开源代码托管平台 SourceHut “拉黑”Go Module 镜像-低调大师

开源代码托管平台 SourceHut “拉黑”Go Module 镜像

2023-01-11 374

开源代码托管平台 SourceHut 宣布把 Go Module 镜像列入“黑名单”，并将于 2023 年 2 月 24 日禁止对 Go Module 镜像进行 git 访问。

据介绍，从 2 月 24 日开始，用户在从 SourceHut 仓库导入模块的 Go 软件包上使用go get或类似命令时，将会遇到类似于以下的错误消息：

$ go get
go: downloading git.sr.ht/~sircmpwn/foobaz v0.0.0-20230108094957-81402546c10e
go: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: verifying module: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: reading https://sum.golang.org/lookup/git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: 404 Not Found
	server response:
	not found: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: invalid version: git ls-remote -q origin in /tmp/gopath/pkg/mod/cache/vcs/568e5edafe93f7887c0b6f718b0f17ea91c63c35822fb28628535f172b5429b7: exit status 128:
		fatal: unable to access 'https://git.sr.ht/~sircmpwn/foobaz/': The requested URL returned error: 429

解决方案：

$ export GOPRIVATE=git.sr.ht
$ go get # works

有关更多详细信息，请继续阅读。

对于 Go 开发者来说，他们需要通过 git 获取 Go Module，因此开发者使用“git.sr.ht/~sircmpwn/dowork”进行导入将会由工具链通过 git 获取相应的仓库，以使其在用户的 Go 环境中可用。每个请求都通过 proxy.golang.org 上的代理服务进行路由，该服务提供了许多功能：

通过 Google 的缓存提供可靠和快速的 Go Module 下载访问
存储 Go Module 的冗余副本以确保可用性
为校验数据库 (checksum database) 记录其校验的独立来源
提供新 Go Module 的索引

但这带来了许多缺点。例如大多数 Go 开发者并不知道他们获取的每个软件包都伴随着对 Google 服务器的请求，这意味着需要和 Google 确保信任关系来返回真实的软件包。此外，如果底层的源仓库消失或与缓存不同步，这个问题对 Go 开发者来说是不可见的，这可能会导致他们的软件依赖于不再存在的模块或模块版本。

对于 SourceHut 来说，代理服务会定期从源码仓库中获取 Go 软件包，以检查是否有更新。这些请求来自许多服务器，它们没有相互协调以减少其工作，并且频率可高达每小时 2500 次，往往一次就有十几个克隆，而且通常是高度冗余的：一个 git 仓库每小时可被取用 100 次以上。

SourceHut 表示，这些流量会产生过大的后台工作负载。他们曾联系 Go 团队合作寻求解决方案，但没有成功。因此，他们决定屏蔽 Go Module 镜像，等到上述问题解决后会重新恢复对 Go Module 镜像的访问。

微信关注我们

原文链接：https://www.oschina.net/news/224539/sourcehut-blacklist-gomodulemirror

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

KubePi <1.6.4 存在会话固定漏洞

漏洞描述 KubePi 是一个 K8s 面板，允许管理员导入多个 Kubernetes 集群，并且通过权限控制将不同 cluster、namespace 的权限分配给指定用户。 1.6.4 之前版本的 KubePi 在用户登录后未刷新用户 cookie，攻击者可通过诱导用户点击恶意链接等劫持用户的会话信息，从而接管 KubePi 用户账户。漏洞名称 KubePi <1.6.4 存在会话固定漏洞漏洞类型会话固定发现时间 2023-01-11 漏洞影响广度小 MPS编号 MPS-2022-70043 CVE编号 CVE-2023-22479 CNVD编号 - 影响范围 github.com/kubeoperator/kubepi@[1.0.0, 1.6.4) 修复方案升级github.com/kubeoperator/kubepi到 1.6.4 或更高版本参考链接 https://www.oscs1024.com/hd/MPS-2022-70043 https://nvd.nist.gov/vuln/detail/CVE-2023-22479 https://githu...

2023-01-11

404

联合作者：罗泽轩，API7.ai 技术专家、Apache APISIX PMC 成员联合作者：赵士瑞，API7.ai 技术工程师，Apache APISIX Committer 身份认证是授予用户访问系统并授予使用系统的必要权限的过程。而提供了这一功能的服务，就是身份认证服务。在传统的单体软件应用程序中，所有这些都发生在同一个应用程序中。但在微服务架构中，系统由多个服务组成，在这样的架构中，每个微服务都有自己的任务，因此为每个微服务分别实现授权和身份验证过程并不完全符合此原则。本文将从传统服务架构和微服务架构下的身份认证方式区别进行讨论，并最终衡量微服务架构中身份认证服务的各种实现方式的优劣。传统服务架构中的身份认证服务在企业开发服务的早期，所有功能都是做到同一个应用程序里面的。我们把这种模式称之为 “单体”，以跟当下更为主流的 “微服务” 架构区分开来。单体应用由单个不可分割的单元组成。它通常由各个业务线各自开发，但是部署时放入到同一个环境中。所有这些都紧密集成以在一个单元中提供所有功能。这一单元里拥有所需的所有资源。单体应用的好处在于部署迭代简单，适合业务线较少且比较独...

2023-01-10

371

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。