日志

  • “黄鳝门”给出的性报告为何充满悖论?

    likaibin(40340) 2017-03-27 14:56:48
    AMD “热搜”从来都很不讲理,前一秒还是满屏红色照神州,后一秒就成了黄鳝一条入阴门。当澎湃的心情遇上荷尔蒙的味道,睡不好觉的周五之夜,必将解放宅男的双手。早睡的男屌丝们,一觉醒来才发现错过福利,人设受损,为了避免进入鄙视链,只能满世界找种子。   然而,对于女主播的生死,压根儿就没有人问津。社交媒体上,表面上的道德大棒和暗地里的搜索数据很是相悖。表面上越是骂的凶狠,背地里种子不得的心情愈加复杂。营销狗们早已在种子藏经阁门口等候众生,不管真假,在数据流动的洪流里,很多人表里不一的正中下怀。   事实上,“黄鳝门”的诱惑,还没有宅男硬盘的尺度大,可是关注的指数和围观的势头,却早已超出众生的控制。有时候想想,国人天生就是自我打脸的料儿,一边训斥性教育课本太不堪,一边却又心急难耐的寻找种子。自相矛盾的内心,从来就没有真正了解过自己。   那些立在心头的道德大棒,从小就摆满各种贞节牌坊,就算正常的春梦,都能被当成人性之恶。多数人的交流都停留在掩盖和伪装的状态下,只有回到幽暗的角落,才敢认为自己有情欲,人性有张弛。   讲真,女主播能火,多半归功于“性教育”的失败。假若我们的性教育开启正常,男女之事不在隐晦,相信女主播们就很难生存。多数人趋之若鹜,只因生在常识匮乏的盲区里,好奇成为他们自我性教育最好的帮手。   以前,我们总抱怨国内的性教育教材太落后。然而,当教材真正先进起来的时候,却发现吃瓜群众打着道德和孩子的旗号,硬深深把性教育改革逼回前十年。这个时候,我反而很能理解相关部门,在通往性教育的路上,最大的阻碍就是吃瓜群众。   这个时候,你会发现“黄鳝门”就像一次性教育报告检测工具,整个社会的道貌岸然瞬间崩塌。过往的嘴炮再猛,也难敌大数据下的洪流热榜。也再次证明,在个人欲望面前,义和团式爱国,都难抵一次女主播大保健。   有媒体戏称,国足赢了韩国,却输给了“黄鳝主播”。直接来看,感觉很不地道,可是细细寻思,值得玩味。国足赢球重不重要,热搜被顶下来的事实说明一切。心思诚不诚,跟满头红真的没关系,下半身的诚实和种子欲求,都在说明“义和团”靠不住。
  • 无忧保—人社部新政:事业单位技术人员创业“留职不停薪”

    elathlia(40523) 2017-03-27 13:53:05
    AMD   22日,人社部公布《关于支持和鼓励事业单位专业技术人员创新创业的指导意见》,明确了4项支持政策。未来高校、科研院所专业技术人员离岗创新创业,可在3年内保留人事关系,离岗创业期间保留基本待遇。     政策1挂职或参与合作可得开发收益     意见提出,事业单位选派符合条件的专业技术人员到企业挂职或者参与项目合作,是强化科技同经济对接、创新成果同产业对接、创新项目同现实生产力对接的重要举措。     人社部明确,事业单位专业技术人员到企业挂职或者参与项目合作期间,与原单位在岗人员同等享有参加职称评审、项目申报、岗位竞聘、培训、考核、奖励等方面权利。合作期满,应返回原单位,事业单位可以按照有关规定对业绩突出人员在岗位竞聘时予以倾斜;所从事工作确未结束的,三方协商一致可以续签协议。     事业单位选派专业技术人员到企业挂职或者参与项目合作,应当根据实际情况,与专业技术人员变更聘用合同,约定岗位职责和考核、工资待遇等管理办法。事业单位、专业技术人员、企业应当约定工作期限、报酬、奖励等权利义务,以及依据专业技术人员服务形成的新技术、新材料、新品种以及成果转让、开发收益等进行权益分配等内容。     政策2取得成绩可作为职称评审依据     意见提出,支持和鼓励事业单位专业技术人员到与本单位业务领域相近企业、科研机构、高校、社会组织等兼职,或者利用与本人从事专业相关的创业项目在职创办企业。     事业单位专业技术人员在兼职单位的工作业绩或者在职创办企业取得的成绩可以作为其职称评审、岗位竞聘、考核等的重要依据。     同时,意见提出,事业单位专业技术人员兼职或者在职创办企业,应该同时保证履行本单位岗位职责、完成本职工作。     专业技术人员应当提出书面申请,并经单位同意;单位应当将专业技术人员兼职和在职创办企业情况在单位内部进行公示。事业单位应当与专业技术人员约定兼职期限、保密、知识产权保护等事项。创业项目涉及事业单位知识产权、科研成果的,事业单位、专业技术人员、相关企业可以订立协议,明确权益分配等内容。     政策3创业3年内保留人事关系     对于离岗创新创业的,意见明确,事业单位专技人员离岗创新创业,可在3年内保留人事关系。离岗创业期间依法继续在原单位参加社会保险,工资、医疗等待遇,由各地各部门根据国家和地方有关政策结合实际确定,达到国家规定退休条件的,应当及时办理退休手续。     创业企业或所工作企业应当依法为离岗创业人员缴纳工伤保险费用,离岗创业人员发生工伤的,依法享受工伤保险待遇。离岗创业期间非因工死亡的,执行人事关系所在事业单位抚恤金和丧葬费规定。     离岗创业还能回来吗?回来还有岗位吗?对此,意见明确,事业单位对离岗创业人员离岗创业期间空出的岗位,确因工作需要,经同级事业单位人事综合管理部门同意,可按国家有关规定用于聘用急需人才。离岗创业人员返回的,如无相应岗位空缺,可暂时突破岗位总量聘用,并逐步消化。     同时,意见规定,离岗创业人员离岗创业期间,本人提出与原单位解除聘用合同的,原单位应当依法解除聘用合同;本人提出提前返回的,可以提前返回原单位。离岗创业期满无正当理由未按规定返回的,原单位应当与其解除聘用合同,终止人事关系,办理相关手续。     政策4可设创新岗位实行弹性工作时间     事业单位可根据创新工作需要设置开展科技项目开发、科技成果推广和转化、科研社会服务等工作的岗位(简称“创新岗位”),并按规定调整岗位设置方案。通过调整岗位设置难以满足创新工作需求的,可按规定申请设置特设岗位,不受岗位总量和结构比例限制。     创新岗位人选可以通过内部竞聘上岗或者面向社会公开招聘等方式产生,任职条件要求具有与履行岗位职责相符的科技研发、科技创新、科技成果推广能力和水平。     事业单位根据创新工作实际,可探索在创新岗位实行灵活、弹性的工作时间,便于工作人员合理安排利用时间开展创新工作。事业单位绩效工资分配应当向在创新岗位做出突出成绩的工作人员倾斜。     同时,事业单位可以设立流动岗位,吸引有创新实践经验的企业管理人才、科技人才和海外高水平创新人才兼职。事业单位设置流动岗位,可按规定申请调整工资总额,用于发放流动岗位人员工作报酬。     ■追访     事业单位下属企业不在范围内     对于具体哪些人员可以享受上述创新创业的政策,人社部有关部门负责人解释,适用范围主要是高校、科研院所的专技人员。除高校、科研院所之外的事业单位的专技人员,符合不同创新创业方式要求的,也可以提出申请。     “离岗创业的,须离岗带着科研项目和成果创办科技型企业或者到企业开展创新工作。”这位负责人表示,意见的规定既支持和鼓励符合条件的专技人员积极参与创新创业,又避免一哄而起、“一窝蜂”式的离岗潮,对事业单位正常开展工作造成影响。     该负责人还明确,事业单位所属企业,包括独资企业或控股企业,都不在挂职、参与项目合作、兼职、离岗创业的范围内。     他表示,这主要考虑,一是与《中共中央国务院关于深化体制机制改革加快实施创新驱动发展战略的若干意见》有关“逐步实现高等学校和科研院所与下属公司剥离,原则上高等学校、科研院所不再新办企业,强化科技成果以许可方式对外扩散”的规定精神相一致;二是与事业单位改革事企分开的目标相一致;三是避免出现一些地方和部门担心的规避国家收入分配政策规定的行为。     离岗创业要避免“吃空饷”     从过去的“停薪留职”到现在的“留职不停薪”,一系列支持政策将打破原有的事业单位人事管理制度,这是否会造成人事管理的混乱?人社部相关负责人表示,为保证事业单位专技人员创新创业工作有序开展,根据不同创新创业方式,采取相应的人事管理办法。     这位负责人表示,到企业挂职或者参与项目合作人员,属于事业单位正式工作人员,挂职或者合作期满,应返回原单位。兼职或者在职创办企业人员以及离岗创业人员,都属于事业单位正式工作人员。兼职或者在职创办企业的专技人员应当提出书面申请,并经单位同意。     离岗创业人员,创业期间违反事业单位工作人员管理相关规定的,要按照事业单位人事管理条例等相关政策法规处理。离岗创业期满,离岗创业人员可以提出与原单位解除聘用合同,也可以提出返回原单位。无正当理由未按规定返回的,原单位应当与其解除聘用合同,终止人事关系,办理相关手续。     “这些规定是对事业单位作为公共部门、专技人员作为公职人员的必然要求,也避免在支持鼓励创新创业工作实施过程中产生‘吃空饷’问题或者产生类似过去‘停薪留职’导致的诸多后遗症。”这位负责人表示。     中国劳动学会副会长苏海南表示,支持和鼓励事业单位专业技术人员创新创业的一系列新政策,是对过去管得过多、过死的旧有的人事管理制度的一个改革。“改革就是破旧立新,下一步,应该针对新情况相应完善相关制度,在鼓励支持这些人创新创业的过程中规范其与事业单位人事制度管理的关系。”苏海南说。     ■专家说法     政策落实不会增加财政负担     “当前我国老龄化趋势日益加深,传统的人口红利正在消失,需要研究如何拓展制度性人口红利。”苏海南说,此次意见发布的一系列政策解除了事业单位人员创新创业的后顾之忧,起到了“托底”的作用,有利于让专业技术人员到市场上打拼,同时,离岗创业有一个期限,期满后返岗,也避免出现离岗后创业不成面临失业的问题。     “这为专业技术人员自主创新创业能够真正地落实落地,提供了一个重要的政策保障。”苏海南说。     兼职或者在职创办企业人员以及离岗创业人员,意见明确,他们在创业期间都属于事业单位的正式工作人员。苏海南表示,由于这些人本身就是事业单位由财政供养的人员,因此,政策的落实不会额外增加财政支出。     “相比在创业过程中需要很强扶持政策的大学生来说,高校、科研院所的专业技术人员已经是为社会做出贡献的人才队伍成员,他们的创业将为社会创造更多的财富和就业岗位。”苏海南表示。  北京医疗保险 儿童基本医保 医保缴费报销 新生儿医保  养老账户 
  • 华乔 《要扫除一切害人虫 全无敌》(2)

    sunfarstar(16671) 2017-03-26 18:22:45
    USA 华乔 《要扫除一切害人虫  全无敌》(1) ============================================================= 在开始阅读我们的这些观点之前,我愿意和您以及你们先回顾一下历史并 看一看我们所处的现状。 40年前,波澜壮阔的文化大革命告一段落。 后来,我国的政策急剧倒向了右边。一些势力急于拥抱西方。 有那么一些理论家认为市场经济不一定是资本主义。我们不知道它们从马 克思主义理论里是如何得出这样别扭的结论的。如果不是糊涂,就是别有 用心。 于是,欢呼着加入WTO;于是,欢呼着砸掉纺锭;于是,欢呼着买进转基 因种子。诸如此类,等等等等。。。。。 事实证明,经过改开这样一条弯路,摸着石头过的不是河。我们劳苦大众 付出的代价太大了。 一届中央政府的领导人,在收到一位老书记李昌平的信之后。仰望星空, 终于意识到:农民真苦,农村真穷,农业真危险。 三农问题真的如此? 让我们看看真的在坚持走社会主义道路的集体经济组织。 南街村、华西村、 兴十四村、周家庄、洪林村等等的坚持人民公 社制度的农村一番井然有序热火朝天积极生产的好景象。 城市和乡村从来就是血脉相连的。无农不稳。手中有粮。 农村并不穷。农业有自然规律的支配。农民必须有宪法所赋予的制度保障 。 2014年和2015年以及刚刚过去的2016年,李克强领导的中央政府在金融 领域进行了严厉的监管和督促。这在资本市场,即股票 期货 保险 融资  大宗商品等领域产生了一些可喜的作用。房地产泡沫被挤了,地下钱庄被 抓了,黑恶势力的流动环节被卡了,无限制的扩建项目被叫停了。 生民奔波。民亦劳止。休养生息。重组结构。回归真理。占领阵地。 去年股灾,股市里的消灭的主要是食利阶层。如今,北上广大城市的券商 交易室里的老年人们真让人担心。在这样幽闭红红绿绿的刺激性对赌的环 境里,他们怎么可能获得健康和幸福?真的权贵资本家在操纵新媒体,话 语权在它们手里,话题越来越窄,变成了:涨涨涨;抛抛抛;赚赚赚;买 买买。。。。如此恶性循环。真的权贵资本家在赚得盆满钵满之后,利用信息的优势,稳坐富人俱乐部!!!! 股市的疯狂,让我们充分看到了人性的贪婪。任何一个参与股市的人都其 实陷在焦虑中,不是因为赚不到钱,而是不知道狂欢何时会薨然而死。而 ,更多的本来受过大学教育甚至更高等教育的青年人,却放下良知,为虎 作伥,抛弃了道德的底线。 以西北二三线的一些地区的综合情况为例。一些信息反馈回来,所显示的 是:资本势力正在无孔不入地使用新媒体(电话 手机 微博  微信  网页 等等)诱惑欠发达地区的人民去做股票买保险,甚至借债炒期货。任何一 个社会主义国家,怎么能允许这样罪恶的勾当打着种种名目欺诈。应该提 醒一下的是:所有看到我们这篇文字的朋友们,你们一定要严格管理好自 己的个人身份信息。以防犯罪分子利用。 前车之鉴。后车之师。殷鉴不远。 30年的资本主义道路走到了今天。人民心里很清楚。 超大城市的大染缸或许只是一小滩沉着污水。广大农村和边疆以及少数民 族地区一定不能让这样龌龊的金融资本污染。 李昌平书记谈到了农业内嵌金融组织体系,这是真知灼见和未雨绸缪。  
  • 华乔 《要扫除一切害人虫 全无敌》(1)

    sunfarstar(16671) 2017-03-26 18:21:16
    USA 3:25 2017/3/24                           华乔 《要扫除一切害人虫  全无敌》(2) ============================================================= 在开始阅读我们的这些观点之前,我愿意和您以及你们先回顾一下一些历史细节并看一看我们所处的世界的现状。 全球化之路不通,根本原因是它以GDP为目标,以财富为目的,以消费为追求,人的物质欲望的无限膨胀,超过了地球资源的承载力,自然生态的承受力。1968年成立的罗马俱乐部发表了两篇报告《增长的极限》《人类处于转折点》,就提出了GDP应零增长,不要再把生产率作为目标。并且,开始关注与生态的环境的和比较公平分配的国民经济体系。 1972年和1992年,联合国举行会议,发出保护环境与可持续发展的宣言。102位国家元首和政府首脑签字。我国后来制定了《中国21世纪议程》,作为实现可持续发展的行动纲领。但是这一切努力,都阻挡不住全球化的步子,以及由此带来的后果。而,话语权问题似乎不存在了。我们已经热烈的拥抱了市场经济。市场经济全面主导了我国当政者的逻辑思维,实在匪夷所思。 1991年,苏联莫斯科红场上的红旗在一片凄风苦雨中降下。《1999/不战而胜》,是一计言中了。随后而来的,是在一片新自由主义的狂潮中,资产阶级权贵们发明了更新的武器:大规模欺骗性武器。这是何等得意的张狂。全世界的劳苦大众都被脑控了。沦为了最现代化的奴隶和会开口说话的设备。 2007年以后随着2008年到来,与抵押贷款有关的两房损失不断攀升,信用市场日益陷入一场信心危机——人们越来越担心欠款是否真的能偿还给债权人,这进一步压低了全球资产的价格。市场参与者尤为担心和他们有交易往来的其他机构的流动性(获得现金的能力)和财务状况,担忧美国政府和其他西方国家会发生不可逆转的危机。到2008年9月,当美国政府宣布 雷曼兄弟 破产,美众议院驳回了一项用7000亿美元的不良资产救助计划(TARP)来帮助银行业摆脱困境的提案,这种担忧变成了真实的恐慌。 很多人都记得2008年的次贷危机。其不亚于20世纪30年代的全球经济危机。在抗议的人群组合中,人们打出了旗帜:我们是99%,VS 1%的最富有的阶级。人们的呼号是:够了!我们受够了!经济泡沫并不仅仅局限于住房市场,股票价格和商业不动产价格同样出现了暴涨。因此,监管的改变导致用于购买住房的借款减少,而用于购买股票和商业不动产的借款增加。资本市场中的泡沫甚至越来更大。到处是无家可归在广场上搭建帐篷带着蓝光闪烁笔记本电脑的抗议者。人们甚至一度占领了旧金山的海湾大桥。只有一个口号:占领华尔街!西方民众的愤怒像维苏威火山一样在喷发。 人的终极目的是幸福,财富不是目的,只是为幸福提供基础和条件。人类需要一场理念革命和生产生活方式革命,重新探索人类的幸福之路。关键是需要改变价值目标、价值尺度、价值标准,由追求资源有限条件下财富最大化转为追求幸福最大化。以幸福为目标代替财富为目标,就可以让人类从物质追求的洪流中分流,也就是不单单追求物质层面的幸福,还可追求情感层面和精神层的幸福,实现不同地域、不同人群、不同职业、不同个性、不同爱好、不同兴趣的不同的幸福生活。 中国人口众多、资源不丰,需求很大,探索中国的幸福之路,具有世界意义。在我国,即使是完全信息化工业规模已经形成,农业人口还占半数。 中国的幸福之路可以为绝大部分发展中国家提供示范和榜样。中国的幸福之路怎么走,最有影响力的力量是重新高举社会主义的旗帜来创建幸福中国左翼力量。在近十几年来,我们毛派左派红色网友不畏艰辛,奔走呼号,一直在民间做着艰苦扎实的群众工作。 今天的中国已是世界第二大经济体,本应是民富国强了,可事实上是这样吗?让我们真切的把眼光看向最边缘的落后乡村吧。有的一些地方农民种地不赚钱,甚至入不敷出,市场资源和劳动力要素错配迫使青壮年农民离开土地外出打工,资本需要廉价劳动力。农村荒芜凄凉,粮食安全受到严重威胁。还不仅如此,农村改革,将集体经济拉回到个体承包式个体农生产。既得利益集团控制下的农业,造成农村农业凋零凄凉的非常严重的后果:使劲使用农药、除草剂和化肥,致使土地迅速板结变坏,农产品对人体有害;农民自己不能留种,农业种业完全被境外和国内既得利益集团勾结的种子巨头公司控制,农业安全特别是粮食安全再无保障;农业种植技术失传,后继无人;很多地方不是农民不种了,而是土地撂荒已经是最后的绝路啊。几百年的乡土地域院落房屋破败,杂草丛生、道路泥泞、水利设施失修废弃。留守老人和儿童,甚至把吃一包方便面作为了年节喜事。这样的为数不少的边缘乡村是一派孤寂凄凉的景象。        难怪有人哀叹说:“边缘农民的劫难已无法避免”。 农村集体经济是社会主义公有制在农村的具体体现和农村集体经济的有效形式。建立农村集体产权制度,直接关系广大农民群众的利益,关系农村基本经济制度、基本经营制度的发展方向和农村社会治理体系的完善,也关系国家的战略全局。用十年或是五年改变目前联产承包责任制的农业,我们认为是迫在眉睫的。 中央一号文件的一些重大内涵,我们是这样理解的:要继续推进农村集体权益制度深化。探索农村集体所有制有效形式。创新农村集体经济运行机制。这是对农村集体产权制度确立作出的重大部署,意义重大。不仅有利于明晰集体产权归属,完善集体产权,促进城乡要素平等交换;而且,有利于明确集体经济组织成员身份,赋予农民更多财产权利,增加农民财产性收入;有利于建立符合经济规律要求的集体经济运营机制,壮大集体经济实力。 正所谓:好风凭借力,东风催物生。稻香得足廪,麦熟与丰年。 目前,社会各方面对产权制度问题形成基本共识,思路清晰。我们在民间做的这些工作,我们已经欣慰的看到了一些效果。类似像 天则经济所和铅笔经济学 这样的右派反动网站已经完全惊若寒蝉,不敢再发声乱语。 我们认为,推进农村集体产权制度落实,必须从我国农村的实际情况出发,因地制宜,分类施策。中西部地区,文章主要做在土地上。一是探索推进土地股份合作,发展规模经营,丰富集体经济形式。二是发展农村集体共有制经济。集体经济组织可以其拥有的土地等资源性资产,与房屋设备等经营性资产作为出资,引导和吸引农民投入土地经营权,社区经济主体投入资金技术和劳务等,共同发展县乡村所有制经济,带领农民走向合作与联合。三是探索集体积累机制。建立农村税费的“三提五统”一本帐,更好地为集体经济组织成员及村社居民提供公益性服务。 贯彻落实中央一号文件精神,需要加强对试点工作的跟踪指导与监督检查,成立督导组,提出完善相关法律法规的政策建议,确保试点工作顺利实施。加强农村集体资产财务管理,健全农村集体“三资”管理监督和收益分配制度。 已经是农历春末:谁知盘中餐,粒粒皆幸苦。春播不待时,风调兆雨顺。 只有我们的农民兄弟姐妹们真正走向了富裕和文明,我们的社会主义道路才能确保我们的党和国家继续为共产主义真理的实现而不变色不失落。和世界上所有热爱和平的劳苦大众一起在我们的地球上延续文明。 0:15 2017/3/26 ============================================================================== YOU   JUST    NEVER  GIVE    UP!-----sunfarstar
  • 哭过痛过,生活还得过

    likaibin(40340) 2017-03-17 14:46:06
    AMD 聚散无常,起落不定 凡事顺其自然 遇事处之泰然 得意之时淡然 失意之时坦然 艰辛曲折必然 历尽沧桑悟然 秉承宽容才不会气 学会忘记才不会愁 甘于示弱才不会伤 保持低调才不会亏 多一点快乐,少一点烦恼 不论富或穷,地位高或低 知识浅或深 每天开心笑 累了就睡觉 醒了就微笑 相信美好,相信良善 为人,无悔就是道 无怨就是德 人生,所有的事情 哪能事事如意,样样顺心 何况,痛苦也不是人生的全部 伤过,哭过,日子还是得过 人生,岂能尽如人意 但求无愧我心
  • 倭的甜屎

    cuthead(2701) 2017-02-11 21:58:46
    AMD 李就是倭的甜屎 我的氨纸 带给倭幸运和无尽快乐 李就是倭的甜屎 倭要为李做上倭所有能够的 从来就没觉得这有什么错 只偶尔怀疑真实的倭 如此单纯普通的 让人心动不已的时刻 哦 从来就没觉得这有什么错 只偶尔怀疑真实的倭 如此单纯普通的 让人心动不已的时刻 这似乎有如泥塘的生活 没有什么是大不了的 雨后清晨里的那股新鲜 和李一起永伴的倭 哦 这似乎有如泥塘的生活 没有什么是大不了的 雨后清晨里的那股新鲜 和李一起永伴着倭 哦 李有天下最迷人的模样 心中藏着可爱跟善良 尽管这样李还是很苦 酷得就像甜屎一样 李有天下最迷人的模样 心中藏着可爱跟善良 尽管这样李还是很苦 酷得就像倭的甜屎
  • 疑似乌拉跨氪的匿名懦夫

    mraandtux(17535) 2016-04-11 11:22:33
    Spam 来自猴子去哪了、老子跟WP:LHLS没有任何关系、开玩笑跟他玩去、乌拉跨氪下地狱等部门 http://www.solidot.org/comments/show/?sid=32692&cid=145493&type=story http://www.solidot.org/comments/show/?sid=46384&cid=227352&type=story http://www.solidot.org/comments/show/?sid=46460&cid=227829&type=story http://www.solidot.org/comments/show/?sid=46585&cid=228742&type=story http://www.solidot.org/comments/show/?sid=46585&cid=228788&type=story http://www.solidot.org/comments/show/?sid=46585&cid=228795&type=story http://www.solidot.org/comments/show/?sid=46663&cid=229315&type=story http://www.solidot.org/comments/show/?sid=46663&cid=229353&type=story http://www.solidot.org/comments/show/?sid=46663&cid=229372&type=story http://www.solidot.org/comments/show/?sid=47432&cid=234871&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234889&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234891&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234893&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234914&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234924&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234965&type=story http://www.solidot.org/comments/show/?sid=47433&cid=234986&type=story http://www.solidot.org/comments/show/?sid=47433&cid=235008&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234938&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234945&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234958&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234960&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234964&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234973&type=story http://www.solidot.org/comments/show/?sid=47445&cid=234988&type=story http://www.solidot.org/comments/show/?sid=47445&cid=235007&type=story http://www.solidot.org/comments/show/?sid=47459&cid=235009&type=story http://www.solidot.org/comments/show/?sid=47727&cid=236748&type=story http://www.solidot.org/comments/show/?sid=47813&cid=237305&type=story http://www.solidot.org/comments/show/?sid=47813&cid=237337&type=story http://www.solidot.org/comments/show/?sid=47813&cid=237367&type=story http://www.solidot.org/comments/show/?sid=47873&cid=237698&type=story http://www.solidot.org/comments/show/?sid=48262&cid=240148&type=story http://www.solidot.org/comments/show/?sid=48299&cid=240429&type=story http://www.solidot.org/comments/show/?sid=49251&cid=247305&type=story 此外还有以下几个SB: http://www.solidot.org/comments/show/?sid=45678&cid=221011&type=story http://www.solidot.org/comments/show/?sid=45678&cid=221091&type=story http://www.solidot.org/comments/show/?sid=46197&cid=225760&type=story
  • Forbidden Attack:7万台web服务器陷入被攻击的险境

    ONEASP(37196) 2016-05-31 15:14:45
    安全 一些受VISA HTTPS保护的站点,因为存在漏洞容易受到Forbidden攻击,有将近70,000台服务器处于危险之中。 一种被称为“Forbidden攻击”的新攻击技术揭露许多HTTPS签证网站容易受到网络攻击,大约70,000台服务器处于危险之中。一群国际研究人员(Hanno Böck, Aaron Zauner, Sean Devlin, Juraj Somorovsky, and Philipp Jovanovic)发现该威胁动作可以向访问者的浏览器中注入恶意代码和伪造内容。 该组织已经发表了一篇题为“Nonce-Disrespecting对手:在TLS中对GCM的实用的伪造攻击”的文章。 专家已经发现有184台服务器受到了攻击,其中的一些属于德国证交所德意志交易所和波兰银行业协会Zwizek Bankow Polskich。  这种攻击利用并不新鲜,事实上这种攻击利用已经有至少十年的时间了,但很显然,它已经被遗忘了。Forbidden攻击的漏洞利用证据是十分确凿的,研究人员还现场演示了如何利用它来攻击加密通信。 包括德意志交易所的一些组织已经解决了这个问题, 但是Visa和Zwizek Bankow Polskich仍然是易受攻击的。 该漏洞是由TLS协议中在数据加密时重用相同的随机数引起的。nonce重用为Forbidden攻击打开了大门,黑客可以利用它来生成用于对网站内容进行身份验证的关键材料。 使用相同的nonce使得当浏览器第一次连接到一个HTTPS保护的站点时,威胁活动可以很容易地通过与攻击者共享的传输通道注入伪造的内容 (比如,在一个未加密的无线网络中,攻击者在同一个局域网段)。 此时,篡改的传输不会触发任何可疑行为来提醒受害者。 研究人员在他们发表的论文中这样写道:“在他给NIST Joux[18]的评论中描述了一个由于nonce重用而针对GCM的攻击。这种攻击允许攻击者学习认证密钥和伪造信息。因为nonce的唯一性是典型的密码分析的基本原则,所以Joux称他的攻击为“Forbidden攻击”。不过,它强调了一个在实际实现时重要的失效模式。只要这个nonce被重用了一次并且被我们用来实施了一个针对HTTPS的实用的伪造攻击,这将带来严重的真实性的失效问题。” 黑客可以运行一个Forbidden攻击来篡改通讯和添加恶意的JavaScript代码或添加用于欺诈活动的Web内容。 研究人员在线发布的一个概念验证利用代码显示了攻击的可行性,他们还发布了一个攻击脆弱的Visa网站的视频(https://youtu.be/qByIrRigmyo)。 专家们注意到,通过给予足够的web请求,那些易受攻击的网站会有很高的概率重用nonce,他们估计,对于一个成功的攻击来说需要的请求数量仍然极高。 论文中的一个表格显示,其中包括nonce碰撞的概率在目前的64位大小上是2n。专家们发现,大约230个请求时的概率是3%,235个请求时可以有100%的几率。 研究人员进行的这项研究被分成多个子任务,最初他们扫描网络寻找目标,然后他们试图找到易受攻击的那些。 “我们针对网络连接设备的评估一直被分成多个子任务。最初是发现扫描,紧接着漏洞扫描发现目标设备上使用不同参数的时间跨度约为18天。在本节中,我们描述了在我们的评估中用于发现和分析网络连接设备的方法。”这篇论文中写道。 在被研究人员发现的这70000个网站中,专家们发现了几个有缺陷的TLS实现,其中一个在IBM的Domino Web服务器上,另一个在Radware的负载平衡器上,这两个目前都已经被修复了。 结语 对于企业而言最重要的资产就是应用程序和其中的数据,现有常用的防护手段包括基础设施保护和边界防护,比如防火墙/WAF/IPS等。 其一,边界防护是对网络访问和内容进行检查,这些保护措施并不清楚应用程序的行为:内部逻辑和数据处理过程,因此缺乏保护的精确性。 其二,边界技术“天真”的认为程序内部是安全的,不安全因素来自外部。但从过去几年的经验中得出,最具毁灭性的攻击,恰恰来自内部,甚至是企业所信赖的员工。这正是边界技术的软肋。 其三,过去一段时间的数据表明,明显网络边界逐渐消失。随着互联网的发展,越来越多的消费者开始向云端靠拢,他们更多的工作都是在企业外部完成的,边界技术难以针对这种变化环境提出有效的保护。 RASP,Runtime Application Self-protection,实时应用自我防护,是一种最新的应用层防护技术。能够克服上述问题,在运行时环境结合应用上下文防护,代码级定位漏洞,完爆Forbidden Attack等常见攻击。
  • OneASP 安全公开课,深圳站, Come Here, Feel Safe!

    ONEASP(37196) 2016-05-20 12:56:58
    安全 在这个世界上,一共有两种公司:一种被「黑」过,另一种,不知道自己被「黑」过。 在安全攻击频发的今天: 如何构建完善的安全防护壁垒? 如何借助威胁情报改善安全态势? 如何检测新形式下的漏洞? 答案,就在 5 月 28 日 OneASP 安全公开课。 报名链接:http://www.oneapm.com/openclass/securityclass.html 讲师介绍:  刘宇 白帽汇 从事信息安全行业 7 年, 2009 年创立诺赛科技,负责穿山甲、竭思、亿思的销售与推广。 2011 年将产品全卖断给 360 后,创立白帽汇。 2002 年获得 MCSE , MCDBA , MCP 证书; 2004 年入职华为公司,带领实验室团队; 2009 年诺赛科技联合创始人; 2015 年白帽汇联合创始人。 韩志立 微步在线 10 多年安全产品管理经验, 6 年的战略规划经验。曾在安氏、华为、绿盟、奇虎 360 公司负责不同安全产品: IPS 、 WAF 、应用网关及 APT 类,包括绿盟的 NGTP 解决方案,以及 360 的天眼。对虚拟执行、大数据及可视化分析、威胁情报等新型安全技术有较丰富的实践经验。现今在国内首批专业的威胁情报公司微步在线负责产品工作。 孙政豪 OneASP 曾就职于华为技术有限公司,参与企业网安全全线产品的测试和售前工作,熟悉华为防火墙, IPS , Anti-DDOS , UTM , APT 沙箱等产品。此后加入绿盟科技,参与绿盟科技的 WAF 、 ADS 等产品的售后技术支持工作,对绿盟科技的 WAF 和 ADS 有深入的研究,现就职于 OneASP ,负责 RASP 安全技术相关的研究和分析工作。 日程安排 诚意满满,你,不容错过。 本文转自 OneAPM 官方博客 报名链接:http://www.oneapm.com/openclass/securityclass.html
  • 12 种编程语言的起源故事

    ONEASP(37196) 2016-05-19 12:21:44
    Python 过去的几十年间,大量的编程语言被发明、被替换、被修改或组合在一起。每种语言总在争论中诞生,又在进化中消亡。而这些语言的的创造者,无一不是编程世界中的标志性人物,高举探索的旗帜不断前行。敬仰之情促使了这篇文章的诞生,这里收集并分享了这五十年来最成功、最流行的十二门编程语言和它们的创造者的故事。 1、Java 的起源 1990 年代初,任职于 Sun 公司的詹姆斯·高斯林等人开始开发 Java 语言的雏形,最初被命名为 Oak,目标设置在家用电器等小型系统的程序语言,应用在电视机、电话、闹钟、烤面包机等家用电器的控制和通讯。由于这些智能化家电的市场需求没有预期的高, Sun 公司放弃了该项计划。随着 1990 年代互联网的发展, Sun 公司看见 Oak 在互联网上应用的前景,于是改造了 Oak,于1995年5月以 Java 的名称正式发布。Java 伴随着互联网的迅猛发展而发展,逐渐成为重要的网络编程语言。 与传统型态不同, Sun 公司在推出 Java 时就将其作为开放的技术。全球数以万计的 Java 开发公司被要求所设计的Java软件必须相互兼容。“Java语言靠群体的力量而非公司的力量”是 Sun 公司的口号之一,并获得了广大软件开发商的认同。这与微软公司所倡导的注重精英和封闭式的模式完全不同,此外,微软公司后来推出了与之竞争的.NET 平台以及模仿 Java 的 C# 语言。后来 Sun 公司被甲骨文公司并购,Java 也随之成为甲骨文公司的产品。 Java 的创造是为了完成 WORA(Write once, run anywhere 一次编写到处运行)的理念,它的平台独立性使它在企业应用中获得了巨大成功。到目前为止,它已经成为了最流行的一门应用程序编程语言,被广泛应用于企业级Web应用开发和移动应用开发。 2、C++ 的起源 这个构思起源于 Stroustrup 做博士论文时的一些程序撰写经验。他发现 Simula 具备很利于大型软件开发的特点,但 Simula 的运行速度太慢,无法对现实需求发挥功效;BCPL 虽快得多,但它过于低级的特性,使其不适于大型软件的开发。当 Stroustrup 开始在贝尔实验室工作时,他有分析 UNIX 核心关于分布式计算的问题。回想起他的博士论文经验,Stroustrup 开始为 C 语言增强一些类似 Simula 的特点。之所以选择 C,是因为它适于各种用途、快速和可移植性。除了 C 和 Simula 之外,同时也从其它语言中获取灵感,如 ALGOL 68、Ada、CLU 以及 ML。刚开始时,类、派生类、存储类型检查、内联和默认参数特性,都是通过 Cfront 引入 C 语言之中。1985 年 10 月出现了第一个商业化发布。 1983 年,C with Classes 改命名为 C++。加入了新的特性,其中包括虚函数、函数名和运算符重载、参考、常数、用户可控制的自由空间存储区控制、改良的类型检查,以及新的双斜线(//)单行注解风格。1985年,发布第一版《C++程序设计语言》,提供一个重点的语言参考,至此还不是官方标准。1989年,发布了Release 2.0。引入了多重继承、抽象类、静态成员函数、常数成员函数,以及成员保护。1990年,出版了The Annotated C++ Reference Manual。这本书后来成为标准化的基础。稍后还引入了模板、异常处理、名字空间、新的强制类型转换,以及布尔类型。 C++ 这个名字是 Rick Mascitti 于 1983 年中所建议的,并于 1983 年 12 月首次使用。更早以前,尚在研究阶段的发展中语言曾被称为“new C”,之后是“C with Classes”。在计算机科学中,C++ 仍被称为 C 语言的上层结构。它最后得名于 C 语言中的“++”操作符(其对变量的值进行递增)。而且在共同的命名约定中,使用“+”以表示增强的程序。Stroustrup 说:“这个名字象征着源自于C语言变化的自然演进”。C+ 是一个和 C/C++ 无关的早期编程语言。 3、ASP.NET 的起源 1997 年时,微软开始针对 ASP 的缺点(尤其是意大利面型的程序开发方法)准备开始一个新项目来开发,当时 ASP.NET 的主要领导人 Scott Guthrie 刚从杜克大学毕业,他和 IIS 团队的 Mark Anders 经理一起合作两个月,开发出了下一代 ASP 技术的原型,这个原型在 1997 年的圣诞节时被发展出来,并给予一个名称:XSP,这个原型产品使用的是 Java 语言。不过它马上就被纳入当时还在开发中的 CLR 平台,Scott Guthrie事后也认为将这个技术移植到当时的 CLR 平台,确实有很大的风险,但当时的 XSP 团队却是以 CLR 开发应用的第一个团队。 为了将 XSP 移植到 CLR 中,XSP 团队将 XSP 的核心程序全部以 C# 语言重新撰写(在内部的项目代号是 "Project Cool",但是当时对公开场合是保密的),并且改名为 ASP+,作为 ASP 技术的后继者,并且也会提供一个简单的移转方法给 ASP 开发人员。ASP+ Beta 版本以及应用在 PDC 2000 中亮相,由 Bill Gates 主讲,由富士通公司展示使用 COBOL 语言撰写 ASP+ 应用程序,并且宣布它可以使用 Visual Basic .NET、C#、Perl、Nemerle 与 Python 语言来开发。 在 2000 年第二季时,微软正式推动 .NET 策略,ASP+ 也顺理成章的改名为 ASP.NET,经过四年的开发,第一个版本的 ASP.NET 在 2002 年 1 月 5 日亮相(和.NET Framework 1.0),Scott Guthrie 也成为ASP.NET的产品经理(到现在已经开发了数个微软产品,像 ASP.NET AJAX 和 Microsoft Silverlight)。 4、PHP 的起源 PHP 原本的简称为 Personal Home Page,是拉斯姆斯·勒多夫为了要维护个人网页,而用 C 语言开发的一些CGI 工具程序集,来替换原先使用的 Perl 程序。最初这些工具程序用来显示拉斯姆斯·勒多夫的个人履历,以及统计网页流量。他将这些程序和一些窗体解释器集成起来,称为 PHP/FI。PHP/FI 可以和数据库连接,产生简单的动态网页程序。拉斯姆斯·勒多夫在 1995 年 6 月 8 日将 PHP/FI 公开发布,希望可以通过社区来加速程序开发与查找错误。这个发布的版本命名为 PHP 2,已经有今日 PHP 的一些雏型,像是类似 Perl 的变量命名方式、窗体处理功能、以及嵌入到 HTML 中运行的能力。程序语法上也类似 Perl,有较多的限制,不过更简单、更有弹性。 在 1997 年,任职于 Technion IIT 公司的两个以色列程序员:Zeev Suraski 和 Andi Gutmans,重写了PHP 的语法分析器,成为 PHP 3 的基础,而 PHP 也在这个时候改称为 PHP: Hypertext Preprocessor.。经过几个月测试,开发团队在 1997 年 11 月发布了 PHP/FI 2,随后就开始 PHP 3 的开放测试,最后在 1998 年 6 月正式发布 PHP 3。Zeev Suraski 和 Andi Gutmans 在 PHP 3 发布后开始改写 PHP 的核心,这个在 1999 年发布的语法分析器称为 Zend Engine,他们也在以色列的 Ramat Gan 成立了 Zend Technologies 来管理 PHP 的开发。 在 2000 年 5 月 22 日,以 Zend Engine 1.0 为基础的 PHP 4 正式发布,2004 年 7 月 13 日则发布了 PHP 5,PHP 5 则使用了第二代的 Zend Engine。PHP 包含了许多新特色,像是强化的面向对象功能、引入 PDO(PHP Data Objects,一个访问数据库的延伸库)、以及许多性能上的增强。目前 PHP 4 已经不会继续更新,以鼓励用户转移到 PHP 5。 2008 年 PHP 5 成为了 PHP 唯一维护中的稳定版本。现在已经有超过 2000 万个网站和 100 万个Web服务器使用了这门语言,Facebook、Wikipedia、Wordpress 以及 Joomla 这些互联网巨头都在使用它。 5、JavaScript 的起源 最初由 Netscape 的 Brendan Eich 设计。 是甲骨文公司的注册商标。ECMA 国际以 为基础制定了 ECMAScript 标准。 也可以用于其他场合,如服务器端编程。完整的 实现包含三个部分:ECMAScript,文档对象模型,浏览器对象模型。 Netscape 在最初将其脚本语言命名为 LiveScript,后来 Netscape 在与 Sun 合作之后将其改名为 。 最初受 Java 启发而开始设计的,目的之一就是“看上去像 Java”,因此语法上有类似之处,一些名称和命名规范也借自 Java。但 的主要设计原则源自 Self 和 Scheme。 与 Java 名称上的近似,是当时 Netscape 为了营销考虑与 Sun 微系统达成协议的结果。为了取得技术优势,微软推出了 JScript 来迎战 的脚本语言。为了互用性,Ecma 国际(前身为欧洲计算机制造商协会)创建了 ECMA-262 标准(ECMAScript)。两者都属于 ECMAScript 的实现。尽管 作为给非程序人员的脚本语言,而非作为给程序人员的脚本语言来推广和宣传,但是 具有非常丰富的特性。 6、「红宝石」语言的起源 1993年,松本行弘开始 Ruby 语言的研发工作,试图集成脚本语言中最好的特点,基于 C 语言开发,但比 Perl 更强大,比 Python 更面向对象。1994 年,松本行弘独立完成 Ruby 的第一个 Alpha 版,那年他才28岁。松本行弘把它取名 Ruby,也因这名字是一种美丽珍贵的红宝石之意。Ruby 本身也极具魅力——这种解释型脚本语言,既有脚本语言强大的字符串处理能力和正则表达式,又不失解释型语言的动态性。 此外,松本行弘还借鉴了 Perl 语言在文字处理方面的优势,由 Ruby 编写的程序不需事先编译即可直接运行,因此利于实现开发过程中的快速反馈,极大地方便了程序的调试。1995 年 Ruby 脚本语言的第一个版本发布后,因其大大提高了开发者的工作效率,让编程更有乐趣,很快在日本非常流行。 1997 年开始,松本行弘在“株式会社 Network 应用通信研究所”担任特别研究员,专注于 Ruby 的开发。2000年,Dave Thomas 首次将这 Ruby 介绍到了英文社区,很快掀起了 Ruby 语言的热潮。Ruby 的灵活特性给动态编程语言注入了新的活力,逐渐获得全世界范围的程序设计者的喜爱。 世界上没有一种完美的语言,Ruby 也一样。尽管 Ruby 很棒,但很多人还是觉得他的性能效率较低。不过好在后来开发者也通过一些扩展来弥补 Ruby 的瓶颈。2004年,丹麦人 David Heinemeier Hansson 用 Ruby 语言开发的一种 Web 框架 Ruby onRails,可达到 J2EE 开发速度的 10 倍以上,被很多人视为“软件开发的银弹”,Ruby 开始在全球范围内流行。 7、Scala 的起源 Scala 是一门多范式的编程语言,一种类似 Java 的编程语言,设计初衷是实现可伸缩的语言、并集成面向对象编程和函数式编程的各种特性。 2001 年,洛桑联邦理工学院的马丁·奥德斯基开始基于 Funnel 的工作开始设计 Scala。Funnel 是把函数式编程思想和佩特里网相结合的一种编程语言。 奥德斯基之前工作于 Generic Java 和 javac。Java 平台的Scala 于 2003 年底/ 2004 年初发布。.NET 平台的 Scala 发布于 2004 年 6 月。该语言第二个版本,v2.0,发布于 2006 年 3 月。2009 年 4 月,Twitter 宣布他们已经把大部分后端程序从 Ruby 迁移到Scala,其余部分也打算要迁移。此外, Wattzon 已经公开宣称,其整个平台都已经是基于 Scala 基础设施编写的。 2014 年,马丁·奥德斯基宣布 Scala 2.12 将要简化语法,推出 Scala "Don Giovanni" 项目的时候,表示:“Scala 现在是为聪明人创造的,以后也是为聪明人服务的。” 不同于 Python 让程序员用一种方法做所有事情,Scala 提供一整套工具,让程序员自由选择,无论是 mutable 数据结构,immutable 数据结构,并行(parallel)数据结构。然后在这些选择中,Scala 再针对他们进行算法层面的特殊优化。Scala 相信程序员的聪明才智,让程序员自行选择合适的结构,以针对变化万千的任务需求,这点是 Scala 做得好的地方。 8、Python 的起源 1989 年的圣诞节期间,吉多·范罗苏姆为了在阿姆斯特丹打发时间,决心开发一个新的脚本解释程序,作为 ABC 语言的一种继承。之所以选中 Python 作为程序的名字,是因为他是 BBC 电视剧——蒙提·派森的飞行马戏团(Monty Python's Flying Circus)的爱好者。ABC 是由吉多参加设计的一种教学语言。就吉多本人看来,ABC 这种语言非常优美和强大,是专门为非专业程序员设计的。但是 ABC 语言并没有成功,究其原因,吉多认为是非开放造成的。吉多决心在 Python 中避免这一错误,并获取了非常好的效果,完美结合了 C 和其他一些语言。 就这样,Python 在吉多手中诞生了。实际上,第一个实现是在 Mac 机上。可以说,Python 是从 ABC 发展起来,主要受到了 Modula-3(另一种相当优美且强大的语言,为小型团体所设计的)的影响。并且结合了 Unix shell 和C 的习惯。目前吉多仍然是 Python 的主要开发者,决定整个 Python 语言的发展方向。Python 社区经常称呼他是仁慈的独裁者(BDFL),意思是他仍然关注 Python 的开发进程,并在必要的时刻做出决定。 Python 的设计哲学是“优雅”、“明确”、“简单”。Python 开发者的哲学是“用一种方法,最好是只有一种方法来做一件事”。在设计 Python 语言时,如果面临多种选择,Python 开发者一般会拒绝花俏的语法,而选择明确没有或者很少有歧义的语法。这些准则被称为“Python 格言”。 9、Go 的起源 Go,又称 golang,是 Google 开发的一种静态强类型、编译型,并发型,并具有垃圾回收功能的编程语言。 罗伯特·格瑞史莫,罗勃·派克(Rob Pike)及肯·汤普逊于 2007 年 9 月开始设计 Go 语言,稍后 Ian Lance Taylor, Russ Cox 加入项目中。谷歌把 Go 作为一个 20% 项目开始研发,即让员工抽出本职工作之外时间的 20%, 投入在该项目上。除了派克外,该项目的成员还有其他谷歌工程师也参与研发。对于开发这门语言的起因,派克说:我们之所以开发 Go,是因为过去 10 多年间软件开发的难度令人沮丧。 Go 语言是基于 Inferno 操作系统所开发的。Go 语言于 2009 年 11 月正式宣布推出,成为开放源代码项目,并在 Linux 及 MacOS X 平台上进行了实现,后追加 Windows 系统下的实现。2010 年 1 月 10 日,Go 语言摘得了 TIOBE 公布的 2009 年年度大奖,该奖项授予在 2009 年市场份额增长最多的编程语言 10、Android 的起源 2003 年 10 月,安迪·鲁宾(Andy Rubin)在美国创建了 Android 科技公司(Android Inc.),并与利奇·米纳尔(Rich Miner)、尼克·席尔斯(Nick Sears)、克里斯·怀特(Chris White)共同发展这家公司。Android 系统最初由安迪·鲁宾(Andy Rubin)等人开发制作,最初开发这个系统的目的是创建一个数码相机的先进操作系统,但是后来发现市场需求不够大,加上智能手机市场快速成长,于是 Android 被改造为一款面向智能手机的操作系统。谈到创建 Android 科技公司的原因,鲁宾说:“聪明的移动设备能更好的意识到用户的爱好和要求。”尽管 Android 科技公司的创始人和员工过去都具有各自的科技成就,但是 Android 科技公司的经营只显露出它在智能手机软件的方面,这时鲁宾为 Android 科技公司花光所有钱。 2005 年 8 月 17 日,Google 低调收购了成立仅 22 个月的高科技企业 Android 及其团队。安迪鲁宾成为Google 公司工程部副总裁,继续负责 Android 项目。2007 年 11 月 5 日,谷歌公司正式向外界展示了这款名为 Android 的操作系统,并且在这天谷歌宣布建立一个全球性的联盟组织,该组织由34家手机制造商、软件开发商、电信运营商以及芯片制造商共同组成,并与 84 家硬件制造商、软件开发商及电信营运商组成开放手持设备联盟(Open Handset Alliance)来共同研发改良 Android 系统。 2013 年 09 月 24 日谷歌开发的操作系统 Android 迎来了 5 岁生日,全世界采用这款系统的设备数量已经达到 10 亿台。 11、Swift 的起源 2010 年 7 月,苹果开发者工具部门总监克里斯·拉特纳开始着手 Swift 编程语言的设计工作,以一年时间,完成基本架构后,他领导了一个设计团队大力参与其中。Swift 大约历经4年的开发期,2014 年 6 月发表。 苹果宣称 Swift 的特点是:快速、现代、安全、互动,而且明显优于 Objective-C 语言。Swift 以 LLVM 编译,可以使用现有的 Cocoa 和 Cocoa Touch 框架。Xcode Playgrounds 功能是 Swift 为苹果开发工具带来的最大创新,该功能提供强大的互动效果,能让 Swift 源代码在撰写过程中能即时显示出其运行结果。拉特纳本人强调,Playgrounds 很大程度是受到布雷特·维克多(Bret Victor)理念的启发。 2015 年 6 月 8 日,苹果于 WWDC 2015 上宣布,Swift 将开放源代码,包括编译器和标准库。 2015 年 12 月 3 日,苹果宣布开源 Swift,并支持 Linux,苹果在新网站 swift.org 和托管网站 Github 上开源了 Swift,但苹果的 app store 并不支持开源的 Swift,只支持苹果官方的 Swift 版本,官方版本会在新网站 swift.org 上定期与开源版本同步。 12、Node.js 的起源 Node.js 由 Ryan Dahl 和一些其他的开发者于2009年在 Joyent 工作时发明。Node.js 在2009年初次发布于Linux。 开发和维护工作由 Dahl 主持,其工作单位 Joyent 同时赞助这些工作。 Dahl 设计 Node.js 的灵感来自于 Flickr 上的一款上传进度栏,浏览器并不清楚多少文件内容已被上传,除非向服务器进行查询。Dahl 于是设计了一个更简便的方法。这个集成了 Google V8 JavaScript 引擎和一个底层 I/O API 的项目由 Dahl 在 inaugural European JSConf 向公众进行展示。 Node.js 已经有数十万模块,它们可以通过一个名为 npm 的管理器免费下载。 本文系 OneAPM 工程师整理呈现。OneAPM 能为您提供端到端的应用性能解决方案,我们支持所有常见的框架及应用服务器,助您快速发现系统瓶颈,定位异常根本原因。分钟级部署,即刻体验,性能监控从来没有如此简单。想阅读更多技术文章,请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客
  • Google计划 Chrome浏览器默认以HTML5替代Flash

    chaoren2016(39038) 2016-05-17 10:32:06
    互联网   在Chromium 开发者论坛上,谷歌宣布,Chrome浏览器默认使用HTML5 ,从而替代 Flash 播放内容的计划。   计划的 HTML5 实现功能预计将在今年第四季度释出,为了避免提示过多,十大受欢迎的网站将被加入到白名单,默认继续使用 Flash 播放内容,用户访问这些网站不会看到允许该域名使用 Flash 播放器的提示。但白名单有时间限制,仅在一年内有效。被加入到白名单中的域名包括:YouTube、Facebook、Yahoo、VK、Live、Yandex、OK.ru、Twitch、Amazon 和 Mail.ru。   关注超人软件站,最新资讯第一时间掌握。超人软件为广大用户提供绿色、安全、无毒的手机软件、电脑软件下载之余,实时提供最新最热的新闻资讯,致力于为用户打造一个集最新的绿色免费软件下载、最前沿的业界资讯、最客观的软件测评的综合性软件下载平台。 来源:http://www.crxz.com/news/rjzx/34868.html
  • Cortana不兼容新补丁导致系统变慢

    chaoren2016(39038) 2016-05-13 11:04:35
    微软   周二(美国当地时间),微软如期发布了序号为KB3156421的系统补丁,并呼吁用户安装该补丁后,如果遇到bug可以向微软反馈。不过,令人费解的是,微软明知本次更新存在一个会导致Win10电脑运行滞缓的bug,那么为何还要推送呢?   微软工程师John Wink表示,出现这个bug是因为Cortana的一个不兼容特性导致的,公司已经着手追踪这个问题了,数周内就可以完成修复。   微软工程师表示:如果你发现在安装本次更新之后PC出现不正常的滞缓现象,那么你可能遭遇了我们正在追踪的问题,我们尝试在未来几周内完成修复。按照步骤关闭Cortana能够缓解这个症状。当然我们非常希望能够听到大家的测试结果,从而帮助我们收集额外信息来为你真正的解决这个症状。请在这篇帖子下方回复你的截图和结果,非常感谢!   目前,用户想要自行修复这个bug最简单的方法就是关闭Cortana。 更多 系统补丁:http://www.crxz.com/soft/sjbd/
  • DevSecOps简介(二)

    ONEASP(37196) 2016-05-04 16:40:58
    开发者 越来越多的组织机构开始采取 DevOps 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:安全。随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发和部署流程中创建可程序化、可重复进行的安全管理已经成为现实。 OpenDaylight participants、思科 ACI、VMware NSX、Nuage Networks以及其他众多服务商提供的动态、抽象的网络特性开启了一扇新的大门,使安全能够成为应用生命周期管理(ALM)的一部分。基础设施即代码这个短语恰如其分地描述了我们需要的东西。基础设施配置需要扩展到应用环境以外的领域。 NFV:通向 DevSecOps 之门 网络虚拟化并不是 DevSecOps 的终极目标,只是其中的一小部分。启动 L2/L3 网络流量已经给数据中心愈发敏捷的实践带来了极大的提升。机房环境和云环境都已经从这些程序化管理网络的新方法中受益。再次提醒大家,数据流其实只是网络虚拟化带给我们的便利中极小的一部分。 再往上到堆栈的4-7层,就到了 NFV 大显身手的时候了。从纯运营的角度来看,NFV 带来了我们渴求的程序化、可预测的部署和管理。在常规数据中心管理中常用的配置管理工具(例如 Chef、Puppet 和 Ansible),现在已经扩展到了网络领域。这似乎也是 NFV 存在的理由。不过故事远不止这些。 NFV 可能会让人困惑,因为它在 L2/L3 管理上会混乱不清,不过它其实主要用于管理应用网关、L4-7 防火墙、负载均衡器等其他功能。NFV 让这些功能虚拟化,并缩短了它们与实际工作负载间的距离。 NV 和 NFV 是安全工具,而非网络工具 当谈到 NV 和 NFV 时,我们应该扩大视野,考虑全局。所有通过创建程序化部署和管理取得的成就似乎主要针对 DevOps 式的交付。DevOps 经常被当做加速应用开发的一种方法,然而在谈论网络和经常提到的 DevSecOps 方法论时,速度和敏捷只是全局的一小部分。 实际上,NV 和 NFV 其实是安全工具,并非网络工具。这听起来的确挺奇怪,不过还是想想 NV 和 NFV 实际为我们带来了什么吧。 当我们启动网络层的程序化管理时,我们同时也启动了其他一些强大的功能,包括审查 L2-L7 配置的安装和运营。清楚地知道整体 L2-L7 环境何时发生了什么样的变化,这让所有的信息安全同仁们露出了笑颜,他们也的确应该开心。 西方-东方成为新的信息高速公路 也许数据中心或云的东西方交通并非超级高速,但是在接下来的几年乃至更远的将来,它将成为最繁忙的通道。随着扩展应用程序成为主流设计模式,在虚拟组件之间、防火墙背面以及嵌套、虚拟网络中将会传输越来越多的数据。 关于以这种方式传输的实际流量的数据和例证有很多,不过不管你选择参考哪种预测,数额都是惊人的。这也是使用 NV/NFV 促成的增长。 无论我们用何种原因来论证 DevSecOps 将会成为新的数据中心和云实践的一部分,它都将不可避免地成为现实。唯一的疑问就是我们用多长时间能将它纳入标准运营流程。 正当你以为自己身陷 DevOps 困境时,笔者又给你增加了一个新概念。别担心,这些都是好东西,你很快就能弄明白。相信我,因为我会帮你完成这个旅程。 如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客
  • DevSecOps 简介(一)

    ONEASP(37196) 2016-04-20 16:18:37
    AMD DevOps,或者说企业应用开发团队和系统运营团队的合作,已经成为一个时髦的 IT 话题。这一新的运营模式往往与敏捷式软件开发方法并举,同时还会利用云计算的可扩展性——这一切,都是为了使企业更加灵活,更具竞争力。但是,有专家指出,如今实践该方法的典型模式,其实远远不够深入。 来自 Gartner 研究公司的分析师 David Cearley 认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念。他称之为 DevSecOps,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。 Cearley 还指出,企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是,在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重,显然,单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后,CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始,而不是事后,就考虑安全问题。 然而,在传统的 IT 组织中,往 DevOps 实践添加安全理念更多地是人与流程的问题,而非技术问题。在许多公司组织当中,团队们在相互独立的环境中工作,甚至不存在共同的隔墙,Cearley 指出。不过,将所有人召集到同一个房间里比在所有人之间达成共识要容易得多。幸运的是,大多数企业都一个人专注于打破文化障碍,同时要求安全融入 DevOps 最佳实践,这个人就是 CIO(首席信息官)。 ”CIO 是唯一能够推动安全融入 DevOps 实践的人,因为安全团队、运营团队、应用团队以及架构团队全都向他汇报“ Cearley 指出。”CIO 是领导者;CIO 必须告诉他的团队:“如果你们不能协同工作,那就没必要留下来了”。 DevSecOps 宣言 CIO 驱动 不同团队间的相互协作 专注于风险,而非安全 Cearley 指出,"对抗团队在工作中”先入为主的观念与偏见”将是 CIO 面临的最大挑战。“ CIO 应该引导团队重新考虑问题。对此,有什么好的建议吗?Cearley 补充道:“CIO 不应该简单地接受关于应用开发、运营以及安全的单独报告,而应该强调合作的重要性,要求“以统一的方法开发、运营以及管理我们提供给用户的服务,同时保证这一过程的安全性。” Cearley 还建议 CIO 们不应聚焦于安全,而应该重视风险,这可以帮助 IT 团队更好地实现业务视角与开发流程的整合。”如果你从安全出发,重点就变成了需要哪些工具来实现终极的安全。抱歉的是,这是错误的焦点,“ Cearley 指出。“ 你必须从风险入手。”通过时刻关注风险,CIO 将帮助企业理解 IT 如何帮助企业进入新市场或尝试新型的分析技术,以及 IT 如何最小化这样做的潜在危险。 如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。 本文转自 OneAPM 官方博客 +
  • 什么是实时应用程序自我保护(RASP)?

    ONEASP(37196) 2015-12-17 16:02:24
    互联网 什么产品可以定义为 RASP? RASP 英文为 Runtime application self-protection,它是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。 这意味着,RASP 运行在程序执行期间,使程序能够自我监控和识别有害的输入和行为。 其实,RASP 不同于传统的安全技术仅在网络周边或者终端设备上进行保护,它能够让应用程序具备自我保护能力。而实时是 RASP 非常重要的特点,因为拥有应用程序的上下文,它不仅可以分析应用程序的行为也可以结合上下文对行为进行分析,而且这些能持续不断的进行分析,一旦发现有攻击行为能立刻进行响应和处理。 RASP工作原理探秘 首先,RASP 是以什么形态存在?通常来说 RASP 将安全保护代码嵌入到运行中的服务器应用程序,它会实时拦截所有的系统调用并确保调用安全,最终实现应用程序自我保护。 RASP 可以应用在 Web 应用程序和非 Web 应用程序,对应用程序的代码设计没有任何影响,不需要修改任何代码,只需要简单的配置就可以将安全保护功能在服务器程序在运行时注入。 当前,RASP 只在 Java 虚拟机和 .NET 通用运行环境得到实现,其他语言的 RASP 实现目前还没有,笔者估计在2015年必然会有 PHP 实现上市,其他语言还需要技术更成熟。 RASP什么时候进行保护? 一旦 RASP 探测到每个用户访问违反预设定的安全条件,RASP 就会接管系统并执行必要合理的保护行为。一个例子就是当用户执行访问数据库的 SQL 命令,如果 RASP 认为这个是一个 SQL 注入攻击就可以执行 SQL 注入保护行为。 RASP 有检测和保护两种模式,检测模式在检测到安全攻击时只是记录下来并发送警告给用户,保护模式不仅能够检测同时能够实时拦截潜在的安全攻击。 RASP 的保护行为可以一下几种方式: 终止用户会话  停止用户程序(不影响服务器上其他程序):这是针对非常严重的攻击,比如DDOS。  发送警报给专门的安全人员  发送警告给用户 防火墙 vs. RASP RASP 和防火墙一样都能检测流量和内容,也能够终止用户会话。 然而防火墙不拥有应用上下文,不能在应用层检测用户流量,必然安全威胁拦截的准确性肯定没有 RASP 高,误报率也会大大提高。而且在现在移动互联网和云计算盛行的今天,网络边界已经越来越不清晰了,这样也使防火墙的安全防护效果也越来越差。 Gartner 的 Joseph Feinman 非常精确的把防火墙比喻为簇拥在大人物周围的保镖,大人物去哪里都带着保镖,看起来防御力爆棚,但是大人物本人肌肉不发达也没有武功,一旦保镖被突破或者保镖被调虎离山,那么这个大人物就没有任何保护了,就非常危险了。RASP 可以让没有武功的人在很短的时间并且付出的代价不高的情况下拥有很高的自我保护能力(听起来有点像神话)。 RASP 的优点 RASP 能够看到系统里所有用户行为的细节,这样对于提高安全攻击识别的准确性有非常大的帮助。 比如RASP能非常清楚的理解用户的逻辑,配置以及数据和事件流,这就给非常精确的探测和拦截安全攻击行为提供了坚石的基础。 另外 RASP 能够自我保护数据,能够保护数据从创建到消亡的全过程。 RASP 和应用程序运行在一起,拥有用户的数据,RASP 在安全保护上想象的空间非常的大,RASP 可以满足很多企业级的数据保护需求, 比如数据透明加解密,一些只在系统内使用保密数据就可以使用加密,即使黑客将数据偷窃出去,也无法破解和解密,这样更不存在其他的问题了。 RASP 不足之处 没有任何安全解决方案是完美的,每个方案都有优点也有缺点,RASP 也一样,虽然它很多独特的优势,但也存在一些不可忽视的不足,需要安全研发人员不断的改善。 首先 RASP 是针对应用程序的,每个应用程序都必须有独立的探针,不能像防火墙一样只在入口放置一个设备就可以了。这样增加了部署困难和防范不完整的风险。 另外一个比较的不足就是对系统性能的影响,RASP 实时拦截,深入检测用户数据流,这是对精确度和误判率都有很大的帮助,但是对用户性能有一些影响,这些性能消耗也必然影响到用户的体验,这也是影响企业客户部署 RASP 的很大一方面原因。现在 RASP 的提供商在优化方面做了很大努力,大部分 RASP 对性能影响在5%左右。 最后使用 RASP 并不是真正建立一个安全的应用,系统中存在的漏洞还是存在,应用了 RASP 后临时提供一个虚拟补丁修补上已知漏洞,当不用 RASP 后这些漏洞还是存在。另外 RASP 也不能修复所有的漏洞,漏洞时刻在更新。企业应该将 RASP 和扫描工具结合起来将更有价值。RASP 软件提供商也应该提供实时漏洞更新功能,实现真正零日攻击防御。
  • WAF 与 RASP 的安装使用大比拼!

    ONEASP(37196) 2015-12-17 17:53:59
    互联网 什么是WAF和RASP? WAF全称是Web application firewall,即 Web 应用防火墙。RASP 全称是 Runtime Application Self-protect,即应用运行时自我保护系统。两款产品都是针对 Web 应用的攻击进行防护的。  作为用户,如何安装使用 WAF 和 RASP? WAF 的使用 WAF 相当于一个网络设备,需要部署到网络环境中。它有三种部署模式,分别是串联(透明)部署、旁路部署、反向代理部署。 三种部署方式都有各自的优缺点,串联部署比较简单,直接放在网络就行,但是这种部署模式,有单点故障的风险;旁路部署需要在路由或交换设备上进行流量牵引,然后在 WAF 上进行流量回注,部署比较复杂。反向代理部署是相当于一个代理服务器,需要修改 DNS 服务器,把 DNS 的解析地址改为 WAF 的物理接口地址,部署相较于旁路简单,但是这种部署方式也存在单点故障问题。 解决了部署问题之后,下面开始配置。首先配置站点,即要防护的 IP+ 端口,配置站点的时候需要选择操作系统、服务器类型、数据库类型等。配置站点之后,在不配置任何策略的情况下,开启防护模式,进行访问测试。当可以访问之后,再进行策略配置。配置策略的时候,首先一键接受,在线跑一周之后,查看分析日志,之后从大量的策略里面,选出合适的策略进行阻断防护。这时 WAF 才算正式上线。 RASP 的使用 RASP 相当于一款软件,直接部署到应用服务器上。在服务器启动的过程中加入 RASP 探针,拿 Tomcat举例,使用 UE 打开\bin\catalina.bat此文件,在文件中加入 set CATALINA_OPTS="-javaagent:\lib\RaspAgent.jar %CATALINA_OPTS%",如图红框部分为探针路径: 然后启动服务器即可。RASP 产品有两种模式,一种是监听模式,一种是防护模式。上线之后开启监听模式,分析日志显示的堆栈信息,最后决定使用哪些规则进行防护。这样 RASP 就算正式上线了。 总结下 WAF 与 RASP 的使用区别 从安装来看,WAF 的部署多样化,但是每种部署方式都有一定的风险。RASP直接安装在应用服务器上,且运行过程中仅占用2%-5%的 CPU 和内存,比 WAF 更加方便实用。 从上线来看,WAF 需要进行服务器、数据路操作系统的选择,新建站点分析,日志配置各种策略。RASP 直接安装到服务器上,不用选择系统、服务器等,也不需要新建站点,只需上线分析日志选择策略即可,比 WAF 更加简单快捷。
  • 引力发电机((Gravitational Generator)

    Anatoly(36291) 2015-08-21 22:48:07
    科技 说明:该设想是本人一个俄罗斯朋友的,他希望我借助中文网站等媒体,把他的这个想法推介给更多对科学、能源和环保有兴趣的朋友。由于本人知识有限,所以以下只是他的设想的一个简单总括介绍。有兴趣的朋友请浏览他的个人网页(下面已附,有中文英文和俄文的详细描述和图解),或者有问题可以与我联系,我会把您的意思及时传达给他。谢谢各位了! 引力发电机是把地球引力作为能量的来源,就像我们利用原子能和矿物燃料能量一样。引力发电机由四个部分组成:一个平衡器,两个反向平衡器,和一个复合控制杠杆。这四个部分组成一个系统。 一个高度精确吻合的系统会保持平衡。维持平衡能够让此系统在旋转中遇到最小的阻力,避免地球引力造成的明显影响。 在系统旋转中,由于地球引力,平衡器会产生直线来回运动。这些运动可以直接当作动力来源,或被转化成电能。 此系统并不能引发初始旋转,需要一个外在系统辅助。 引力发电机无论安装在房子的地下室还是公寓里都足够安全,并且提供您和您邻居热能和电能的需要。此外,最好之处在于,你不需要再支付账单,不需要担忧一触即发的石油危机,或对气体排放及原子能污染有犯罪感。科学家一直致力于发展太阳能和风能,但是在浪费了很多纳税人的钱后,并没有可喜的进展。唯有引力才是将来可持续的能源。 http://www.sentally.com/chinese/detailed.html
  • 100美元让你的Apple Watch变成潮流配饰

    ouboyouxi(36288) 2015-08-17 16:04:55
    AMD        虽然Apple Watch着一些不足,但是许多朋友依然非常喜爱,在不佩戴的时候,都会不自觉条件反射抬起自己的手腕。不过,只能带在手上可不符合一些潮流朋友的喜爱,现在你只需100美元就可以把手表变成怀表。   Bucardo针对Apple Watch推出了两种不同形式的DIY,其中42mm的Apple Watch会以怀表的造型出现在我们的面前,而38mm的Apple Watch则采用了项链设计。每一款均使用14K或18K镀金或纯银作为材质为我们定制。   还觉得不够好?没关系,你可以扔下3000美元,让他们为你的Apple Watch变成14克拉重的黄金怀表。如果你钱多到没地方用,你甚至可以花费5000美元,让他们在你的14克拉黄金小项链上再镶嵌一颗直径为3mm的钻 石。总之只要你的钱包里钱足够多,那么你的Apple Watch将充满无限的可能性。   Bucardo为了让Apple Watch变得如此有个性,他们希望通过众筹网站可以募集到25000美元的资金用于生产打造,在募集行动开始三周后,他们就收获了超过10000美元。   抛开奢华的个性化不谈,如果你想让你的Apple Watch变一个模样,那么你大可以花费100美元的价格,让Bucardo将你Apple Watch变成怀表或者项链,对于那些潮人们来说,这是一个不错的选择。不过这样的话,你将无法使用心率传感器了。
  • Azure/Google云应用测试

    lanws01(32112) 2015-08-16 10:43:15
    云计算 随着软件开发周期加快,IT部门必须更迅速地测试基于云的应用。正确的工具和服务可以帮助加快这一步伐。 在云端部署软件的步伐正在加快。开发人员不再需要花费数月的修复大量bug和功能增强,而是可以在一个星期甚至一天内就推出新的云应用。但这种快速的转变 需要在部署之前对应用程序进行快速的测试。谷歌计算引擎和微软的Azure提供了一些工具,以确保新的云应用可以按照预期的那样正常工作。 开发人员应该在一个可控的环境中尽可能复制生产环境来对云应用进行测试。对于本地应用的开发,要维护一个单独的等同于生产环境的测试环境的成本通常令人望而却步。但在云中,实施一个高度自动化管理的测试环境的边际成本却很低。 使用谷歌测试云应用 谷歌计算引擎以性能著称, 但其不断增长的编码、测试和部署的服务列表可能会大大减少对软件开发者的吸引力。这些服务和工具包括Google Deployment Manager、Cloud Trace、Cloud Monitoring和Cloud Security Scanner。 谷歌的Deployment Manager是一个模板驱动的服务,负责将资源部署到云中。使用该服务,云管理员可以定义一个拥有虚拟机、存储、负载平衡器和其他资源的测试环境。 测试云应用程序提供了收集性能数据的机会,和进行单元测试。在生产环境中,谷歌的Cloud Monitoring服务产生警报并显示到性能仪表板上。这也有利于对新的应用程序代码进行压力测试。对频繁执行的代码的任何小的修改可能会对总体性能产 生显著的影响。然而,这些影响并不总是很明显,特别是对于分布式系统。通过性能测试,开发人员可以找出潜在的问题领域。 Google App Engine中的Cloud Traces服务负责收集远程过程调用App Engine服务的性能数据。这有助于定位长时间运行以及低效的运营。Cloud Security Scanner,也是针对Google App Engine,用以识别已知的漏洞,如跨站点脚本以及HTTPS和HTTP混合的内容传输。 微软的Azure测试云应用 微软的Azure也提供了云应用程序的测试和部署工具。比如说,Visual Studio Online,是一个软件开发平台,用于管理应用程序代码和跟踪开发人员任务。Visual Studio通过持续集成,规划和缺陷跟踪等工具来支持敏捷开发模式。 微软的Visual Studio Application Insights是一个新的预览版服务,将来有可能成为一个关键的云测试和监控服务。它允许开发人员和云管理员监测运行在Azure或其他平台上的 ASP.NET和Java应用。该服务还可以监控移动应用,如那些用于Android和iOS,以及Mac OS X和Windows应用。 微软的Azure Automation服务减少了人工的、重复的任务。该服务使用Windows PowerShell脚本,简化了与其他PowerShell应用程序的集成。使用DevOps的思想作为指导,外加一些图形创作工具,Azure Automation在处理云资源时提供一个高层次的抽象化。同Google Deployment Manager一样,Azure Automation也提供了一些工具可以帮助开发人员和云管理员在云中快速创建一致的测试环境。 除了微软和谷歌的服务,开发人员还可以使用众所周知的成熟的应用测试工具,如Jenkins。 当然,工具并不是云应用测试唯一需要的。明确定义的过程也是成功的关键。例如,开发人员应遵循标准的做法从代码库中提交和获取代码。测试管理员应该能够从代码库获取最新的代码并根据需要对其进行测试。 开发人员应该经常进行测试,尽早发现bug和性能问题。自动化同时还降低了测试的成本。使用云应用监控工具来减少分析结果所需的成本和时间,特别是大容量压力测试。 主流的云服务提供商时常发布新的服务。一些诸如代码管理和监控的工具分别面向开发人员和运营支持。然而,这两种类型的工具对于测试云应用都非常有用。随着谷歌和微软不断推出额外的服务,考虑他们如何能帮助你的组织简化测试操作,提高报告结果的内容和质量。(www.dafan.org)
  • 发力存储业务,甲骨文的信心从何而来?

    lanws01(32112) 2015-08-14 17:25:43
    数据库 当谈论存储市场的时候,或许并不会有太多人想起甲骨文。但对于这家以数据库软件起家的IT厂商来说,与数据相关的业务都不会差到哪去,就比如他们的存储产 品线。的确,在收购了Sun微系统之后,甲骨文最主打的产品一直是集成系统,对存储提及并不多。事实上,他们在存储方面还是做了许多工作的,只不过宣传力 度不太大而已。而这种情况,从2016财年起将开始有所改变。 就在上个月初的战略发布会上,甲骨文定下了未来一年在中国的重点发展方向,其中存储业务成为重点发展对象之一。 面对竞争日益激烈的存储市场,甲骨文选择在这样一个时机发力,其背后究竟是出于何种考虑?甲骨文存储与其他竞争对手相比,究竟有哪些不同?面对这些问题, 甲骨文中国系统事业部销售顾问总监、中国系统事业部首席技术官肖淑男向记者进行了详尽的阐述。相信通过这篇文章,您会对甲骨文的存储战略有一个更为深入的 了解。 甲骨文为什么要做存储? 肖淑男对这个问题的回答很直接:一、存储市场非常大,甲骨文有理由去尝试;二、现有的存储厂商做的还不够完美,甲骨文希望通过自身的优势把存储做得更好。 那么在甲骨文的眼中,该如何定义一款好的存储产品?肖淑男表示,存储领域如今面临的一个主要挑战就是复杂性,而甲骨文存储要做的,就是把所有的简单性呈现 给用户,把所有的复杂性由自己来解决,即所谓的“大道至简”。 当然,大道至简听上去像是一个比较虚无缥缈的概念,而我们所关心的,是甲骨文如何将这个概念落到实处。对此肖淑男表示,甲骨文的做法是将软件与硬件充分结 合,让用户无须再去考虑硬件之间的兼容,以及软件到硬件安装时的各种调试和补丁。尽量让整个系统做到均衡,让软件与硬件系统的集成更加紧密。只有这样才能 够让系统的每一部分性能发挥到极致,并且互相配合得最默契。  甲骨文中国系统事业部销售顾问总监、中国系统事业部首席技术官肖淑男 再回到存储层面,要实现上述目标,甲骨文存储究竟能够亮出什么样的杀手锏?肖淑男表示,甲骨文一个非常独特的做法就是所谓的“应用感知”。要把每一个IOPS都转化成应用的性能,要把业务跟数据联系起来,要让热的业务和热的数据对应起来,这样整个系统才是良性的系统。 在肖淑男看来,如今市面上主流的存储产品所实现的都是非常基础的功能,这些功能甲骨文都有,都不是问题。而甲骨文要做的是让存储变得更加智能。“真正了解 应用,能够帮应用做事情才叫智能。同一个任务其他产品可能需要100个IOPS,而甲骨文存储只用10个IOPS就能解决。用更少的工作完成同样的任务, 这是我们要做的事情。”肖淑男说。  甲骨文存储都有哪些产品?  可以看出,甲骨文存储的一大特点就是针对自身软件的充分优化,比如Oracle数据库。如果采用甲骨文自己的存储产品,它的效率和简单性一定是最好的。而 甲骨文存储的定位并不仅仅是针对Oracle应用,而是要做通用的存储产品。肖淑男解释说,甲骨文存储不会只为自身软件去做,在其他的通用环境也是可以运 行的,只不过失去了存储对Oracle软件和集成系统优化的功能。  在通用存储方面,甲骨文的另外一个优势就是产品线非常完整。肖淑男介绍,甲骨文存储包含四大家族,从闪存、传统磁盘、SAN、NAS再到带库、备份一体机一应俱全: 甲骨文存储产品线 首先是Oracle FS1, 这是基于闪存的存储系统,是甲骨文首选的SAN存储解决方案。它针对闪存介质进行了优化,并且在设计中兼顾了Oracle软件。Oracle FS1闪存存储系统使用Quality of Service Plus(QoS Plus)特性将数据保存在闪存和磁盘存储中,根据使用配置文件和业务优先级最大限度地提高性能、提升效率和降低成本。Oracle FS1闪存存储系统为Oracle数据库和关键应用(包括Microsoft SharePoint和Exchange)提供经过调优的现成的存储供应配置文件,将应用集成存储提升至新的水平。利用Oracle FS1闪存存储系统,企业在整合存储的同时,可以实现企业计算或多租户环境中多种负载可预测的性能。 第二是Oracle ZFS, 这是Sun时代的明星存储产品,是甲骨文统一存储解决方案。Oracle ZFS是首款应用定制存储系统,不但使存储调优和数据生命周期管理实现自动化,还降低了容量需求和总体拥有成本。Oracle ZFS存储添加了许多针对Oracle环境的软件功能,包括动态数据库优化、混合列压缩等。  第三是Oracle零数据丢失恢复一体机(ZDLRA), 是甲骨文专门针对Oracle数据库备份与恢复的集成系统,主要用于关键数据库、大量数据库和大容量数据库。Oracle ZDLRA紧密集成了Oracle数据库和Recovery Manager(RMAN)备份工具中的特定新功能,可提供其他数据保护解决方案无法企及的数据保护功能和性能。  第四是Oracle StorageTek磁带存储系统, 它同样是从Sun时代延续下来的产品。StorageTek采用全球最高容量和最高性能的驱动器,其中包括全球首款EB级存储系统。它不但可提供24x7 的可用性,还可实现具有最高扩展能力的集成式分层存储环境,从而帮助企业缩短备份时间、最大化存档访问和降低总拥有成本。Oracle StorageTek 磁带库、磁带虚拟化、磁带机、磁带介质和磁带设备软件甲骨文磁带存储解决方案,它们作为分层存储解决方案的一部分完成各自的任务。除了磁带虚拟化和磁带加 密解决方案外,StorageTek SL 系列磁带库的规模从20到100,000插槽不等,既包括中等规模的磁带机,又包括企业级磁带机。(www.a6cn.net)