开源代码托管平台 SourceHut “拉黑”Go Module 镜像-低调大师

开源代码托管平台 SourceHut “拉黑”Go Module 镜像

2023-01-11 413

开源代码托管平台 SourceHut 宣布把 Go Module 镜像列入“黑名单”，并将于 2023 年 2 月 24 日禁止对 Go Module 镜像进行 git 访问。

据介绍，从 2 月 24 日开始，用户在从 SourceHut 仓库导入模块的 Go 软件包上使用go get或类似命令时，将会遇到类似于以下的错误消息：

$ go get
go: downloading git.sr.ht/~sircmpwn/foobaz v0.0.0-20230108094957-81402546c10e
go: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: verifying module: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: reading https://sum.golang.org/lookup/git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: 404 Not Found
	server response:
	not found: git.sr.ht/~sircmpwn/foobaz@v0.0.0-20230108094957-81402546c10e: invalid version: git ls-remote -q origin in /tmp/gopath/pkg/mod/cache/vcs/568e5edafe93f7887c0b6f718b0f17ea91c63c35822fb28628535f172b5429b7: exit status 128:
		fatal: unable to access 'https://git.sr.ht/~sircmpwn/foobaz/': The requested URL returned error: 429

解决方案：

$ export GOPRIVATE=git.sr.ht
$ go get # works

有关更多详细信息，请继续阅读。

对于 Go 开发者来说，他们需要通过 git 获取 Go Module，因此开发者使用“git.sr.ht/~sircmpwn/dowork”进行导入将会由工具链通过 git 获取相应的仓库，以使其在用户的 Go 环境中可用。每个请求都通过 proxy.golang.org 上的代理服务进行路由，该服务提供了许多功能：

通过 Google 的缓存提供可靠和快速的 Go Module 下载访问
存储 Go Module 的冗余副本以确保可用性
为校验数据库 (checksum database) 记录其校验的独立来源
提供新 Go Module 的索引

但这带来了许多缺点。例如大多数 Go 开发者并不知道他们获取的每个软件包都伴随着对 Google 服务器的请求，这意味着需要和 Google 确保信任关系来返回真实的软件包。此外，如果底层的源仓库消失或与缓存不同步，这个问题对 Go 开发者来说是不可见的，这可能会导致他们的软件依赖于不再存在的模块或模块版本。

对于 SourceHut 来说，代理服务会定期从源码仓库中获取 Go 软件包，以检查是否有更新。这些请求来自许多服务器，它们没有相互协调以减少其工作，并且频率可高达每小时 2500 次，往往一次就有十几个克隆，而且通常是高度冗余的：一个 git 仓库每小时可被取用 100 次以上。

SourceHut 表示，这些流量会产生过大的后台工作负载。他们曾联系 Go 团队合作寻求解决方案，但没有成功。因此，他们决定屏蔽 Go Module 镜像，等到上述问题解决后会重新恢复对 Go Module 镜像的访问。

微信关注我们

原文链接：https://www.oschina.net/news/224539/sourcehut-blacklist-gomodulemirror

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

KubePi <1.6.4 存在会话固定漏洞

漏洞描述 KubePi 是一个 K8s 面板，允许管理员导入多个 Kubernetes 集群，并且通过权限控制将不同 cluster、namespace 的权限分配给指定用户。 1.6.4 之前版本的 KubePi 在用户登录后未刷新用户 cookie，攻击者可通过诱导用户点击恶意链接等劫持用户的会话信息，从而接管 KubePi 用户账户。漏洞名称 KubePi <1.6.4 存在会话固定漏洞漏洞类型会话固定发现时间 2023-01-11 漏洞影响广度小 MPS编号 MPS-2022-70043 CVE编号 CVE-2023-22479 CNVD编号 - 影响范围 github.com/kubeoperator/kubepi@[1.0.0, 1.6.4) 修复方案升级github.com/kubeoperator/kubepi到 1.6.4 或更高版本参考链接 https://www.oscs1024.com/hd/MPS-2022-70043 https://nvd.nist.gov/vuln/detail/CVE-2023-22479 https://githu...

2023-01-11

445

联合作者：罗泽轩，API7.ai 技术专家、Apache APISIX PMC 成员联合作者：赵士瑞，API7.ai 技术工程师，Apache APISIX Committer 身份认证是授予用户访问系统并授予使用系统的必要权限的过程。而提供了这一功能的服务，就是身份认证服务。在传统的单体软件应用程序中，所有这些都发生在同一个应用程序中。但在微服务架构中，系统由多个服务组成，在这样的架构中，每个微服务都有自己的任务，因此为每个微服务分别实现授权和身份验证过程并不完全符合此原则。本文将从传统服务架构和微服务架构下的身份认证方式区别进行讨论，并最终衡量微服务架构中身份认证服务的各种实现方式的优劣。传统服务架构中的身份认证服务在企业开发服务的早期，所有功能都是做到同一个应用程序里面的。我们把这种模式称之为 “单体”，以跟当下更为主流的 “微服务” 架构区分开来。单体应用由单个不可分割的单元组成。它通常由各个业务线各自开发，但是部署时放入到同一个环境中。所有这些都紧密集成以在一个单元中提供所有功能。这一单元里拥有所需的所有资源。单体应用的好处在于部署迭代简单，适合业务线较少且比较独...

2023-01-10

422

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。