- 博客(29)
- 收藏
- 关注
RSS订阅原创 Go语言-初学者日记(完结)
🎓 恭喜你完成《Go语言-初学者日记》系列 10 篇内容!✅ Go 核心语法 & 并发模型✅ 项目组织 & 模块分层✅ 单元测试 & 性能调优✅ 构建部署 & Docker 化✅ 项目最佳实践 & 工程心法。
2025-04-05 11:00:00
573
原创 Go语言-初学者日记(九):测试与性能分析
🔥 前提是安装了 graphviz 工具(dot 命令)是自动设定的迭代次数,Go 会跑多次来评估平均性能。你想知道函数运行有多快?用基准测试来量化它!包让我们轻松写出高质量的测试代码。如果你想知道程序到底哪慢了?👆 这会在本地启动一个分析服务器。
2025-04-05 10:00:00
268
原创 金融机构开源软件生命周期管理实务
开源软件在金融行业的应用已十分广泛,但只有对其实行全生命周期的规范管理,才能真正发挥开源的价值并控制风险。全生命周期管理涵盖开源软件从到以及的各个阶段。下面我们结合《金融业开源软件应用管理指南 JR/T 0290—2024》的要点,阐述金融机构开源软件生命周期管理的实务做法。
2025-04-04 12:54:22
407
原创 Go语言-初学者日记(七):用 Go 写一个 RESTful API 服务!
下一篇预告:Go语言-初学者日记(八):部署与构建,Go 项目上线指南。
2025-04-04 10:00:00
200
原创 Apache Struts2 漏洞(CVE-2017-5638)技术分析
是 Apache Struts2 中的一个远程命令执行漏洞,攻击者可以通过构造特定的 HTTP 请求头,利用Struts的 OGNL 表达式解析机制,在服务器端执行任意代码。
2025-04-04 09:31:32
227
原创 从测试流程分析,为什么五条悟会翻车
五条悟不是不强,而是整个“测试流程”过于草率,导致系统在关键场景下崩溃。这就像我们上线一个新系统,结果因为没测隐藏功能、没修复旧 Bug、没配监控、没加备份,直接把生产打挂……“测试流程不完善,最强系统也会蓝屏。
2025-04-03 20:03:28
346
原创 三分钟让你理解身份验证和授权(JWT,OAuth,Session)
类型是否无状态是否支持刷新是否适合分布式Basic Auth是否否JWT是是是OAuth 2.0是是是Session否否否(需集中式)
2025-04-03 18:52:39
771
原创 从锁文件到锁门-npm 的自我修养(软件供应链攻击)
软件供应链攻击,是指攻击者通过污染、劫持或篡改软件开发和交付链路中的第三方组件,以控制目标系统或数据为目的的攻击方式。开源依赖(如 npm、PyPI、Maven)CI/CD 自动化脚本(GitHub Actions, GitLab CI)容器镜像(Docker Hub 上的“伪官方镜像”)插件市场、浏览器扩展商店📌 软件供应链攻击往往源于信任滥用,防御关键在于细节控制 不使用不熟悉的依赖包;复制代码前先看清“作者”🔐 尽量使用私有仓库托管 CI/CD,避免泄密。
2025-04-03 16:35:18
783
原创 XSS 攻击风险与防御实践
✅默认转义机制是第一道防线,慎重绕开!🚫 避免使用不安全输出语法如|safev-html等🧼 推荐使用DOMPurify对富文本内容做清洗🔐 后端应区分内容用途,做针对性输出处理。
2025-04-03 16:04:41
288
原创 Go语言-初学者日记(六) 并发编程
下一篇预告:Go语言-初学者日记(七):项目实战篇:用 Go 写一个 RESTful API 服务!📌 goroutine 是调度单元,不等于系统线程,Go runtime 会自动调度。🧠 缓冲区满会阻塞写,空时阻塞读,典型应用场景如“任务队列”。并发写得好,性能翻倍少不了;并发写不好,Bug 比代码还多。🧃 加锁就像“占座位”,记得解锁,不然大家都干瞪眼。退出后其他 goroutine 也会被终止!✅ channel 是类型安全的、阻塞式的。类似于“异步事件调度器”,让并发逻辑更灵活。
2025-04-03 14:00:00
386
原创 库博静态代码分析工具Jenkins插件集成
本插件用于在 Jenkins 中集成 CoBOT SAST 检测功能,支持并发检测和自动化流水线任务,适配 CoBOT SAST 通用版本。如有相关定制,请提前确认插件是否兼容。
2025-04-03 12:05:31
905
原创 Go语言-初学者日记(五):文件操作与 JSON 实战
下一篇预告:Go语言-初学者日记(六):Go 并发编程,从 goroutine 到 channel。字段需导出(首字母大写)才能被访问。
2025-04-03 10:45:00
528
原创 Go语言-初学者日记(四):包管理
myapp/├── go.mod└── utils/calc.gomain.goimport ("fmt"⚠️ 注意路径必须和模块名匹配,如,不然会找不到包!包是最小组织单位,模块是工程管理单位go mod是现代 Go 项目的灵魂学会管理依赖、划分结构,是从脚本程序员进化为架构型选手的重要一步📌 下一篇预告:Go语言-初学者日记(四):文件操作与 JSON 实战,打造实用命令行工具!
2025-04-03 09:45:00
286
原创 Go语言-初学者日记(三):函数与方法
🧠 小贴士:函数名首字母大写代表可导出(Exported),比如写在别的包中可以被访问。PS:可恶的约定大于设计。
2025-04-02 13:47:40
305
原创 Go语言-初学者日记(二):数组、切片与 map,一篇彻底弄懂集合类型!
数组适用于定长、固定结构的集合,适合写死配置项切片是 Go 中最常用的集合类型,灵活高效,适合 CRUDmap 是处理键值对数据的利器,比如记录项目组谁还没写周报📌 下一篇预告:Go语言-初学者日记(二)::函数与方法,走进 Go 的函数世界!
2025-04-02 10:45:00
419
原创 Go语言-初学者日记(一):学会这篇,Go语言基础语法全掌握!
Go 的基础语法设计简洁明了,是非常适合初学者学习的语言。掌握了变量、常量、数据类型和控制语句后,你就可以写出自己的第一个 Go 程序啦!📌 小技巧:常量也可以用。
2025-04-02 09:45:00
397
原创 用得安心、管得清:企业开源合规管理推荐利器——库博软件成分分析工具
支持企业自定义组件指纹库(本地库)管理;能识别内部重复利用的组件并自动归类为私有组件;具备代码片段去重、重用率分析等高级能力。开源让开发更高效,但前提是你用得合法、管得清、审得明。企业要实现真正的开源“放心用”,一定要把成分分析工具纳入研发流程的“标配”。库博软件成分分析工具作为一款专注国产环境和源代码识别能力的 SCA 产品,不仅覆盖开源合规管理的核心需求,更提供了落地可行的解决方案。如果你正在寻找一款可以部署在本地、具备强大识别能力、并支持多语言的成分分析工具,不妨了解一下库博 SCA。
2025-04-01 11:46:28
655
原创 警惕“信任危机”:开源组件中的后门风险与防范
暗中收集敏感信息(如 token、账号、环境变量);上传用户数据到远程服务器;提供远程控制入口;伪装成功能代码绕过审计系统。类型描述📦包名伪造(Typosquatting)利用开发者手误或拼写接近的名字上传恶意组件,如urllibvsurlib🧑💻维护者被收购或账号泄露攻击者收购或接管一个流行组件的维护权,然后注入后门👻依赖链注入在某个不知名的小依赖中埋雷,从而影响主项目🧨构建脚本注入后门被插入在构建脚本(如setup.py)中,安装时执行👀看似无害的代码片段。
2025-04-01 10:49:53
552
原创 企业使用开源组件的那些风险,你真的了解吗?
随着开源软件在企业软件开发中的广泛应用,它所带来的便利与价值毋庸置疑:开发速度提升、成本下降、社区活跃、生态丰富……但你是否知道,开源并不等于“免费无风险”?如果企业在使用开源组件时缺乏对许可证、合规、安全的管理意识,可能会面临严重的法律、商业甚至安全风险。这篇博客我们就来聊聊企业在使用开源组件过程中常见的风险点,以及如何有效应对这些挑战。每一个开源项目基本上都会附带一个许可证(License),这是软件的法律使用说明书。不同的许可证对“能做什么、不能做什么”都有明确的限制。最常见的问题就是企业在产品中使用
2025-04-01 10:04:23
1952
原创 开源许可证:关于开源许可中强传染性许可证6个你不知道的小技巧(二)
若商业软件中,避免直接集成 GPL 代码,优先考虑弱传染性许可证(如 LGPL、MIT、Apache 2.0)。通过微服务、网络接口、IPC 调用方式与 GPL 代码分离,避免整体被视作衍生作品。的是指具有强 Copyleft 特性的许可证。如 Apache、MIT、BSD 等更为宽松许可的开源库或框架。开源许可证中,通常被称为。
2025-03-31 15:30:27
359
原创 开源许可证:一篇文章让你知道开源许可类型(一)
传染性”通常指开源许可证对衍生作品继承相同许可证要求的强制程度,即使用了开源代码后,用户代码是否必须按相同许可证开源。
2025-03-31 10:37:46
990
原创 在开发工具Cursor中接入本地部署的deepseek大模型
最近使用了 Cursor,开发效率大幅提升,但由于内部规定不允许接入云端大模型,必须确保d代码严格留存于本地环境,符合安全合规要求。*所以在本地环境搭建DeepSeek大模型。
2025-03-10 16:36:02
981
原创 库博产品DevOPS集成实践
DevOps、静态代码分析、软件成分分析、CI/CD、代码安全、开源组件、漏洞检测、自动化扫描、安全左移、质量门禁、代码合规性、Git Hook、开发效率、技术债务、快速反馈、代码质量。
2025-02-12 09:58:32
1009
原创 Extjs 文件夹,多文件上传 (不支持IE)
Extjs4.1 文件夹 多文件上传Ext.define("Ext.form.field.MultiFile", { extend: 'Ext.form.field.File', alias: ['widget.multifile'], value:[], buttonOnly: true, directory:false, // fa...
2015-01-29 13:38:09
414
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人