JPEG XL 是一种免版税的图像编解码器,旨在提供与现有 JPEG 格式相比,在相同视觉质量下节省约 60% 的文件大小。

文章指出,JPEG XL 具有多项优势,包括无损 JPEG 重压缩(节省约 20%)、有损和无损模式、动画、Alpha 通道、渐进式和显著性解码以及 HDR 支持。此外,它还支持多线程和 SIMD 优化解码,可以显著改善图像质量与文件大小的比例,降低视觉延迟,并支持 HDR、动画和渐进式解码等多种功能。许多 Google 团队以及 CDN 服务商都有兴趣使用 JPEG XL 来存储和分发图像。

Chromium 团队已经开始在代码库中添加 libjxl 库及其依赖项,并实现了在 Flag 后面的 image/jxl 解码。这意味着 JPEG XL 的解码功能正在逐步集成到 Chrome 浏览器中。

评论区里,开发者们对 JPEG XL 的潜在应用场景提出了许多有意思的看法。有人提到,JPEG XL 可以实现“按需加载”图像数据,例如在电商网站上,用户放大图片时可以加载更多细节,而无需一开始就下载完整的高分辨率图像。 另一些人则认为,这种机制也可以应用于 <img srcset> 标签,根据屏幕分辨率或图片布局大小加载适当的图像数据。还有人希望看到基于显著性的渐进式 HDR 图像解码,并结合 HTTP/2 图像流多路复用技术,进一步提升用户体验。这些讨论表明,JPEG XL 的引入有望为 Web 图像处理带来更多可能性。

Serflings:开源重制版《工人物语1》

Serflings 是一款对经典游戏《工人物语1》(The Settlers 1)的开源重制版本,力求尽可能还原原作,并加入了一些实用的扩展功能,比如支持更高分辨率和网络对战。想要启动游戏,需要从原版游戏中复制一个文件(SPAE.PA、SPAD.PA 或 SPAF.PA),或者如果安装了历史版本,则无需复制。

这款重制版兼容 DOS 版本和历史版本的游戏文件。它支持多种语言,包括德语、英语、法语和波兰语。Serflings 提供了平滑滚动、缩放等功能,还支持局域网联机对战。游戏还包括自动寻路功能,并指示建筑物的工作半径。你可以通过命令行参数启用预览模式,验证游戏数据,并显示系统信息。

目前已经包含原版游戏的大部分功能,例如所有训练、任务、单人自定义游戏和 AI。游戏还支持保存和加载游戏,完全兼容原版游戏的存档。虽然还有一些功能缺失或正在计划中,例如替换现有建筑物、菜单或建筑物的计时器以及建造路径时滚动,但开发者正在积极改进。

最新版本是 2025 年 9 月 24 日发布的 2.2.0-SNAPSHOT 版本,你可以在 Github 上提交 Bug 报告和功能请求。

评论区里,有玩家提到了《工人物语》原作者的现代续作《Pioneers of Pagonia》,目前是 Early Access 阶段,计划在 2025 年 12 月 11 日发布 1.0 版本,看起来很有潜力。还有玩家提到另一款开源克隆游戏 Widelands,同样值得关注。此外,也有玩家询问是否能在 Linux 系统上运行 Serflings。总的来说,评论区对这类经典游戏的重制或复刻作品都抱有积极态度,并乐于分享相关信息。

Disney 失去 Roger Rabbit 版权:终止转让条款的胜利

本文讨论了迪士尼失去《谁陷害了兔子罗杰》版权的原因,以及“终止转让”条款如何保护了创作者的权益。文章深入探讨了版权法中“终止转让”这一重要条款,并分析了其对创意工作者的意义。

Gary K Wolf创作了《谁审查了兔子罗杰?》这部小说,迪士尼将其改编成了电影。然而,迪士尼并未制作续集。作者指出,对于创作者来说,最糟糕的情况莫过于作品大受欢迎,但版权却掌握在一个不作为的“房东”手中。幸运的是,版权法中的“终止转让”条款可以帮助创作者摆脱这种困境。该条款允许创作者在35年后单方面撤销他们签署的版权许可。

作者强调,“终止转让”是唯一真正惠及创意工作者的版权政策。与传统的版权概念不同,它不仅仅是创作者用来谈判的工具,更赋予了他们实际的议价能力。作者认为,过去50年里,版权在各个方面都在扩张,但创意工作者的收入却在下降。这是因为创意劳动力市场高度集中,创作者只能与少数几家出版商、工作室或平台进行谈判,导致议价能力严重不对等。

文章进一步解释说,给予创意工作者更多的版权,而不解决他们的市场力量问题,就像给被欺负的孩子更多的午餐钱一样,只会让欺负者更加富有。作者还提到了他和Rebecca Giblin合著的《扼制点资本主义》一书,书中详细阐述了大型科技公司和内容公司如何控制创意劳动力市场。

Rebecca Giblin是“终止转让”方面的专家,她与人合著了一项关于自1976年版权法以来“终止转让”使用的权威研究,揭示了这一条款如何使创作者受益,而损害了媒体公司的利益。作者回顾了“终止转让”条款被纳入1976年版权法的曲折过程,以及媒体公司如何试图削弱这一条款。最初的版本规定在25年后自动终止,但后来被修改为35年后,并且需要创作者向版权局提交申请。更糟糕的是,1999年,一项法案取消了音乐家的“终止转让”权,尽管后来在音乐家的强烈抗议下被撤销。

总而言之,文章强调了“终止转让”条款对于保护创意工作者权益的重要性,以及与大型媒体公司进行抗衡的必要性。

Hugo 静态站点部署在 Cloudflare Pages 上的实践

这篇文章主要介绍了如何使用 Hugo 搭建静态博客,并选择 Cloudflare Pages 进行部署的原因和具体步骤,作者声称 10 分钟即可完成。

文章首先介绍了 Hugo 的优点,它是一个用 Go 语言编写的静态站点生成器,可以将 Markdown 文件转换为 HTML,从而实现快速的页面响应,这对于 SEO 来说至关重要。接着,文章对比了 Cloudflare Pages 和 Netlify 这两个部署方案,作者选择了 Cloudflare Pages 并详细阐述了原因。Cloudflare Pages 可以轻松构建 Hugo 站点,并能自动部署主分支的更新,还支持自定义域名。作者列举了 Cloudflare 的优势,包括强大的安全防护、完善的 DNS 服务、优秀的构建基础设施以及免费计划。当然,Cloudflare 也有一些缺点,例如偶尔可能会宕机,以及仪表盘功能繁多,需要一定的熟悉度。总而言之,作者认为 Cloudflare Pages 是一个简单高效的博客托管方案,并表示未来会继续探索 Netlify 和其他静态站点生成器。

日本押注北海道,欲打造全球芯片中心

日本正大力投资,试图将北海道从农业和旅游业中心转变为全球先进半导体制造中心,目标是重振其芯片产业并重塑经济未来。

北海道拥有丰富的自然资源和战略位置,吸引了政府和企业的大量投资,核心是 Rapidus 公司,一家由政府和日本大型企业支持的芯片制造商,目标是在北海道千岁市建立日本首个最先进的芯片制造厂。Rapidus 与 IBM 合作,已筹集数十亿美元,并成功制造出 2 纳米原型晶体管,展示了其在尖端半导体技术方面的实力。

尽管 Rapidus 对 2027 年量产 2 纳米芯片充满信心,但仍面临诸多挑战,包括能否在竞争激烈的市场中实现所需的产量和质量,以及如何获得足够的资金支持。此外,该公司还面临着来自台积电和三星等行业巨头的竞争,这些公司在芯片制造领域拥有丰富的经验和成熟的客户关系。

日本政府对芯片产业的投资力度巨大,但人口老龄化和半导体工程师短缺等问题也给日本的芯片产业复兴带来了挑战。为了解决这些问题,Rapidus 正在与北海道大学等机构合作,培养新的技术工人,并积极吸引外国人才。

尽管存在诸多挑战,但日本政府和企业对北海道芯片产业的未来充满信心,并希望通过建立一个完整的芯片生态系统,吸引更多的全球参与者,共同推动半导体技术的发展。目前,台积电、Kioxia、东芝、美光和三星等公司都在日本扩大了投资,ASML 和东京电子等设备制造商也在千岁市开设了办事处。

谷歌云如何构建 13 万节点 GKE 集群

本文介绍了谷歌云如何构建一个拥有 13 万个节点的 Google Kubernetes Engine (GKE) 集群,这是为了满足日益增长的 AI 工作负载需求而进行的扩展尝试,并分享了实现这一目标的关键架构创新。

GKE 已经支持高达 65,000 个节点的集群,而这次实验性的 13 万节点集群是官方支持和测试限制的两倍。这种扩展不仅仅是增加节点数量,还需要扩展 Pod 创建和调度吞吐量等关键维度。在测试中,实现了每秒 1,000 个 Pod 的吞吐量,并在优化的分布式存储中存储了超过 100 万个对象。文章探讨了推动这种超大规模集群需求的趋势,并深入研究了为实现这种极端可扩展性而实施的架构创新。

随着芯片供应不再是瓶颈,电力成为新的限制因素。单个 NVIDIA GB200 GPU 需要 2700W 的电力,成千上万个这样的芯片使得单个集群的电力消耗可能达到数百兆瓦。因此,对于超过 10 万个节点的 AI 平台,需要强大的多集群解决方案,以便在集群和数据中心之间协调分布式训练或强化学习。谷歌云正在积极投资像 MultiKueue 这样的工具来解决这个问题,并改进 RDMA 网络,例如最近宣布的托管 DRANET。

为了实现这种规模,Kubernetes 生态系统需要进行重大创新,包括控制平面、自定义调度和存储。优化的读取可扩展性至关重要,通过 Consistent Reads from Cache 和 Snapshottable API Server Cache 等功能,可以从内存中直接提供强一致的数据,从而大大减少了对象存储数据库的负载。此外,一个优化的分布式存储后端(基于 Google 的 Spanner 分布式数据库)对于支持集群的大规模扩展至关重要,在 13 万个节点时,需要 13,000 QPS 来更新租约对象,以确保节点健康检查等关键集群操作不会成为瓶颈。Kueue 作为一个作业排队控制器,为 Kubernetes 带来了批处理系统功能,可以根据公平共享策略、优先级和资源配额来决定何时允许作业进入,并为整个作业启用“全有或全无”的调度。

Kubernetes 生态系统也在朝着以工作负载为中心的调度发展,目标是从以 Pod 为中心转向以工作负载为中心的方法。这意味着调度器将考虑整个工作负载的需求作为一个整体来进行放置决策,包括可用和潜在的容量。对 Gang Scheduling 的原生支持将简化 GKE 上大规模、紧密耦合的应用程序的编排。

听力辅助设备选购与使用体验分享

本文主要讨论了听力辅助设备的使用体验和技术选择,包括不同品牌的助听器、主动降噪耳机以及辅助技术如实时字幕眼镜等,旨在为有听力障碍的人士提供选购参考和技术支持。文章重点介绍了Oticon Intent助听器在空间感知和降噪方面的改进,以及主动环境监听IEMs在音质和听力保护方面的优势。

文章中,一位用户分享了使用Captify实时字幕眼镜的经验,认为这项技术显著改善了他在工作场所的体验。另一位用户则推荐了ASI Audio 3DME主动环境监听IEMs,强调其在高保真音质、听力保护和个性化EQ调节方面的优势,但同时也指出了其在便携性和社交场合适用性方面的局限性。还有用户分享了使用Oticon Intent助听器的体验,特别赞赏其在空间感知和机器学习降噪方面的改进。此外,有用户对Phonak助听器在蓝牙连接iPhone时只能使用助听器自带麦克风而非iPhone麦克风的设定表示不满。

评论区也探讨了助听器在解决“嘈杂环境听力”问题(如鸡尾酒会效应缺失)方面的应用。一位用户询问是否有针对听力过滤问题的助听器,因为他在多人同时说话的环境中难以理解他人。另有用户分享了使用Oticon Opn1助听器的体验,认为其在嘈杂环境中的音质表现优异,并赞赏其与iPhone的无缝连接。总的来说,评论区呈现了对不同品牌和类型的听力辅助设备的多样化观点和需求,反映了用户在实际使用中遇到的问题和解决方案。

µcad:开源编程语言,生成 2D 草图和 3D 对象

µcad 是一种新的开源编程语言,旨在通过代码生成 2D 草图和 3D 模型。该项目目前还处于早期阶段,但正在快速开发迭代,每周都有新功能加入。

µcad 旨在为开发者提供一种通过编程方式创建和操作几何图形的工具,类似于 OpenSCAD,但可能在语言设计和功能特性上有所不同。该网站提供了博客更新,展示了 µcad 的最新进展,包括代码示例、打印模型、版本发布和相关视频。其中展示了使用 µcad 创建的 Spirograph、Lego 积木和齿轮等示例。

目前 µcad 已经发布了 Alpha 版本,并且在不断更新迭代。该项目也得到了 Prototype Fund 和 Open Knowledge Foundation 的支持。

评论区主要围绕 µcad 的功能、与其他 CAD 工具的比较以及潜在的改进方向展开了讨论:

  • 品牌风险: 有人建议移除乐高相关的示例,因为乐高公司对其品牌非常敏感,避免侵权风险。
  • 与其他 CAD 工具的比较: 有用户将 µcad 与 Zoo 的 KCL 语言进行比较,认为 KCL 的流水线方法更具优势,但 Zoo 存在厂商锁定的问题。同时,用户也关心 µcad 是否解决了这个问题。
  • 交互式体验: 有用户提到了 OpenSCAD 的一个优点,即可以立即看到代码更改在 3D 视图中的效果,并询问 µcad 是否有类似的功能。
  • 代码示例: 有人建议在首页提供一个简单的代码示例和生成的草图,方便用户快速了解。
  • 功能完整性: 有用户认为 OpenSCAD 和 CadQuery 在功能和几何内核方面不够强大,不如 Onshape 和 Fusion 360。
  • Web Notebook: 有用户建议提供 Web Notebook,方便用户无需安装即可体验。
  • 约束求解器: 有用户指出 µcad 似乎没有约束求解器,这使得参数化设计变得复杂。
  • 文件格式兼容性: 有用户询问 µcad 是否支持导出为其他文件格式,以便在 Revit 等软件中使用。
  • 迭代支持: 有用户希望 CAD 语言能够更好地支持迭代,例如在房屋设计中自动生成墙体的详细构造。
  • 网站优化: 有用户批评网站使用 PHP 并且链接包含查询参数,建议改为静态页面。

Lambda 演算 Beta 归约动画演示

本文介绍了一个交互式的 Lambda 演算 Beta 归约动画工具,它能够将 Lambda 表达式以 John Tromp 的图表形式可视化,并逐步演示归约过程。该工具旨在帮助用户更直观地理解 Lambda 演算的计算过程。

Lambda 演算是一种极简的图灵完备语言,其中所有对象都是函数。表达式 λx.E 表示一个接受变量 x 并返回表达式 E 的函数,类似于 JavaScript 中的 (x) => E 或 Python 中的 lambda x: E。函数可以构造并返回其他函数,例如 λx.λy.x 接受 x 并返回一个接受变量 y 但始终返回 x 的单变量常量函数。相邻的两个表达式表示函数应用,例如 (λz.zz)(λx.λy.x) 将函数 (λx.λy.x) 应用于 λz.zz,经过 Beta 归约得到 λy.λx.λy.x

该工具允许用户输入 Lambda 表达式,并使用颜色编码来区分 Lambda 项及其绑定变量,同时进行语法高亮显示。它还支持一些常用的 Lambda 演算速记符号,例如 T(true)、F(false)、逻辑运算符和 Church 整数等。通过动画演示,用户可以清晰地看到 Beta 归约的每一步,从而更好地理解 Lambda 演算的计算过程。作者提到这个 Applet 的编写非常复杂,但对结果非常满意。

评论区里,有用户提到了“交互网络”(Interaction Nets),认为它提供了一种更具物理意义的、局部化的归约方式,避免了 Lambda 演算中可能出现的“跳跃”现象,更适合并行计算。还有用户分享了使用该工具计算 Collatz 函数的例子,以及对可视化 Lambda 演算和 Tromp Lambda 图的喜爱。总的来说,评论区对这个工具表示赞赏,并提出了更多关于 Lambda 演算和相关计算模型的思考。

Rust 性能优化指南:The Rust Performance Book

本文档是关于 Rust 性能优化的指南,旨在帮助开发者编写更高效的 Rust 代码。它涵盖了从基准测试到编译器选项,再到各种数据结构和算法选择等多个方面,是深入理解 Rust 性能特性的宝贵资源。

文章首先介绍了性能优化的重要性,强调了在 Rust 中实现高性能的关键在于理解语言的底层机制。文档详细讲解了如何进行准确的基准测试,包括使用 criterion crate 和避免常见陷阱。此外,还深入探讨了编译器配置对性能的影响,例如 profile 设置和 LTO(Link-Time Optimization)。

文章还涵盖了代码层面的优化技巧,例如内联、哈希算法选择、堆分配管理和类型大小优化。讨论了标准库类型的使用,如 VecString,以及如何通过选择合适的迭代器模式和避免边界检查来提高性能。I/O 操作、日志记录和调试等方面也给出了建议,例如手动锁定 stdout 以减少 I/O 瓶颈。

此外,文档还介绍了包装器类型、机器码分析、并行处理以及一些通用技巧,帮助开发者从多个角度提升 Rust 程序的性能。最后,还讨论了编译时间优化,包括禁用 debuginfo 和避免使用大型依赖项。总之,本文档为 Rust 开发者提供了一个全面的性能优化指南,帮助他们编写更高效、更快速的 Rust 代码。

评论区里,有读者分享了自己使用这本书的经验,并表示这本书促使他深入研究 profiling 技术,甚至开始构建自己的 Rust 性能工具。另有读者询问是否有类似于 WASM 性能优化的资源,因为他们发现将 Rust 代码编译成 WASM 后,传输和加载的成本超过了程序运行本身的成本。还有人分享了该书的打印版本链接,方便离线阅读。有读者提到书中关于哈希算法、I/O、编译时间以及枚举类型的优化建议,并表示受益匪浅。也有读者遗憾书中没有提到 SIMD 相关的优化。总的来说,评论区对这本书的评价很高,认为它是一份非常有价值的 Rust 性能优化资源。

利用 macOS 安全区域实现 SSH 密钥保护

本文介绍了如何在 macOS 上利用安全区域 (Secure Enclave) 来生成和使用 SSH 密钥,这提供了一种替代方案,可以取代像 Secretive 这样的项目,从而增强 SSH 密钥的安全性。

文章的核心在于利用 macOS 自带的 /usr/lib/ssh-keychain.dylib 库。这个库传统上用于为 SSH 添加智能卡支持,但现在它也实现了 SecurityKeyProvider,可以直接从安全区域加载密钥。

要创建安全区域保护的密钥,可以使用 sc_auth create-ctk-identity 命令,并设置生物识别选项。创建后,可以使用 list-ctk-identities 命令来确认密钥是否已成功创建。密钥也可以使用 delete-ctk-identity 命令删除。

文章还演示了如何将这些密钥与 sshssh-agent 一起使用。通过 ssh-keygen -w /usr/lib/ssh-keychain.dylib -K -N "" 命令,可以从安全区域“下载”公钥/私钥对。需要注意的是,这里的“私钥”实际上只是一个指向 FIDO 凭证的引用,并不包含实际的密钥材料。之后,可以将公钥添加到 authorized_keys 文件,并通过 ssh -o SecurityKeyProvider=/usr/lib/ssh-keychain.dylib localhost 命令来使用它。

此外,文章还提到了可以绕过 PIN 码输入,即使验证器本身使用生物识别而不是 PIN 码。

澳大利亚气象局网站改版费用超支至 9650 万澳元引关注

澳大利亚气象局(BOM)的新网站改版项目费用从最初声称的 410 万澳元飙升至 9650 万澳元,引起公众强烈不满。用户抱怨新网站导航困难,雷达地图地名难以辨认,特别是农民用户无法准确定位降雨数据。面对公众压力,联邦政府介入,责令气象局修复网站。目前,网站已恢复旧版雷达地图,并进行了一些调整,未来还将推出更多改进。

气象局解释称,总费用包括 410 万澳元的设计费、7980 万澳元的网站建设费以及 1260 万澳元的网站发布和安全测试费。气象局表示,为了满足数百万澳大利亚人对网站安全性、可用性和可访问性的需求,必须进行“彻底重建”。自 10 月 22 日新网站上线以来,气象局一直在听取和分析社区反馈,并在九天后将雷达地图恢复到之前的版本。他们强调此选项在新网站上已可用,但不是默认设置。此外,他们还在 11 月 7 日进行了更改,以帮助社区查找重要的火灾行为指数信息。环境部长已要求气象局新任负责人仔细审查整个过程,并汇报情况。

评论 0 条

暂无评论,来种下第一颗种子。