[编译阶段错误识别与修正 ]的搜索结果

...ephase。这个错误提示呢，常常会在我们动手操作某些特定的Maven生命周期阶段时蹦出来。那么，当我们遇到这个错误时，我们应该如何解决呢？本文将从多个角度进行探讨。 序号二：什么是 Maven 生命周期阶段 在了解 Invalidlifecyclephase 的解决方案之前，我们需要先理解什么是Maven生命周期阶段。Maven生命周期阶段，就像是项目成长的一串“小目标”，这一系列有条不紊的任务集合，从头到尾精心规划了项目的孕育期（构建）、磨炼期（测试），再到打包成形的成熟期。每一个阶段都环环相扣，共同推动项目步步向前，最终华丽蜕变。其实，你想想看，就像我们过日子一样，每个生命阶段都像是一场游戏关卡，每关都有它特定的小目标和需要完成的动作。比如说，小孩阶段的目标可能是学会走路、说话，青少年时期可能就是好好学习、探索自我，而到了成年阶段，又会变成找工作、组建家庭这些行为任务。所以呢，甭管哪个阶段，都是由一系列特别定制的任务步骤组成的，各有各的重点和行动轨迹。 例如，在Maven的默认生命周期中，包含了以下几个阶段： - clean：清除所有被依赖和编译过的文件。 - initialize：初始化项目信息。 - compile：编译源代码。 - test：运行测试。 - package：创建可分发的软件包。 - install：将项目安装到本地仓库。 - deploy：将项目部署到远程仓库。 序号三：Invalidlifecyclephase 的原因 那么，为什么会出现 Invalidlifecyclephase 这个错误呢？ 主要原因可能有以下几点： 1. 执行了不存在的生命周期阶段 如果我们在命令行中尝试执行一个并不存在的生命周期阶段，如 mvn invalidphase:do-something，就会抛出 Invalidlifecyclephase 错误。 2. 拼写错误或者大小写错误 如果我们在配置文件中指定了生命周期阶段的名称，并且拼写错误或大小写错误，也会导致 Invalidlifecyclephase 错误。 3. 不正确的生命周期顺序 如果你在生命周期配置中指定了不正确的顺序，也可能会导致这个问题。 4. Maven插件的问题 某些Maven插件可能会引发此问题，特别是那些不符合Maven规范的插件。 序号四：解决 Invalidlifecyclephase 的方法 知道了问题的原因之后，我们就可以采取相应的措施来解决问题了。 1. 确认生命周期阶段是否正确 首先，你需要确认你正在尝试执行的是一个有效的生命周期阶段。你可以在Maven的官方文档中查找所有的生命周期阶段及其对应的步骤。 2. 检查生命周期阶段的拼写和大小写 如果你在配置文件中指定了生命周期阶段的名称，并且拼写错误或大小写错误，你需要修正这些问题。 3. 确保生命周期顺序正确 在Maven的生命周期配置中，有一些阶段是必须按照特定的顺序执行的。你需要确保你的配置符合这些规则。 4. 检查Maven插件 如果你使用了某些Maven插件，并且发现它们引发了 Invalidlifecyclephase 错误，你可以尝试更新或禁用这些插件。 序号五：代码示例 下面是一个简单的Maven项目配置文件（pom.xml），其中包含了一些常见的生命周期阶段。 xml 4.0.0 com.example maven-lifecycle-example 1.0-SNAPSHOT org.apache.maven.plugins maven-clean-plugin 3.1.0 default-clean clean org.apache.maven.plugins maven-compiler-plugin 3.8.1 default-compile compile org.apache.maven.plugins maven-resources-plugin 3.1.0 default-resources resources org.apache.maven.plugins maven-test-plugin 3.1.0 default-test test org.apache.maven.plugins maven-package-plugin 3.1.0 default-package package org.apache.maven.plugins maven-install-plugin 3.0.0-M1 default-install install org.apache.maven.plugins maven-deploy-plugin 3.0.0-M1 default-deploy deploy 在这个例子中，我们定义了一系列的生命周期阶段，并为每一个阶段指定了具体的插件和目标。 序号六：总结 通过本文的学习，你应该对 Invalidlifecyclephase 有了更深入的理解。记住了啊，只要你严格按照Maven的那些最佳操作步骤来，并且仔仔细细地审查了你的配置设定，这个错误就能被你轻松躲过去。希望你在未来的开发工作中能够顺利地使用Maven！

...的数据对象，同时保证编译期的类型检查和运行时的类型安全。 类型参数 , 类型参数是Java泛型中的概念，它是一个占位符，代表某种未知的具体类型。在定义泛型类或泛型方法时使用，如<T>、<E>、<K>等，它们可以在整个类或方法的作用域内被当作已知类型来使用。在实例化泛型类或调用泛型方法时，类型参数会被实际的类类型所替换。 静态类型检查 , 静态类型检查是编程语言的一种特性，它在编译阶段就能对代码进行类型一致性验证。在Java泛型中，通过引入类型参数，编译器能在编译时确保传递给泛型方法或存储在泛型类中的对象与指定的类型参数匹配，如果类型不匹配，编译器将报错，从而提高了程序的健壮性和安全性。 类型安全 , 类型安全是指编程语言能够在编译期间或者运行期间确保变量、表达式以及方法调用具有正确的数据类型，并且不会发生非法类型转换导致的错误。在Java泛型中，通过类型擦除和类型参数机制，使得程序员在编写代码时必须明确指定类型，这有助于避免因为类型混淆引发的潜在问题，增强了程序的稳定性和可靠性。例如，通过泛型，集合类如ArrayList<T>只能存储T类型的元素，从而确保了集合内数据的一致性，提高了类型安全性。

...关系，并且能够自动化编译、测试等任务。不过在实际用起来的时候，有时候咱们也会遇到一些小插曲，比如说可能会碰到在命令行里设置了execution-id却不顶用的情况。 首先，我们需要了解什么是execution-id。在Maven的世界里，执行ID是个挺重要的角色，它就像个独一无二的小标签，专门用来标记和区分不同的生命周期阶段以及构建目标，让整个构建过程更有条不紊，更易于理解。当我们运行mvn命令时，如果不指定执行ID，则默认执行所有可用的目标。如果你想实现某个特定目标，有个小窍门儿，那就是使用-e这个参数，给它后面接上执行ID，这样就能对准目标精准执行啦！ 然而，即使我们指定了执行ID，有时候也会出现不生效的情况。这是因为Maven的执行ID实际上是由一系列的属性组成的，包括phase、goals、projects、activeProfiles等。当你在命令行里给Maven指定一个执行ID的时候，Maven这家伙就像个小侦探一样，会立刻行动起来，试图把这个ID给破译了，然后找到与之相对应的生命周期阶段和目标。不过呢，假如我们的ID跟Maven的规定对不上号，或者我们在配置文件里头没有把这几个属性整明白、定准确，那Maven就抓瞎了，识别不了这个ID，这样一来自然也就没法正常工作啦。 举个例子来说，假设我们有一个名为myproject的Maven项目，其中包含一个名为compile的目标。如果我们想要只执行这个目标，可以在命令行中输入以下命令： bash mvn compile -e 这将会运行compile阶段的所有目标，而不是整个生命周期中的所有目标。如果我们要运行特定的子目标，例如编译Java源代码，我们可以使用以下命令： bash mvn compile:sources -e 在这个命令中，compile是phase，sources是goals。这两个属性组合在一起，形成了完整的执行ID。 但是，如果我们尝试运行以下命令： bash mvn compile:sources:someOtherGoal -e 那么这个命令就会失败，因为Maven找不到名为someOtherGoal的目标。所以呢，咱们得保证咱这执行ID对得起Maven的规定，还有，那个配置文件也得乖乖地把所有必不可少的属性都给安排得明明白白才行。 总的来说，虽然Maven是一个强大而灵活的构建工具，但我们也需要花费一些时间和精力去理解和掌握它的特性。只有这样，我们才能充分利用Maven的优点，避免不必要的错误和困扰。

...际的编程实践中，C错误处理和调试技巧不仅限于上述常见的错误类型。随着.NET Core和C 9.0等新版本的发布，微软为开发者提供了更多强大的错误处理工具和机制，如Nullable Reference Types特性能够帮助开发者在编译阶段就识别出可能的空引用异常，极大地增强了代码健壮性。 近期，微软发布了.NET 6.0，引入了全局使用、默认启用的 nullable 约束功能，使得开发人员在设计API时能更清晰地表达参数和返回值是否允许为null，从而降低运行时因空引用引发的错误。同时，.NET 6.0中的Source Generators技术也能自动检测并生成代码以防止特定类型的错误发生。 此外，现代C编程中提倡采用异步编程模型（async/await），这可以有效避免同步操作带来的资源阻塞问题，减少潜在的运行时错误。然而，在异步编程中也可能出现Async void方法未捕获异常等问题，因此深入理解和合理应用异步编程原则至关重要。 综上所述，了解并掌握最新的语言特性和框架工具对于解决C编程中的错误具有现实意义和时效价值，同时也提醒广大开发者要持续学习和跟进技术发展趋势，以便在日常开发中更好地预防和应对各类错误，提升软件质量与稳定性。

...范围（这里是只在测试编译阶段使用）。'junit:junit:4.13'则是标准的Maven坐标格式，由groupId、artifactId和version三部分组成，分别代表组织名、模块名和版本号。 2. 不同依赖范围的选择 Gradle提供了多种依赖范围，以适应不同的应用场景： - implementation：这是最常用的配置，表示编译和运行时都依赖这个库，但不会传递给依赖该项目的其他模块。 - api：类似于implementation，但它的接口会暴露给依赖此项目的模块。 - compileOnly：仅在编译时需要此依赖，运行时不需要。 - runtimeOnly：仅在运行时需要此依赖，编译时不需要。 - testImplementation：只在测试编译和执行阶段需要此依赖。 根据实际需求选择合适的依赖范围，有助于提高构建效率和避免不必要的依赖冲突。 3. 多项目依赖与子项目引用 在大型多模块项目中，各个子项目间可能存在相互依赖关系。在Gradle中，可以这样声明子项目依赖： groovy dependencies { implementation project(':moduleA') } 这里的:moduleA代表项目中的子模块，Gradle会自动处理这些内部模块间的依赖关系。 4. 版本控制与动态版本 为了保持依赖库的更新，Gradle允许使用动态版本号，如1.+或latest.release等。不过，这种方法可能导致构建结果不一致，建议在生产环境中锁定具体版本。 groovy dependencies { implementation 'com.google.guava:guava:29.0-jre' // 或者使用动态版本 implementation 'com.squareup.retrofit2:retrofit:2.+' } 5. 总结与思考 理解并熟练掌握Gradle的依赖管理，就像掌握了项目构建过程中的关键钥匙。每一个正确的依赖声明，都是项目稳健运行的重要基石。在实际操作的时候，咱们不仅要瞅瞅怎么把依赖引入进来，更得留意如何给这些依赖设定合适的“地盘”，把握好更新和固定版本的时机，还有就是要妥善处理各个模块之间的“你离不开我、我离不开你”的依赖关系。这是一个不断探索和优化的过程，让我们共同在这个过程中享受Gradle带来的高效与便捷吧！

...以及其在排查代码逻辑错误中的关键作用后，我们还可以进一步探索如何更有效地利用编程语言特性确保代码质量。近期，Go团队持续对Go语言进行优化和更新，例如，在Go 1.18版本中引入的类型断言增强功能，使得开发者能够更加方便地处理接口类型的变量，并在运行时检查其实现的具体类型。 此外，软件工程社区对于程序正确性保障的研究也在不断深化。一种名为“形式化验证”的方法逐渐受到关注，它通过数学推理的方式来证明程序满足特定属性，从而避免逻辑错误。尽管形式化验证在实际应用中尚有一定门槛，但已经有如Facebook的Infer、微软的Z3等工具开始尝试将这一理念融入到日常开发流程中，辅助开发者在编译阶段就能发现潜在的逻辑问题。 同时，也值得推荐一篇来自《ACM通讯》的深度文章《Assertion-Based Debugging in Modern Software Development》，作者详细阐述了断言在现代软件开发调试过程中的价值，并结合实例探讨了如何根据项目特性和需求合理运用断言以提升代码健壮性。 综上所述，无论是紧跟Go语言新特性的发展，还是借鉴更为严谨的程序验证手段，都有助于我们在实践中更好地运用断言，乃至其他方法来规避逻辑错误，不断提升代码质量和可靠性。

...型特性，可以更好地在编译阶段预防空引用异常，从而减少运行时错误。 同时，对于并发控制和事务处理，.NET生态系统中的Dapper等轻量级ORM工具也提供了强大的支持，允许开发者在保证数据一致性和完整性的同时，优化数据库操作性能。 综上所述，在实际开发过程中，除了运用文中提及的基础策略解决SqlHelper类在插入数据时的问题外，还应紧跟技术发展潮流，采用最新的编程实践和技术手段，确保数据库操作的安全、高效和稳定。

...里，注解处理器就像是编译器的一个小帮手，专门用来处理代码里的那些特别标记（注解）。它们就像是程序里的小精灵，通过解读那些注解，变出额外的代码或者资源文件，让程序变得更强大。为了使这些处理器工作，我们需要确保它们被正确地识别和加载。而META-INF/services/javax.annotation.processing.Processor文件就是用来列出所有可用注解处理器的地方。这个文件一般会列出一个或多个处理器类的完整名字，就像是给编译器指路的路标，告诉它这些处理器在哪儿待着。 2. 探索解决方案 从配置到实践 2.1 检查依赖 最直接的方法是检查你的项目依赖。确保你把所有必需的库都加进去了，尤其是那些带有注解处理器的库。举个例子，如果你正在使用Lombok，那么你需要在你的build.gradle文件中添加对应的依赖： groovy dependencies { compileOnly 'org.projectlombok:lombok:1.18.24' annotationProcessor 'org.projectlombok:lombok:1.18.24' } 这里的关键在于同时添加compileOnly和annotationProcessor依赖，这样既可以避免在运行时出现类冲突，又能确保编译时能够找到所需的处理器。 2.2 配置Gradle插件 有时候，问题可能出在Gradle插件的配置上。确保你使用的是最新版本的Gradle插件，并且根据需要调整插件配置。例如，如果你使用的是Android插件，确保你的build.gradle文件中有类似这样的配置： groovy android { ... compileOptions { annotationProcessorOptions.includeCompileClasspath = true } } 这条配置确保了编译类路径中的注解处理器可以被正确地发现和应用。 2.3 手动指定处理器位置 如果上述方法都不能解决问题，你还可以尝试手动指定处理器的位置。这可以通过修改build.gradle文件来实现。例如： groovy tasks.withType(JavaCompile) { options.compilerArgs << "-processorpath" << configurations.annotationProcessorPath.asPath } 这段代码告诉编译器去特定路径寻找处理器，而不是默认路径。这样做的好处是你可以在不同环境中灵活地控制处理器的位置。 3. 实战演练 从错误走向成功 在这个过程中，我遇到了不少挑战。一开始，我还以为这只是个简单的依赖问题，结果越挖越深，才发现事情比我想象的要复杂多了。我渐渐明白，光是加个依赖可不够，还得琢磨插件版本啊、编译选项这些玩意儿，配置这事儿真没那么简单。这个过程让我深刻体会到了软件开发中的细节决定成败的道理。 经过一番探索后，我终于找到了解决问题的关键所在——正确配置注解处理器的路径。这样做不仅把眼前的问题搞定了，还让我以后遇到类似情况时心里有谱，知道该怎么应对了。 4. 总结与展望 总之，“Could not find 'META-INF/services/javax.annotation.processing.Processor'”是一个常见但又容易让人困惑的问题。读完这篇文章，我们知道了怎么通过检查依赖、配置Gradle插件，还有手动指定处理器路径等方法来搞定这个难题。虽然过程中遇到了不少挑战，但正是这些问题推动着我们不断学习和成长。 未来，我希望继续深入研究更多高级主题，比如如何优化构建流程、提升构建效率等。我觉得每次努力试一试，都能让我们变得更牛，也让咱们的项目变得更强更溜！希望我的分享能帮助你在面对类似问题时不再感到迷茫，而是充满信心地去解决问题！ --- 希望这篇文章除了提供解决问题的技术指导外，还能让你感受到作为开发者探索未知的乐趣。编程之路虽长，但每一步都值得珍惜。

...x”。这不仅仅是一句错误信息，它背后隐藏着项目配置中的某些细节问题。嘿，兄弟！这篇文章咱们要好好聊聊这个问题的来龙去脉，看看它到底是咋回事儿，还有怎么给它找个合适的解决办法。咱们不光是纸上谈兵，还要拿几个真实案例来给大家开开眼，让大伙儿能更直观地理解问题，知道遇到这种情况该怎么应对。总之，就是想让大家对这个问题有个全面的认识，也能在日常生活中用得上这招！ 二、错误解析 当我们遇到这样的错误时，通常意味着Maven在尝试执行某个构建目标（如clean, compile, test等）时，发现所使用的命令行参数或者配置文件中的语法存在错误。Maven是一个强大的依赖管理工具，其灵活性使得配置变得复杂，同时也增加了出错的可能性。 三、常见原因与排查步骤 1. 配置文件错误 检查pom.xml文件是否正确。错误可能出现在元素属性值、标签闭合、版本号、依赖关系等方面。 示例：错误的pom.xml配置可能导致无法识别的元素或属性。 xml com.example example-module unknown-version 这里，属性值未指定，导致Maven无法识别该版本信息。 2. 命令行参数错误 在执行Maven命令时输入的参数不正确或拼写错误。 示例：错误的命令行参数可能导致构建失败。 bash mvn compile -Dsome.property=wrong-value 这里的参数-Dsome.property=wrong-value中property的值可能与实际配置不匹配，导致Maven无法识别或处理。 3. 依赖冲突 多个版本的依赖包共存，且版本不兼容。 示例：两个依赖包同时声明了相同的类名或方法名，但版本不同，可能会引发编译错误。 xml org.example example-library 1.0.0 org.example example-library 1.0.1 四、解决方案与优化建议 1. 检查pom.xml文件 - 确保所有元素闭合、属性值正确。 - 使用IDE的自动完成功能或在线工具验证pom.xml的语法正确性。 2. 修正命令行参数 - 确认参数的拼写和格式正确。 - 使用Maven的help:effective-pom命令查看实际生效的pom.xml配置，确保与预期一致。 3. 解决依赖冲突 - 使用标签排除不必要的依赖。 - 更新或降级依赖版本以避免冲突。 - 使用Maven的dependency:tree命令查看依赖树，识别并解决潜在的冲突。 五、总结与反思 面对“Error:The project has a build goal with an invalid syntax”的挑战，关键在于细致地检查配置文件和构建命令，以及理解依赖关系。每一次遇到这样的错误，都是对Maven配置知识的深化学习机会。哎呀，你知道吗？就像你练习弹吉他一样，多用多练，咱们用Maven这个工具也能越来越顺手！它能帮咱们开发时节省不少时间，就像是有了个超级助手，能自动搞定那些繁琐的构建工作，让咱们的项目推进得飞快，没有那么多绊脚石挡道。是不是感觉挺酷的？咱们得好好加油，让这玩意儿成为咱们的拿手好戏！ 六、结语 Maven作为项目构建管理工具，虽然强大且灵活，但也伴随着一定的复杂性和挑战。嘿！兄弟，这篇文章就是想给你支点招儿，让你在开发过程中遇到问题时能更顺手地找到解决方法，让编程这个事儿变得不那么头疼，提升你的码农体验感。别再为那些小bug烦恼了，跟着我的节奏，咱们一起搞定代码里的小麻烦，让编程之路畅通无阻！嘿，兄弟！听好了，每当你碰上棘手的问题，那可是你升级技能、长本事的绝佳机会！别急，拿出点好奇心，再添点耐心，咱们一起动手，一步步地去解谜，去学习，去挑战。就像在探险一样，慢慢你会发现自己的开发者之路越走越宽广，越来越精彩！所以啊，别怕困难，它们都是你的成长伙伴，加油，咱们一起成为更棒的开发者吧！

...成？虚拟机又是如何去识别它的？这篇文章就来学习一下Class类文件的结构。 ps：我在面试蚂蚁的时候被问到过这个问题！你没看错，面试也有可能会问。 一、什么是Class文件 Class文件又称字节码文件，一种二进制文件，它是由某种语言经过编译而来，注意这里并不一定是Java语言，还有可能是Clojure、Groovy、JRuby、Jython、Scala等，Class文件运行在Java虚拟机上。Java虚拟机不与任何一种语言绑定，它只与Class文件这种特定的二进制文件格式所关联。 虚拟机具有语言无关性，它不关心Class文件的来源是何种语言，它只关心Class文件中的内容。Java语言中的各种变量、关键字和运算符号的语义最终都是由多条字节码命名组合而成的，因此字节码命令所能提供的语义描述能力比Java语言本身更加强大。 二、Class文件的结构 虚拟机可以接受任何语言编译而成的Class文件，因此也给虚拟机带来了安全隐患，为了提供语言无关性的功能就必须做好安全防备措施，避免危险有害的类文件载入到虚拟机中，对虚拟机造成损害。所以在类加载的第二大阶段就是验证，这一步工作是虚拟机安全防护的关键所在，其中检查的步骤就是对class文件按照《Java虚拟机规范》规定的内容来对其进行验证。 1.总体结构 Class文件是一组以8位字节为基础单位的二进制流，各个数据项目严格按照顺序紧凑地排列在Class文件之中，中间没有添加任何分隔符，Class文件中存储的内容几乎全部是程序运行的必要数据，没有空隙存在。当遇到需要占用8位字节以上空间的数据项时，就按照高位在前的方式分割成若干个8位字节进行存储。 Class文件格式采用类似于C语言结构体的伪结构来存储数据，这种伪结构只有两种数据类型：无符号数和表。 无符号数属于基本的数据类型，以u1、u2、u4、u8来分别代表1个字节、2个字节、4个字节、8个字节的无符号数，无符号数可以来描述数字、索引引用、数量值或者按照UTF-8编码构成字符串值。 表是由多个无符号数或者其他表作为数据项构成的复合数据类型，所有表都习惯性的以“_info”结尾。表用于描述有层次关系的复合结构的数据，整个Class文件本质上就是一张表，它的数据项构成如下图。 2.魔数（Magic Number） 每一个Class文件的头4个字节成为魔数（Magic Number），它的唯一作用是确定这个文件是否是一个能被虚拟机接收的Class文件。很多文件存储标准中都是用魔数来进行身份识别，比如gif、png、jpeg等都有魔数。使用魔数主要是来识别文件的格式，相比于通过文件后缀名识别，这种方式准确性更高，因为文件后缀名可以随便更改，但更改二进制文件内容的却很少。Class类文件的魔数是Oxcafebabe，cafe babe？咖啡宝贝？至于为什么是这个， 这个名字在java语言诞生之初就已经确定了，它象征着著名咖啡品牌Peet's Coffee中深受欢迎的Baristas咖啡，Java的商标logo也源于此。 3.文件版本（Version） 在魔数后面的4个字节就是Class文件的版本号，第5和第6个字节是次版本号（Minor Version），第7和第8个字节是主版本号（Major Version）。Java的版本号是从45开始的，JDK1.1之后的每个JDK大版本发布主版本号向上加1（JDK1.0~1.1使用的版本号是45.0~45.3），比如我这里是十六进制的Ox0034，也就是十进制的52，所以说明该class文件可以被JDK1.8及以上的虚拟机执行，否则低版本虚拟机执行会报java.lang.UnsupportedClassVersionError错误。 4.常量池（Constant Pool） 在主版本号紧接着的就是常量池的入口，它是Class文件结构中与其他项目关联最多的数据类型，也是占用空间最大的数据之一。常量池的容量由后2个字节指定，比如这里我的是Ox001d，即十进制的29，这就表示常量池中有29项常量，而常量池的索引是从1开始的，这一点需要特殊记忆，因为程序员习惯性的计数法是从0开始的，而这里不一样，所以我这里常量池的索引范围是1~29。设计者将第0项常量空出来是有目的的，这样可以满足后面某些指向常量池的索引值的数据在特定情况下需要表达“不引用任何一个常量池项目”的含义。 通过javap -v命令反编译出class文件之后，我们可以看到常量池的内容 常量池中主要存放两大类常量：字面量和符号引用。比如文本字符、声明为final的常量值就属于字面量，而符号引用则包含下面三类常量： 类和接口的全限名 字段的名称和描述符 方法的名称和描述符 在之前的文章（详谈类加载的全过程）中有详细讲到，在加载类过程的第二大阶段连接的第三个阶段解析的时候，会将常量池中的符号引用替换为直接引用。相信很多人在开始了解那里的时候也是一头雾水，作者我也是，当我了解到常量池的构成的时候才明白真正意思。Java代码在编译的时候，是在虚拟机加载Class文件的时候才会动态链接，也就是说Class文件中不会保存各个方法、字段的最终内存布局信息，因此这些字段、方法的符号引用不经过运行期转换的话无法获得真正的内存入口地址，也就无法直接被虚拟机使用。当虚拟机运行时，需要从常量池获得对应的符号引用，再在类创建时或运行时解析、翻译到具体的内存地址之中。 常量池中每一项常量都是一张表，这里我只找到了JDK1.7之前的常量池项目类型表，见下图。 常量池项目类型表： 常量池常量项的结构总表： 比如我这里测试的class文件第一项常量，它的标志位是Ox0a，即十进制10，即表示tag为10的常量项，查表发现是CONSTANT_Methodref_info类型，和上面反编译之后的到的第一个常量是一致的，Methodref表示类中方法的符号引用。查上面《常量池常量项的结构总表》可以看到Methodref中含有3个项目，第一个tag就是上述的Ox0a，那么第二个项目就是Ox0006，第三个项目就是Ox000f，分别指向的CONSTANT_Class_info索引项和CONSTANT_NameAndType_info索引项为6和15，那么反编译的结果该项常量指向的应该是6和15，查看上面反编译的图应证我们的推测是对的。后面的常量项就以此类推。 这里需要特殊说明一下utf8常量项的内容，这里我以第29项常量项解释，也就是最后一项常量项。查《常量池常量项的结构总表》可以看到utf8项有三个内容：tag、length、bytes。tag表示常量项类型，这里是Ox01，表示是CONSTANT_Utf8_info类型，紧接着的是长度length，这里是Ox0015，即十进制21，那么再紧接着的21个字节都表示该项常量项的具体内容。特别注意length表示的最大值是65535，所以Java程序中仅能接收小于等于64KB英文字符的变量和变量名，否则将无法编译。 5.访问标志（Access Flags） 在常量池结束后，紧接着的两个字节代表访问标志（Access Flags），该标志用于识别一些类或者接口层次的访问信息，其中包括：Class是类还是接口、是否定义为public、是否定义为abstract类型、类是否被声明为final等。 访问标志表 标志位一共有16个，但是并不是所有的都用到，上表只列举了其中8个，没有使用的标志位统统置为0，access_flags只有2个字节表示，但是有这么多标志位怎么计算而来的呢？它是由标志位为true的标志位值取或运算而来，比如这里我演示的class文件是一个类并且是public的，所以对应的ACC_PUBLIC和ACC_SIPER标志应该置为true，其余标志不满足则为false，那么access_flags的计算过程就是：Ox0001 | Ox0020 = Ox0021 篇幅原因，未完待续...... 参考文献：《深入理解Java虚拟机》 END 本篇文章为转载内容。原文链接：https://javar.blog.csdn.net/article/details/97532925。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...注可扩展性和可用性（错误隔离）。 “简单”并不“容易” 很多架构师都会常常提到保持简单，但是有时候我们会混淆简单和容易。简单和容易在英语里也是两个词“simple”和“easy”。 “Simple can be harder than complex: You have to work hard to get your thinking clean to make it simple. But it’s worth it in the end because once you get there, you can move mountains. To be truly simple, you have to go really deep.” –SteveJobs 真正的一些简单的方法其实来自于对问题和技术更深入的理解。这些方案往往不是容易获得的、表面上的方法。简单可以说蕴含着一种深入的技巧在其中。 下面我来举一个例子。 首先我们来回顾一下软件生命周期中各个阶段的成本消耗占比。以下是来一个知名统计机构的分析报告。我们可以看到占比最大的是维护部分，对于这一部分的简化将最具有全局意义。 我曾经开发过一个设备管理系统，移动运营商通过这个系统来管理移动设备，实现包括设备的自动注册、固件和软件的同步等管理功能。这些功能是通过一些管理系统与移动设备间的预定义的交互协议来完成的。 电信专家们会根据业务场景及需求来调整和新增这些交互协议。起初我们采用了一种容易实现的方式，即团队中的软件工程会根据电信专家的说明，将协议实现为对应代码。 之后我们很快发现这样的方式，让我们的工作变得没那么简单。 “I believe that the hardest part of software projects, the most common source of project failure, is communication with the customers and users of that software.” –Martin Fowler 正如软件开发大师 MartinFowler 提到的，“沟通”往往是导致软件项目失败的主要原因。前面这个项目最大的问题是在系统上线后的运行维护阶段，电信专家和开发工程师之间会不断就新的协议修改和增加进行持续的沟通，而他们的领域知识和词汇都有很大的差别，这会大大影响沟通的效率。因此这期间系统的运行维护（协议的修改）变得十分艰难，不仅协议更新上线时间慢，而且由于软件工程对于电信协议理解程度有限，很多问题都要在实际上线使用后才能被电信专家发现，导致了很多的交换和反复。 针对上面提到的问题，后来我们和电信专家一起设计了一种协议设计语言（并提供可视化的工具），这种设计语言使用的电信专家所熟悉的词汇。然后通过一个类似于编译器的程序将电信专家定义好的协议模型转换为内存中的 Java 结构。这样整个项目的运行和维护就变得简单高效了，省去了低效的交流和不准确人工转换。 我们可以看到一开始按电信专家的说明直接实现协议是更为容易的办法，但就整个软件生命周期来看却并不是一个简单高效的方法。 永远不要停止编码 架构师也是程序员，代码是软件的最终实现形态，停止编程会逐渐让你忘记作为程序员的感受，更重要的是忘记其中的“痛”，从而容易产生一些不切实际的设计。 大家可能听说过在 Amazon，高级副总裁级别的 Distinguish Engineer（如：James Gosling，Java 之父），他们每年的编码量也非常大，常在 10 万行以上。 风险优先 架构设计很重要的一点是识别可能存在的风险，尤其是非功能性需求实现的风险。因为这些风险往往没有功能性需求这么容易在初期被发现，但修正的代价通常要比修正功能性需求大非常多，甚至可能导致项目的失败，前面我们也提到了非功能性需求决定了架构，如数据一致性要求、响应延迟要求等。 我们应该通过原型或在早期的迭代中确认风险能够通过合理的架构得以解决。 绝对不要把风险放到最后，就算是一个项目要失败也要让它快速失败，这也是一种敏捷。 从“问题”开始，而不是“技术” 技术人员对于新技术的都有着一种与身俱来的激情，总是乐于去学习新技术，同时也更有激情去使用新技术。但是这也同样容易导致一个通病，就是“当我们有一个锤子的时候看什么都是钉子”，使用一些不适合的技术去解决手边的问题，常常会导致简单问题复杂化。 我曾经的一个团队维护过这样一个简单的服务，起初就是一个用 MySQL 作数据存储的简单服务，由团队的一个成员来开发和维护。后来，这位成员对当时新出的 DynamoDB 产生了兴趣，并学习了相关知识。 然后就发生下面这样的事： 用DynamoDB替换了MySQL。 很快发现DynamoDB并不能很好的支持事务特性，在当时只有一个性能极差的客户端类库来支持事物，由于采用客户端方式，引入了大量的额外交互，导致性能差别达7倍之多。这时候，这个同学就采用了当时在NoSQL领域广泛流行的最终一致技术，通过一个Pub-Sub消息队列来实现最终一致（即当某对象的值发生改变后会产生一个事件，然后关注这一改变的逻辑，就会订阅这个通知，并改变于其相关数据，从而实现不同数据的最终一致）。 接着由于DynamoDB无法提供SQL那样方便的查询机制，为了实现数据分析就又引入了EMR/MapReduceJob。 到此，大家可以看到实现一样的功能，但是复杂性大大增加，维护工作也由一个人变成了一个团队。 过度忙碌使你落后 对于 IT 人而言忙碌已成为了习惯，加班常挂在嘴边。“996”工作制似乎也变成了公司高效的标志。而事实上过度的忙碌使你落后。经常遇见一些朋友，在一个公司没日没夜的干了几年，没有留一点学习时间给自己。几年之后倒是对公司越来越“忠诚”了，但忙碌的工作同时也导致了没有时间更新知识，使得自己已经落后了，连跳槽的能力和勇气都失去了。 过度忙碌会导致没有时间学习和更新自己的知识，尤其在这个高速发展的时代。我在工作经历中发现过度繁忙通常会带来以下问题： 缺乏学习导致工作能力没有提升，而面对的问题却变得日益复杂。 技术和业务上没有更大的领先优势，只能被动紧紧追赶。试想一下，要是你都领先同行业五年了，还会在乎通过加班来早一个月发布吗？ 反过来上面这些问题会导致你更加繁忙，进而更没有时间提高自己的技术技能，很快就形成了一个恶性循环。 练过健身的朋友都知道，光靠锻炼是不行的，营养补充和锻炼同样重要。个人技术成长其实也一样，实践和学习是一样重要的，当你在一个领域工作了一段时间以后，工作对你而言就主要是实践了，随着你对该领域的熟悉，能学习的到技术会越来越少。所以每个技术人员都要保证充足的学习时间，否则很容易成为井底之蛙，从而陷入前面提到的恶性循环。 最后，以伟大诗人屈原的诗句和大家共勉：“路漫漫其修远兮，吾将上下而求索“。希望我们大家都可以不忘初心，保持匠心！ 作者简介： 蔡超，Mobvista 技术 VP 兼首席架构师，SpotMax 云服务创始人。拥有超过 15 年的软件开发经验，其中 9 年任世界级 IT 公司软件架构师/首席软件架构师。2017 年加入 Mobvista，任公司技术副总裁及首席架构师，领导公司的数字移动营销平台的开发，该平台完全建立于云计算技术之上，每天处理来自全球不同 region 的超过 600 亿次的请求。 在加入 Mobvista 之前，曾任亚马逊全球直运平台首席架构师，亚马逊（中国）首席架构师，曾领导了亚马逊的全球直运平台的开发，并领导中国团队通过 AI 及云计算技术为中国客户打造更好的本地体验；曾任 HP（中国）移动设备管理系统首席软件架构师，该系统曾是全球最大的无线设备管理系统（OMA DM）（客户包括中国移动，中国联通，中国电信等）；曾任北京天融信网络安全技术公司，首席软件架构师，领导开发的网络安全管理系统（TopAnalyzer）至今仍被政府重要部门及军队广为采用，该系统也曾成功应用于 2008 北京奥运，2010 上海世博等重要事件的网络安全防护。 本篇文章为转载内容。原文链接：https://blog.csdn.net/Honnyee/article/details/111896981。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...，后起之秀一定程度上修正了问题。 目前各种更优秀的远程控制和分享协议取代了VNC的位置，尽管例如苹果仍然系统內建VNC作为远程方式。但在非桌面领域，VNC还有我们想不到的重要性，比如工控领域需要远程屏幕传输的场景，这也是为什么这系列漏洞作者会关注这一块。 漏洞技术概况 Pavel总结到，在阶段漏洞挖掘中共上报11个漏洞。在披露邮件中描述了其中4个的技术细节，均在协议数据包处理代码中，漏洞类型古典，分别是全局缓冲区溢出、堆溢出和空指针解引用。其中缓冲区溢出类型漏洞可方便构造PoC，实现远程任意代码执行的漏洞利用。 漏洞本身原理简单，也并不是关键。以其中一个为例，Pavel在发现时负责任地向LibVNC作者提交了issue，并跟进漏洞修复过程；在第一次修复之后，复核并指出修复代码无效，给出了有效patch。这个过程是常规操作。 漏洞疑点 有意思的是，在漏洞披露邮件中，Pavel重点谈了自己对这系列漏洞的一些周边发现，也是这里提到的原因。其中，关于存在漏洞的代码，作者表述： 我最初认为，这些问题是libvnc开发者自己代码中的错误，但看起来并非如此。其中有一些（如CoRRE数据处理函数中的堆缓冲区溢出），出现在AT&T实验室1999年的代码中，而后被很多软件开发者原样复制（在Github上搜索一下HandleCoRREBPP函数，你就知道），LibVNC和TightVNC也是如此。 为了证实，翻阅了这部分代码，确实在其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...程习惯。mypy能在编译阶段发现类型错误，配合Python 3.6引入的类型注解特性，使得大型项目在复杂度不断增加的情况下仍能保持良好的可维护性。 总的来说，随着技术的不断演进，Python格式检查已从简单的语法错误检测发展到涵盖代码风格规范、代码质量评估、安全漏洞扫描及静态类型检查等多个维度，为提升Python项目的整体质量和开发效率提供了有力支撑。持续关注并掌握这些工具和技术的发展趋势，无疑将有助于广大Python开发者不断提升自身的专业技能和项目管理水平。

...ined，而不会抛出错误。例如，在使用可选链操作符的情况下，a?.x 如果a为undefined或null，那么整个表达式将直接返回undefined，而不会尝试访问a的x属性。 此外，TypeScript等强类型语言也在不断推动静态类型检查以预防运行时的undefined错误。通过类型注解，开发者可以在编译阶段就发现诸如a.x可能出现的undefined问题，从而提前进行修复。 同时，业界对于避免undefined错误也提出了诸多编程规范建议，如始终初始化变量、合理使用默认参数、以及在函数内部显式检查变量状态等。这些措施不仅有助于减少程序中的undefined异常，也能提升代码质量和维护性。 综上所述，随着JavaScript语言的发展和完善，开发者们有了更多策略和工具来应对和避免undefined带来的困扰，使得我们的代码更加健壮、可靠。

...3.0版本已进入预览阶段，官方针对静态资源处理进行了更多优化和增强，例如提供了更灵活的资源配置方式，使得开发者可以更加便捷地管理和部署静态资源。 同时，随着前端技术的发展，Webpack等模块打包工具在现代Web开发中的地位愈发重要。Spring Boot应用与Webpack集成时，通过配置正确的输出路径以及利用Spring资源处理器（Resource Handler），可实现对打包后的静态资源进行高效管理与服务，从而避免类似404错误的发生。 此外，对于企业级应用而言，云原生环境下的静态资源托管也是一个值得关注的话题。例如，阿里云、AWS等云服务商提供专门的对象存储服务（如OSS、S3），用于存放静态文件，并可通过CDN加速分发，极大地提升了用户访问速度及系统稳定性。在Spring Boot项目中整合此类服务，能够有效减轻服务器压力，提升应用性能，同时也符合微服务架构的设计理念。 总之，在实际开发过程中，不仅需要掌握基础的静态资源配置方法，更要关注业界前沿技术和最佳实践，结合自身项目需求适时引入，以确保应用程序的高效稳定运行。

...指定任意类型的数据，编译器会在编译时期确保类型的一致性，从而避免运行时期的ClassCastException错误。 泛型类型参数 , 在Java中，泛型类型参数是指在定义泛型类或方法时使用的未指定类型的占位符。例如，本文中的\ T\ 就是一个泛型类型参数，它表示某种未知的类型，并且在实例化泛型类时可以被替换为具体类型，如Integer、String等。通过这种方式，开发者可以在编译阶段就能捕获到可能出现的类型不匹配问题，提高代码的安全性和可读性。 类型擦除 , 虽然Java的泛型提供了编译时期的类型检查，但在运行时，Java虚拟机（JVM）并不知道泛型的具体类型，这是因为Java采用了类型擦除的概念。也就是说，Java泛型只存在于编译阶段，编译后的字节码中不会包含任何泛型信息，所有的类型参数都会被擦除并替换为它们的上限边界（默认是Object）。例如，在泛型类Example<T>中，无论T是什么类型，在运行时，其成员变量data将被视为Object类型。这种机制使得Java能够在保持向后兼容的同时实现泛型功能。

...明确的类型签名，使得编译器能在编译阶段就进行类型检查，从而有效预防运行时错误，提升代码质量。 近期，JavaScript社区的一些讨论热点也聚焦于如何更好地运用数据属性和访问器属性优化性能、改善内存管理以及实现更复杂的业务逻辑。例如，通过自定义访问器属性实现自动化的资源懒加载、状态管理等功能，成为许多库和框架设计的新趋势。 总之，理解并掌握数据属性和访问器属性是每一位JavaScript开发者必备的基础知识，而关注其在前沿技术领域及最新实践案例中的应用，则有助于我们不断提升技术水平，适应快速发展的前端开发环境。

...会遇到一个让人困扰的错误提示：“SyntaxError: missing '}' after argument list”。这个错误是JavaScript解析器在识别代码时发现函数参数列表后缺少闭合大括号（}）而抛出的。本文将通过实例解析、错误原因探讨和解决策略三个方面来帮助你理解和克服这个问题。 1. 错误实例分析 首先，让我们通过几个具体的代码示例来直观感受一下这个错误： javascript // 示例一：忘记在函数体结束时添加闭合大括号 function greet(name) { console.log("Hello, " + name); // 这里遗漏了闭合大括号 } greet("World"); // 运行这段代码将会抛出"SyntaxError: missing '}' after argument list" // 正确的写法应该是： function greet(name) { console.log("Hello, " + name); } // 注意这里加上了闭合的大括号 // 示例二：在匿名函数表达式中同样适用 let sayGoodbye = function(name) { console.log("Goodbye, " + name; }; sayGoodbye("Universe"); // 同样会抛出"SyntaxError: missing '}' after argument list" // 正确的写法应该是： let sayGoodbye = function(name) { console.log("Goodbye, " + name); }; // 匿名函数表达式结束后也需要闭合大括号 2. 错误原因深度解读 这个错误的核心在于JavaScript语法结构的要求。在JavaScript中，函数定义需要遵循特定的语法规则——每个函数声明或函数表达式都必须包含一个参数列表（可能为空）、一个表示函数体开始的左大括号({})以及一个表示函数体结束的右大括号(})。当解析器在扫描到函数参数列表后，如果没有找到预期的右大括号以启动函数体，就会抛出“SyntaxError: missing '}' after argument list”的错误。 3. 解决策略与预防措施 面对这种错误，我们的解决策略主要包括以下几点： 策略一：检查并补全缺失的大括号 仔细审查错误提示所在的函数定义区域，确保函数体已正确地用大括号包裹起来。 策略二：使用IDE或文本编辑器的自动格式化功能 现代IDE如VS Code、WebStorm等通常具备自动格式化代码的功能，它们能在很大程度上避免这类由于疏忽引起的语法错误。 策略三：提升编码规范意识 良好的编程习惯是避免此类错误的重要手段。例如，在定义完函数参数后立即输入左大括号开启函数体，并且在编写完函数体内容后及时补全右大括号。 策略四：利用linting工具进行静态代码检查 诸如ESLint这样的linting工具可以在开发过程中实时检测代码中的潜在问题，包括但不限于未闭合的大括号，从而帮助我们在早期阶段发现问题并修正。 总之，理解并掌握JavaScript的基础语法是避免“SyntaxError: missing '}' after argument list”这类错误的关键。当遇到这个问题时，咱们得稳住心态，像侦探一样抽丝剥茧地去查找原因。同时，千万不能忘了编码规范的重要性，它可是让咱们的代码变得更强壮、更易读、更好维护的大功臣啊！就像是给代码做保养，让它始终活力四溢，易于别人理解和接手。毕竟，无论多么复杂的程序，都是由一个个基础元素构建而成，只有根基稳固，才能高楼万丈。

...）来表示未知类型，编译器会在编译时根据传入的实际参数类型生成相应的特定版本函数。 模板具体化 , 在C++中，模板具体化是指将一个泛化的函数模板实例化为针对特定类型的特化版本的过程。编译器会根据函数调用时提供的实际类型信息，自动生成与该类型匹配的函数实现，或者开发者可以明确指定类型进行显式具体化。 泛型编程 , 泛型编程是一种编程范式，在C++中主要通过模板机制实现。它强调编写不依赖于特定数据类型的算法和数据结构，使得同一段代码能应用于多种数据类型，从而提高代码复用率和灵活性。例如，C++标准模板库(STL)中的容器类（如vector、list等）和算法（如sort、find等）都是泛型编程的应用实例。 模板元编程 , 模板元编程是C++中的一种高级技术，它利用模板系统在编译期间进行计算和逻辑推理，生成高效的运行时代码。模板元编程通常涉及模板递归、类型推导和模板特化等技术，能够在编译阶段确定并优化程序逻辑，尤其适用于那些需要在运行前就计算出结果或者构造复杂数据结构的情况。 C++概念（Concepts） , C++20引入的新特性，概念提供了一种在编译时验证模板参数是否满足特定要求的方法，增强了对模板类型约束的描述力和表达能力。通过定义和应用概念，开发人员可以更精确地控制模板的行为，并减少由于类型不匹配导致的编译错误，使得函数模板的使用更为安全且易于理解。

...数量一致，从而在开发阶段即能发现并修正这类问题。此外，结合使用MyBatis-Generator工具进行代码自动生成时，可以设置相关配置确保生成的Mapper接口方法参数与SQL映射文件严格对应，从源头上降低错误发生的概率。 同时，业界提倡的领域驱动设计（DDD）理念也提示我们，在模型设计和数据库操作逻辑封装层面应当遵循严谨的原则，如明确每个方法所需的业务参数，并通过清晰的方法签名体现出来。这不仅可以帮助防止参数缺失引发的异常，还有利于提升代码可读性和团队协作效率。 综上所述，除了基础的编码规范和单元测试之外，紧跟技术发展趋势，充分利用框架新特性以及先进的软件设计理念，也是我们在日常开发中有效规避StatementParameterIndexOutOfRange异常等类似问题的重要手段。

...，如数据显示不准确或错误。本文将探讨这些问题的原因，并提供相应的解决方案。 二、原因分析 1. 数据源问题 如果你的数据源有问题，那么你得到的结果也会出现问题。比如说，假如你数据源里的字段名和你在Kibana里设定的字段名对不上，或者数据源中的数据类型跟你在Kibana中配置的数据类型没能成功配对，那么你就很可能看到一些错误的结果出现。 2. Kibana配置问题 你的Kibana配置也可能导致结果出错。比如说，如果你没把时间字段整对，或者挑数据源的时候选岔了道，那么你得到的结果可能就得出岔子啦。 3. 数据质量问题 如果你的数据质量差，那么你得到的结果也会出现问题。比如，假如你的数据里头出现了一些空缺或者捣乱的异常值，那么你最后算出来的结果可能就跟真实情况对不上号啦。 三、解决策略 1. 检查数据源 首先，你需要检查你的数据源。千万要保证所有的字段名称都和你在Kibana里设定的对得上，同样地，每种数据类型也要跟你在Kibana中设置的严格匹配，一个都不能出错！如果有任何不一致的地方，你需要进行相应的修改。 2. 调整Kibana配置 其次，你需要调整你的Kibana配置。确保你已经正确地设置了时间字段，确保你已经选择了正确的数据源。如果有任何错误的地方，你需要进行相应的修正。 3. 提高数据质量 最后，你需要提高你的数据质量。嘿，你知道吗？如果在你的数据里头发现了空缺或者捣乱的异常值，你就得好好处理一下了。这一步可不能跳过，目的就是让你最后得出的结果能够真实反映出实际情况，一点儿都不带“水分”！ 四、实例解析 以下是一些在实际操作中可能出现的问题以及相应的解决方法： 1. 问题 数据显示不准确 解决方案：检查数据源，千万要保证所有的字段名称都和你在Kibana里设定的对得上，同样地，每种数据类型也要跟你在Kibana中设置的严格匹配，一个都不能出错！ 代码示例： javascript // 假设我们有一个名为"events"的数据源，其中有一个名为"time"的时间字段 var events = [ { time: "2021-01-01T00:00:00Z", value: 1 }, { time: "2021-01-02T00:00:00Z", value: 2 }, { time: "2021-01-03T00:00:00Z", value: 3 } ]; // 在Kibana中，我们需要将"time"字段设置为时间类型，将"value"字段设置为数值类型 KbnWidget.extend({ defaults: { type: 'chart', title: 'Events Over Time' }, init: function(params) { this.valueField = params.value_field || 'value'; this.timeField = params.time_field || 'time'; }, render: function() { return {renderChart(this.data)} ; }, data: function() { var events = this.state.events; return [{ key: 'data', values: events.map(function(event) { return [new Date(event[this.timeField]), event[this.valueField]]; }, this) }]; } }); 2. 问题 数据显示错误 解决方案：检查Kibana配置，确保你已经正确地设置了时间字段，确

...避免产生NaN或其他错误。 此外，一些现代的静态类型检查工具如TypeScript也提供了更为严格的变量初始化检查机制，能够在编译阶段就发现并提示未初始化变量的问题，从而提前预防运行时错误的发生。开发者在实际项目中积极采用这些新的编程实践和工具，不仅可以提升代码质量，还能减少由于未初始化变量引发的bug，提高软件整体的稳定性和可靠性。 同时，提倡良好的编程习惯，比如始终确保变量在使用前被正确初始化，并通过单元测试等手段验证代码逻辑的完备性，也是持续优化代码质量、降低潜在风险的关键措施。通过紧跟业界动态，学习并应用最新的编程规范与最佳实践，我们能够更好地驾驭JavaScript这类动态类型的编程语言，使其在保证灵活性的同时，也能兼顾到程序的安全和稳定性。