Updating News...

i18n/zh-Hans/docusaurus-plugin-content-docs/current/2025/01/14.md

@@ -0,0 +1,147 @@
+---
+slug: '/2025/01/14'
+---
+
+# 2025-01-14
+
+## [“思客安全研究员部署恶意NPM包，目标是cursor.com”](https://sourcecodered.com/snyk-malicious-npm-package/)
+
+- “一个 Snyk 安全研究员发布了针对 AI 编码公司 Cursor.com 的恶意 NPM 包，以收集系统数据并将其发送到攻击者控制的服务。”
+- “这些被标识为“cursor-retrieval”、“cursor-always-local”和“cursor-shadow-workspace”的软件包被OpenSSF软件包分析扫描器标记，导致发布了MAL-2025-27、MAL-2025-28和MAL-2025-29的建议。”
+- “此事件突显了在安装之前仔细审查NPM包以避免潜在安全威胁的重要性。”
+
+### [反应](https://news.ycombinator.com/item?id=42690473)
+
+- “一个 Snyk 安全研究员发布了针对 cursor.com 的恶意 NPM(Node Package Manager)包，突显了依赖混淆漏洞。- 这一事件引发了关于安全研究伦理的辩论，特别是关于环境变量的公开暴露。- Cursor.com 澄清他们并未授权此行为，Snyk 随后道歉，强调了在平衡攻击性安全研究与伦理标准方面的挑战。”
+
+## [“我切换到 Firefox 后再也没有回头”](https://www.howtogeek.com/why-i-switched-to-firefox-and-never-looked-back/)
+
+- Firefox因其出色的标签管理、内置的Pocket功能用于保存链接以及注重隐私的电子邮件中继而受到赞誉，使其成为Chrome的强大替代品。- 其他功能如用户友好的截图工具、ChatGPT按钮、画中画、自定义搜索选项和流畅的滚动增强了浏览体验。- 尽管Firefox缺乏Chrome的网络应用功能，但其周到的设计和较低的资源需求使其成为一些用户的首选。
+
+### [反应](https://news.ycombinator.com/item?id=42696081)
+
+- “Firefox用户面临来自YouTube等平台的挑战，这些平台可能故意降低非谷歌浏览器或使用广告拦截器用户的体验。- 这一趋势引发了对用户自主权的担忧，因为它惩罚了那些选择无广告和无监控网络体验的用户。- Firefox提供了独特的功能，如容器标签，增强了隐私和可用性，使其成为寻求独立于大型企业控制浏览器的用户的首选。”
+
+## [“Sonos首席执行官在应用程序更新风波后辞职”](https://www.reuters.com/business/retail-consumer/sonos-ceo-patrick-spence-steps-down-after-app-update-debacle-2025-01-13/)
+
+### [反应](https://news.ycombinator.com/item?id=42687932)
+
+- “Sonos首席执行官因一项有争议的应用程序更新而辞职，该更新要求用户更换昂贵的音响系统，导致客户不满。- 该更新引入了基于云的系统，放弃了可靠的通用即插即用(UPnP)，导致连接问题和复杂性增加。- 这一情况突显了商业策略与维护客户信任之间的冲突，因为首席执行官将过渡到顾问角色，并获得遣散费。”
+
+## [“在MrBeast的腹中”](https://kevinmunger.substack.com/p/in-the-belly-of-the-mrbeast)
+
+### [反应](https://news.ycombinator.com/item?id=42696691)
+
+- “这篇文章探讨了YouTube的算法如何影响内容创作，以MrBeast为案例研究，强调了一种向以参与度为导向而非有意义内容的转变。- 它讨论了对媒体素养的更广泛影响以及像YouTube和TikTok这样的平台的文化影响，暗示了一种趋向于肤浅和反应性内容的趋势。- 文章考虑了各种观点，探讨了算法在塑造内容中的作用以及流行创作者对文化规范的影响。”
+
+## [“GitHub Git 操作已中断”](https://www.githubstatus.com/incidents/qd96yfgvmcf9)
+
+- “GitHub在2025年1月13日因配置更改影响内部负载均衡器而面临Git操作中断，从23:35持续到00:24(UTC)。- 通过恢复配置更改解决了该问题，GitHub正在努力改进监控和部署流程以防止类似事件。- 此次中断还影响了GitHub的Actions和Pages服务，突显了其平台服务的互联性质。”
+
+### [反应](https://news.ycombinator.com/item?id=42691184)
+
+- “GitHub遭遇了一次重大故障，影响了git操作，导致开发者们最初怀疑是他们的SSH密钥或本地配置出现了问题。- 这一事件突显了依赖集中式服务的挑战，引发了关于自托管和去中心化系统优势的讨论。- 尽管问题已得到解决，但它突显了对GitHub可靠性的担忧以及依赖第三方平台处理关键任务的风险。”
+
+## [“ZFS 2.3发布，支持ZFS raidz扩展”](https://github.com/openzfs/zfs/releases/tag/zfs-2.3.0)
+
+- “OpenZFS 2.3.0 已发布，引入了重要功能，如 RAIDZ 扩展、快速重复数据删除、直接输入/输出、JSON 输出和对长文件名的支持。- 此版本包括基本的错误修复和性能增强，兼容 Linux 内核 4.18 - 6.12 和 FreeBSD 版本 13.3, 14.0 - 14.2。- 此更新是由 134 位贡献者共同努力的成果，提供了全面的文档和变更日志供审阅。”
+
+### [反应](https://news.ycombinator.com/item?id=42694596)
+
+- “ZFS 2.3 已发布，推出了诸如 RAIDZ 扩展、快速重复数据删除、直接 IO、JSON 输出和对长文件名的支持等功能。- RAIDZ 扩展尤其值得注意，因为它允许用户在不中断的情况下向现有的 RAIDZ 池添加新设备，从而增强存储容量。- 尽管存在一些限制，如无法缩小池，但此次发布被认为是 ZFS 用户的重大进步，与其他文件系统如 Btrfs 和 Windows Storage Spaces 相比备受关注。”
+
+## [“Webtop – Alpine、Ubuntu、Fedora 和 Arch 容器包含完整的桌面环境”](https://docs.linuxserver.io/images/docker-webtop/)
+
+- “Linuxserver/webtop 提供基于 Alpine、Ubuntu、Fedora 和 Arch 的容器，这些容器具有可通过网络浏览器访问的完整桌面环境，支持 x86-64 和 arm64 架构。”
+- “用户可以通过使用特定的镜像标签，从各种桌面环境中进行选择，如XFCE、KDE、MATE、i3、Openbox和IceWM，并通过指定的URL访问Webtop。”
+- “安全功能包括 Docker 的 seccomp 选项和身份验证设置，通过环境变量提供自定义选项，并支持使用开源驱动程序进行 GPU 加速。”
+
+### [反应](https://news.ycombinator.com/item?id=42690983)
+
+- “Webtop 提供带有完整桌面环境的容器，适用于 Alpine、Ubuntu、Fedora 和 Arch，适合在 VPN 后快速设置。”
+- “用户称赞 Webtop 的速度和易用性，特别是在与 Gluetun 容器一起使用以实现安全连接时，但警告不要在没有安全措施的情况下将容器暴露在互联网上，因为缺乏默认身份验证。”
+- “该项目因其开源和灵活性而受到重视，用户可以共享配置，类似的替代方案如 Kasm 和 Selkies 也因类似用途而受到关注。”
+
+## [“研究发现，五分之一的在线招聘信息要么是假的，要么从未被填补。”](https://gizmodo.com/1-in-5-online-job-postings-are-either-fake-or-never-filled-study-finds-2000549706)
+
+- “最近的一项研究表明，20%的在线招聘信息要么是假的，要么无人填补，这增加了求职者的挫败感。- 这种“幽灵职位”趋势可能是公司为了展示增长形象而采取的一种策略。- Greenhouse和LinkedIn等招聘平台已经推出了职位验证服务，以帮助用户识别真实的就业机会。”
+
+### [反应](https://news.ycombinator.com/item?id=42697783)
+
+- “研究显示，20%的在线招聘信息要么是假的，要么未被填补，这通常是因为公司需要遵守美国移民政策。- 公司也可能会保留招聘信息以寻找理想的候选人、更改要求，或已有预选的内部候选人。- 对于求职者来说，求职市场很困难，他们经常遇到失联和自动拒绝，这促使人们呼吁进行监管干预。”
+
+## [“为了给司机节省几秒钟而使行人交叉路口变得不安全”](https://collegetowns.substack.com/p/making-an-intersection-unsafe-for)
+
+### [反应](https://news.ycombinator.com/item?id=42698557)
+
+- “辩论的焦点在于十字路口应优先考虑行人安全还是驾驶员效率，一些人倾向于使用灯控十字路口和行人专用过街道而不是四向停车。”
+- “关于交通法规和基础设施设计的意见各不相同，其中包括对乱穿马路的安全性以及红灯右转所带来的风险的讨论。”
+- “有些人提倡采用替代方案，如环形交叉路口或采用荷兰交通工程标准，以提高安全性和效率。”
+
+## [PostgreSQL是2024年度数据库管理系统](https://db-engines.com/en/blog_post/109)
+
+- PostgreSQL被DB-Engines评为2024年度数据库管理系统(DBMS)，这是其第五次获得此殊荣，超过了其他423个数据库管理系统。
+- “PostgreSQL 拥有近 35 年的历史，仍在不断创新，这在 2024 年 9 月发布的 PostgreSQL 17 的最新增强功能中得到了体现。”
+- “雪花公司和微软分别获得了第二和第三名，雪花公司因其基于云的数据仓库和多云支持而受到关注，而微软则通过 Azure SQL 数据库和 SQL 服务器提供强大的托管关系数据库。”
+
+### [反应](https://news.ycombinator.com/item?id=42696080)
+
+- PostgreSQL被db-engines.com评为2024年度数据库管理系统，突显其在行业中的日益普及和认可。
+- “用户正在考虑从 Microsoft SQL Server 切换到 PostgreSQL，原因是高昂的许可费用和资源限制，尽管可能面临迁移挑战。”
+- “PostgreSQL因其强大的功能和成本效益而受到青睐，使其成为未来项目的首选，尽管一些用户会探索像Babelfish这样的替代方案以降低成本。”
+
+## [“Google 的 OAuth 登录无法防止购买失败初创公司的域名”](https://trufflesecurity.com/blog/millions-at-risk-due-to-google-s-oauth-flaw)
+
+### [反应](https://news.ycombinator.com/item?id=42699099)
+
+- “讨论指出，当一个失败的初创公司的域名被新所有者收购时，谷歌的OAuth登录系统存在一个漏洞，这可能允许未经授权的访问服务。”
+- “此问题的出现是因为谷歌可能无法区分原始域名所有者和新域名所有者，从而影响任何使用基于域名认证的系统。”
+- “一个建议的解决方案是使用在时间上保持不变的唯一标识符，尽管这一解决方案的实施在不同的身份提供者之间有所不同。”
+
+## [“利用编程技能赚取被动收入”](https://www.coryzue.com/writing/solopreneur/)
+
+- “作者从首席技术官的角色转变为独立创业者，通过一系列软件产品成功赚取了更多收入。”
+- “关键策略包括专注于深度工作，从小项目开始，快速迭代，并投入时间进行营销工作。”
+- “这段旅程强调了由于不确定性而需要的韧性，但同时突出了这一职业道路无与伦比的自主性和自由，鼓励那些拥有编码技能的人考虑将其作为被动收入的来源。”
+
+### [反应](https://news.ycombinator.com/item?id=42696822)
+
+- “有用户描述了通过使用即将过期的域名创建SEO垃圾网站来产生被动收入，尽管存在道德问题和谷歌最终的打击，但每年仍能赚取大约3万美元。”
+- “这篇帖子引发了关于被动收入的辩论，一些用户认为这更像是经营一项业务，而不是真正的被动收入。”
+- “参与者分享了在副项目中的经验和挑战，强调了时间、韧性和战略规划的重要性。”
+
+## [西班牙提议对非欧盟居民购买的房屋征收100%税](https://www.theguardian.com/world/2025/jan/13/spain-proposes-100-tax-on-homes-bought-by-non-eu-residents)
+
+- “西班牙正在考虑对非欧盟居民的房地产购买征收100%的税，以解决住房危机并遏制投机性购买。”
+- “首相佩德罗·桑切斯的提议包括扩大社会住房和规范旅游租赁，以解决房价与收入之间的差距。”
+- “该提案作为法律的未来尚不确定，一些分析人士认为它更像是对外国投资者的威慑，而不是一项有保障的立法变更。”
+
+### [反应](https://news.ycombinator.com/item?id=42690781)
+
+- 西班牙正在考虑对非欧盟居民购买的房屋征收100%的税，以解决住房负担能力问题。- 批评者认为，外国买家并不是高房价的主要原因，缓慢的官僚程序和分区法才是更重要的因素。- 这一提议引发了关于外国所有权在住房市场中的作用及其在解决负担能力问题上的有效性的辩论。
+
+## [“苹果将很快从台积电的亚利桑那州工厂收到‘美国制造’的芯片。”](https://www.tomshardware.com/tech-industry/apple-will-soon-receive-made-in-america-chips-from-tsmcs-arizona-fab-company-in-final-stages-of-quality-verification)
+
+- “苹果正在测试来自台积电亚利桑那工厂的处理器，计划在第一季度实现量产，可能成为台积电首个使用本地制造芯片的美国客户。- 这一举措旨在增强美国的硅独立性，减少对台湾的依赖，因为台湾易受地缘政治和自然风险的影响。- 台积电的亚利桑那工厂计划生产先进的3纳米和2纳米芯片，并正在努力加强本地招聘和与美国大学的合作，尽管封装工作最初将在台湾进行，直到皮奥里亚工厂投入运营。”
+
+### [反应](https://news.ycombinator.com/item?id=42699977)
+
+- “苹果将从台积电的亚利桑那工厂接收芯片，但由于美国设施不足，这些芯片需要送回台湾进行封装。- 亚利桑那工厂超过50%的员工来自台湾，这表明美国在STEM(科学、技术、工程和数学)领域存在差距。- 《芯片法案》旨在提升美国半导体制造能力，但由于封装过程在台湾进行，“美国制造”标签受到质疑，计划到2027年在美国建立封装能力。”
+
+## [“拥堵收费启动后，曼哈顿道路上的司机减少了4.3万人。”](https://gothamist.com/news/43k-fewer-drivers-on-manhattan-roads-after-congestion-pricing-turned-on-mta-says)
+
+- “在实施拥堵收费后，进入曼哈顿60街以下地区的司机减少了7.5%，相当于每个工作日减少了43,000名司机。”
+- “交通量的减少改善了交通流量并提高了公交车速度，一些快速公交的乘客量有所增加。”
+- “尽管存在一些政治反对意见，大都会运输署(MTA)将估计每年5亿美元的收费收入用于交通改善。”
+
+### [反应](https://news.ycombinator.com/item?id=42692730)
+
+- “在曼哈顿实施拥堵收费后，司机数量减少了43,000人，这导致公交车速度加快，并可能改善紧急响应时间。”
+- “该政策旨在减少交通拥堵并改善空气质量，尽管它引发了关于其对低收入人群影响的争论。”
+- “支持者认为，优点包括更高效的公共交通和更清洁的空气，同时关于如何平衡这些优势与司机需求的讨论仍在继续。”
+
+<head>
+  <meta property="og:title" content="“思客安全研究员部署恶意NPM包，目标是cursor.com”" />
+  <meta property="og:type" content="website" />
+  <meta property="og:image" content="https://og.cho.sh/api/og/?title=%E2%80%9C%E6%80%9D%E5%AE%A2%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6%E5%91%98%E9%83%A8%E7%BD%B2%E6%81%B6%E6%84%8FNPM%E5%8C%85%EF%BC%8C%E7%9B%AE%E6%A0%87%E6%98%AFcursor.com%E2%80%9D&subheading=2025%E5%B9%B41%E6%9C%8814%E6%97%A5%E6%98%9F%E6%9C%9F%E4%BA%8C%3A%20%E9%BB%91%E5%AE%A2%E6%96%B0%E9%97%BB%E6%91%98%E8%A6%81" />
+</head>