[JSON XML数据格式错误解决策略 ]的搜索结果

...tice公司及其收购数据库技术公司–StormDB的产品。Postgres-XL是一个横向扩展的开源数据库集群，具有足够的灵活性来处理不同的数据库任务。 Postgres-XL功能特性 开放源代码：（源协议使用宽松的“Mozilla Public License”许可，允许将开源代码与闭源代码混在一起使用。） 完全的ACID支持 可横向扩展的关系型数据库（RDBMS） 支持OLAP应用，采用MPP（Massively Parallel Processing：大规模并行处理系统）架构模式 支持OLTP应用，读写性能可扩展 集群级别的ACID特性 多租户安全 也可被用作分布式Key-Value存储 事务处理与数据分析处理混合型数据库 支持丰富的SQL语句类型，比如：关联子查询 支持绝大部分PostgreSQL的SQL语句 分布式多版本并发控制（MVCC：Multi-version Concurrency Control） 支持JSON和XML格式 Postgres-XL缺少的功能 内建的高可用机制 使用外部机制实现高可能，如：Corosync/Pacemaker 有未来功能提升的空间 增加节点/重新分片数据（re-shard）的简便性 数据重分布（redistribution）期间会锁表 可采用预分片（pre-shard）方式解决，在同台物理服务器上建立多个数据节点，每个节点存储一个数据分片。数据重分布时，将一些数据节点迁出即可 某些外键、唯一性约束功能 Postgres-XL架构 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-M9lFuEIP-1640133702200)(./assets/postgre-xl.jpg)] 基于开源项目Postgres-XC XL增加了MPP，允许数据节点间直接通讯，交换复杂跨节点关联查询相关数据信息，减少协调器负载。 多个协调器（Coordinator） 应用程序的数据库连入点 分析查询语句，生成执行计划 多个数据节点（DataNode） 实际的数据存储 数据自动打散分布到集群中各数据节点 本地执行查询 一个查询在所有相关节点上并行查询 全局事务管理器（GTM：Global Transaction Manager） 提供事务间一致性视图 部署GTM Proxy实例，以提高性能 Postgre-XL主要组件 GTM (Global Transaction Manager) - 全局事务管理器 GTM是Postgres-XL的一个关键组件，用于提供一致的事务管理和元组可见性控制。 GTM Standby GTM的备节点，在pgxc,pgxl中，GTM控制所有的全局事务分配，如果出现问题，就会导致整个集群不可用，为了增加可用性，增加该备用节点。当GTM出现问题时，GTM Standby可以升级为GTM，保证集群正常工作。 GTM-Proxy GTM需要与所有的Coordinators通信，为了降低压力，可以在每个Coordinator机器上部署一个GTM-Proxy。 Coordinator --协调器 协调器是应用程序到数据库的接口。它的作用类似于传统的PostgreSQL后台进程，但是协调器不存储任何实际数据。实际数据由数据节点存储。协调器接收SQL语句，根据需要获取全局事务Id和全局快照，确定涉及哪些数据节点，并要求它们执行(部分)语句。当向数据节点发出语句时，它与GXID和全局快照相关联，以便多版本并发控制(MVCC)属性扩展到集群范围。 Datanode --数据节点 用于实际存储数据。表可以分布在各个数据节点之间，也可以复制到所有数据节点。数据节点没有整个数据库的全局视图，它只负责本地存储的数据。接下来，协调器将检查传入语句，并制定子计划。然后，根据需要将这些数据连同GXID和全局快照一起传输到涉及的每个数据节点。数据节点可以在不同的会话中接收来自各个协调器的请求。但是，由于每个事务都是惟一标识的，并且与一致的(全局)快照相关联，所以每个数据节点都可以在其事务和快照上下文中正确执行。 Postgres-XL继承了PostgreSQL Postgres-XL是PostgreSQL的扩展并继承了其很多特性： 复杂查询 外键 触发器 视图 事务 MVCC(多版本控制) 此外，类似于PostgreSQL，用户可以通过多种方式扩展Postgres-XL，例如添加新的 数据类型 函数 操作 聚合函数 索引类型 过程语言 安装 环境说明 由于资源有限，gtm一台、另外两台身兼数职。 主机名 IP 角色 端口 nodename 数据目录 gtm 192.168.20.132 GTM 6666 gtm /nodes/gtm 协调器 5432 coord1 /nodes/coordinator xl1 192.168.20.133 数据节点 5433 node1 /nodes/pgdata gtm代理 6666 gtmpoxy01 /nodes/gtm_pxy1 协调器 5432 coord2 /nodes/coordinator xl2 192.168.20.134 数据节点 5433 node2 /nodes/pgdata gtm代理 6666 gtmpoxy02 /nodes/gtm_pxy2 要求 GNU make版本 3.8及以上版本 [root@pg ~] make --versionGNU Make 3.82Built for x86_64-redhat-linux-gnuCopyright (C) 2010 Free Software Foundation, Inc.License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law. 需安装GCC包 需安装tar包 用于解压缩文件 默认需要GNU Readline library 其作用是可以让psql命令行记住执行过的命令，并且可以通过键盘上下键切换命令。但是可以通过--without-readline禁用这个特性，或者可以指定--withlibedit-preferred选项来使用libedit 默认使用zlib压缩库 可通过--without-zlib选项来禁用 配置hosts 所有主机上都配置 [root@xl2 11] cat /etc/hosts127.0.0.1 localhost192.168.20.132 gtm192.168.20.133 xl1192.168.20.134 xl2 关闭防火墙、Selinux 所有主机都执行 关闭防火墙： [root@gtm ~] systemctl stop firewalld.service[root@gtm ~] systemctl disable firewalld.service selinux设置: [root@gtm ~]vim /etc/selinux/config 设置SELINUX=disabled，保存退出。 This file controls the state of SELinux on the system. SELINUX= can take one of these three values: enforcing - SELinux security policy is enforced. permissive - SELinux prints warnings instead of enforcing. disabled - No SELinux policy is loaded.SELINUX=disabled SELINUXTYPE= can take one of three two values: targeted - Targeted processes are protected, minimum - Modification of targeted policy. Only selected processes are protected. mls - Multi Level Security protection. 安装依赖包 所有主机上都执行 yum install -y flex bison readline-devel zlib-devel openjade docbook-style-dsssl gcc 创建用户 所有主机上都执行 [root@gtm ~] useradd postgres[root@gtm ~] passwd postgres[root@gtm ~] su - postgres[root@gtm ~] mkdir ~/.ssh[root@gtm ~] chmod 700 ~/.ssh 配置SSH免密登录 仅仅在gtm节点配置如下操作： [root@gtm ~] su - postgres[postgres@gtm ~] ssh-keygen -t rsa[postgres@gtm ~] cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys[postgres@gtm ~] chmod 600 ~/.ssh/authorized_keys 将刚生成的认证文件拷贝到xl1到xl2中，使得gtm节点可以免密码登录xl1~xl2的任意一个节点： [postgres@gtm ~] scp ~/.ssh/authorized_keys postgres@xl1:~/.ssh/[postgres@gtm ~] scp ~/.ssh/authorized_keys postgres@xl2:~/.ssh/ 对所有提示都不要输入，直接enter下一步。直到最后，因为第一次要求输入目标机器的用户密码，输入即可。 下载源码 下载地址：https://www.postgres-xl.org/download/ [root@slave ~] ll postgres-xl-10r1.1.tar.gz-rw-r--r-- 1 root root 28121666 May 30 05:21 postgres-xl-10r1.1.tar.gz 编译、安装Postgres-XL 所有节点都安装，编译需要一点时间，最好同时进行编译。 [root@slave ~] tar xvf postgres-xl-10r1.1.tar.gz[root@slave ~] ./configure --prefix=/home/postgres/pgxl/[root@slave ~] make[root@slave ~] make install[root@slave ~] cd contrib/ --安装必要的工具,在gtm节点上安装即可[root@slave ~] make[root@slave ~] make install 配置环境变量 所有节点都要配置 进入postgres用户，修改其环境变量，开始编辑 [root@gtm ~]su - postgres[postgres@gtm ~]vi .bashrc --不是.bash_profile 在打开的文件末尾，新增如下变量配置： export PGHOME=/home/postgres/pgxlexport LD_LIBRARY_PATH=$PGHOME/lib:$LD_LIBRARY_PATHexport PATH=$PGHOME/bin:$PATH 按住esc，然后输入:wq!保存退出。输入以下命令对更改重启生效。 [postgres@gtm ~] source .bashrc --不是.bash_profile 输入以下语句，如果输出变量结果，代表生效 [postgres@gtm ~] echo $PGHOME 应该输出/home/postgres/pgxl代表生效 配置集群 生成pgxc_ctl.conf配置文件 [postgres@gtm ~] pgxc_ctl prepare/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxl/pgxc_ctl/pgxc_ctl_bash.ERROR: File "/home/postgres/pgxl/pgxc_ctl/pgxc_ctl.conf" not found or not a regular file. No such file or directoryInstalling pgxc_ctl_bash script as /home/postgres/pgxl/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxl/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxl/pgxc_ctl --configuration /home/postgres/pgxl/pgxc_ctl/pgxc_ctl.confFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxl/pgxc_ctl 配置pgxc_ctl.conf 新建/home/postgres/pgxc_ctl/pgxc_ctl.conf文件，编辑如下： 对着模板文件一个一个修改，否则会造成初始化过程出现各种神奇问题。 pgxcInstallDir=$PGHOMEpgxlDATA=$PGHOME/data pgxcOwner=postgres---- GTM Master -----------------------------------------gtmName=gtmgtmMasterServer=gtmgtmMasterPort=6666gtmMasterDir=$pgxlDATA/nodes/gtmgtmSlave=y Specify y if you configure GTM Slave. Otherwise, GTM slave will not be configured and all the following variables will be reset.gtmSlaveName=gtmSlavegtmSlaveServer=gtm value none means GTM slave is not available. Give none if you don't configure GTM Slave.gtmSlavePort=20001 Not used if you don't configure GTM slave.gtmSlaveDir=$pgxlDATA/nodes/gtmSlave Not used if you don't configure GTM slave.---- GTM-Proxy Master -------gtmProxyDir=$pgxlDATA/nodes/gtm_proxygtmProxy=y gtmProxyNames=(gtm_pxy1 gtm_pxy2) gtmProxyServers=(xl1 xl2) gtmProxyPorts=(6666 6666) gtmProxyDirs=($gtmProxyDir $gtmProxyDir) ---- Coordinators ---------coordMasterDir=$pgxlDATA/nodes/coordcoordNames=(coord1 coord2) coordPorts=(5432 5432) poolerPorts=(6667 6667) coordPgHbaEntries=(0.0.0.0/0)coordMasterServers=(xl1 xl2) coordMasterDirs=($coordMasterDir $coordMasterDir)coordMaxWALsernder=0 没设置备份节点，设置为0coordMaxWALSenders=($coordMaxWALsernder $coordMaxWALsernder) 数量保持和coordMasterServers一致coordSlave=n---- Datanodes ----------datanodeMasterDir=$pgxlDATA/nodes/dn_masterprimaryDatanode=xl1 主数据节点datanodeNames=(node1 node2)datanodePorts=(5433 5433) datanodePoolerPorts=(6668 6668) datanodePgHbaEntries=(0.0.0.0/0)datanodeMasterServers=(xl1 xl2)datanodeMasterDirs=($datanodeMasterDir $datanodeMasterDir)datanodeMaxWalSender=4datanodeMaxWALSenders=($datanodeMaxWalSender $datanodeMaxWalSender) 集群初始化，启动，停止 初始化 pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf init all 输出结果： /bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlStopping all the coordinator masters.Stopping coordinator master coord1.Stopping coordinator master coord2.pg_ctl: directory "/home/postgres/pgxc/nodes/coord/coord1" does not existpg_ctl: directory "/home/postgres/pgxc/nodes/coord/coord2" does not existDone.Stopping all the datanode masters.Stopping datanode master datanode1.Stopping datanode master datanode2.pg_ctl: PID file "/home/postgres/pgxc/nodes/datanode/datanode1/postmaster.pid" does not existIs server running?Done.Stop GTM masterwaiting for server to shut down.... doneserver stopped[postgres@gtm ~]$ echo $PGHOME/home/postgres/pgxl[postgres@gtm ~]$ ll /home/postgres/pgxl/pgxc/nodes/gtm/gtm.^C[postgres@gtm ~]$ pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf init all/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlInitialize GTM masterERROR: target directory (/home/postgres/pgxc/nodes/gtm) exists and not empty. Skip GTM initilializationDone.Start GTM masterserver startingInitialize all the coordinator masters.Initialize coordinator master coord1.ERROR: target coordinator master coord1 is running now. Skip initilialization.Initialize coordinator master coord2.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/coord/coord2 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.Done.Starting coordinator master.Starting coordinator master coord1ERROR: target coordinator master coord1 is already running now. Skip initialization.Starting coordinator master coord22019-05-30 21:09:25.562 EDT [2148] LOG: listening on IPv4 address "0.0.0.0", port 54322019-05-30 21:09:25.562 EDT [2148] LOG: listening on IPv6 address "::", port 54322019-05-30 21:09:25.563 EDT [2148] LOG: listening on Unix socket "/tmp/.s.PGSQL.5432"2019-05-30 21:09:25.601 EDT [2149] LOG: database system was shut down at 2019-05-30 21:09:22 EDT2019-05-30 21:09:25.605 EDT [2148] LOG: database system is ready to accept connections2019-05-30 21:09:25.612 EDT [2156] LOG: cluster monitor startedDone.Initialize all the datanode masters.Initialize the datanode master datanode1.Initialize the datanode master datanode2.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/datanode/datanode1 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/datanode/datanode2 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.Done.Starting all the datanode masters.Starting datanode master datanode1.WARNING: datanode master datanode1 is running now. Skipping.Starting datanode master datanode2.2019-05-30 21:09:33.352 EDT [2404] LOG: listening on IPv4 address "0.0.0.0", port 154322019-05-30 21:09:33.352 EDT [2404] LOG: listening on IPv6 address "::", port 154322019-05-30 21:09:33.355 EDT [2404] LOG: listening on Unix socket "/tmp/.s.PGSQL.15432"2019-05-30 21:09:33.392 EDT [2404] LOG: redirecting log output to logging collector process2019-05-30 21:09:33.392 EDT [2404] HINT: Future log output will appear in directory "pg_log".Done.psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"Done.psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"Done.[postgres@gtm ~]$ pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf stop all/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlStopping all the coordinator masters.Stopping coordinator master coord1.Stopping coordinator master coord2.pg_ctl: directory "/home/postgres/pgxc/nodes/coord/coord1" does not existDone.Stopping all the datanode masters.Stopping datanode master datanode1.Stopping datanode master datanode2.pg_ctl: PID file "/home/postgres/pgxc/nodes/datanode/datanode1/postmaster.pid" does not existIs server running?Done.Stop GTM masterwaiting for server to shut down.... doneserver stopped[postgres@gtm ~]$ pgxc_ctl/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlPGXC monitor allNot running: gtm masterRunning: coordinator master coord1Not running: coordinator master coord2Running: datanode master datanode1Not running: datanode master datanode2PGXC stop coordinator master coord1Stopping coordinator master coord1.pg_ctl: directory "/home/postgres/pgxc/nodes/coord/coord1" does not existDone.PGXC stop datanode master datanode1Stopping datanode master datanode1.pg_ctl: PID file "/home/postgres/pgxc/nodes/datanode/datanode1/postmaster.pid" does not existIs server running?Done.PGXC monitor allNot running: gtm masterRunning: coordinator master coord1Not running: coordinator master coord2Running: datanode master datanode1Not running: datanode master datanode2PGXC monitor allNot running: gtm masterNot running: coordinator master coord1Not running: coordinator master coord2Not running: datanode master datanode1Not running: datanode master datanode2PGXC exit[postgres@gtm ~]$ pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf init all/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlInitialize GTM masterERROR: target directory (/home/postgres/pgxc/nodes/gtm) exists and not empty. Skip GTM initilializationDone.Start GTM masterserver startingInitialize all the coordinator masters.Initialize coordinator master coord1.Initialize coordinator master coord2.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/coord/coord1 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/coord/coord2 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.Done.Starting coordinator master.Starting coordinator master coord1Starting coordinator master coord22019-05-30 21:13:03.998 EDT [25137] LOG: listening on IPv4 address "0.0.0.0", port 54322019-05-30 21:13:03.998 EDT [25137] LOG: listening on IPv6 address "::", port 54322019-05-30 21:13:04.000 EDT [25137] LOG: listening on Unix socket "/tmp/.s.PGSQL.5432"2019-05-30 21:13:04.038 EDT [25138] LOG: database system was shut down at 2019-05-30 21:13:00 EDT2019-05-30 21:13:04.042 EDT [25137] LOG: database system is ready to accept connections2019-05-30 21:13:04.049 EDT [25145] LOG: cluster monitor started2019-05-30 21:13:04.020 EDT [2730] LOG: listening on IPv4 address "0.0.0.0", port 54322019-05-30 21:13:04.020 EDT [2730] LOG: listening on IPv6 address "::", port 54322019-05-30 21:13:04.021 EDT [2730] LOG: listening on Unix socket "/tmp/.s.PGSQL.5432"2019-05-30 21:13:04.057 EDT [2731] LOG: database system was shut down at 2019-05-30 21:13:00 EDT2019-05-30 21:13:04.061 EDT [2730] LOG: database system is ready to accept connections2019-05-30 21:13:04.062 EDT [2738] LOG: cluster monitor startedDone.Initialize all the datanode masters.Initialize the datanode master datanode1.Initialize the datanode master datanode2.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/datanode/datanode1 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.The files belonging to this database system will be owned by user "postgres".This user must also own the server process.The database cluster will be initialized with locale "en_US.UTF-8".The default database encoding has accordingly been set to "UTF8".The default text search configuration will be set to "english".Data page checksums are disabled.fixing permissions on existing directory /home/postgres/pgxc/nodes/datanode/datanode2 ... okcreating subdirectories ... okselecting default max_connections ... 100selecting default shared_buffers ... 128MBselecting dynamic shared memory implementation ... posixcreating configuration files ... okrunning bootstrap script ... okperforming post-bootstrap initialization ... creating cluster information ... oksyncing data to disk ... okfreezing database template0 ... okfreezing database template1 ... okfreezing database postgres ... okWARNING: enabling "trust" authentication for local connectionsYou can change this by editing pg_hba.conf or using the option -A, or--auth-local and --auth-host, the next time you run initdb.Success.Done.Starting all the datanode masters.Starting datanode master datanode1.Starting datanode master datanode2.2019-05-30 21:13:12.077 EDT [25392] LOG: listening on IPv4 address "0.0.0.0", port 154322019-05-30 21:13:12.077 EDT [25392] LOG: listening on IPv6 address "::", port 154322019-05-30 21:13:12.079 EDT [25392] LOG: listening on Unix socket "/tmp/.s.PGSQL.15432"2019-05-30 21:13:12.114 EDT [25392] LOG: redirecting log output to logging collector process2019-05-30 21:13:12.114 EDT [25392] HINT: Future log output will appear in directory "pg_log".2019-05-30 21:13:12.079 EDT [2985] LOG: listening on IPv4 address "0.0.0.0", port 154322019-05-30 21:13:12.079 EDT [2985] LOG: listening on IPv6 address "::", port 154322019-05-30 21:13:12.081 EDT [2985] LOG: listening on Unix socket "/tmp/.s.PGSQL.15432"2019-05-30 21:13:12.117 EDT [2985] LOG: redirecting log output to logging collector process2019-05-30 21:13:12.117 EDT [2985] HINT: Future log output will appear in directory "pg_log".Done.psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"Done.psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"psql: FATAL: no pg_hba.conf entry for host "192.168.20.132", user "postgres", database "postgres"Done. 启动 pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf start all 关闭 pgxc_ctl -c /home/postgres/pgxc_ctl/pgxc_ctl.conf stop all 查看集群状态 [postgres@gtm ~]$ pgxc_ctl monitor all/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.conf/home/postgres/pgxc_ctl/pgxc_ctl.conf: line 189: $coordExtraConfig: ambiguous redirectFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlRunning: gtm masterRunning: coordinator master coord1Running: coordinator master coord2Running: datanode master datanode1Running: datanode master datanode2 配置集群信息 分别在数据节点、协调器节点上分别执行以下命令： 注：本节点只执行修改操作即可(alert node)，其他节点执行创建命令(create node)。因为本节点已经包含本节点的信息。 create node coord1 with (type=coordinator,host=xl1, port=5432);create node coord2 with (type=coordinator,host=xl2, port=5432);alter node coord1 with (type=coordinator,host=xl1, port=5432);alter node coord2 with (type=coordinator,host=xl2, port=5432);create node datanode1 with (type=datanode, host=xl1,port=15432,primary=true,PREFERRED);create node datanode2 with (type=datanode, host=xl2,port=15432);alter node datanode1 with (type=datanode, host=xl1,port=15432,primary=true,PREFERRED);alter node datanode2 with (type=datanode, host=xl2,port=15432);select pgxc_pool_reload(); 分别登陆数据节点、协调器节点验证 postgres= select from pgxc_node;node_name | node_type | node_port | node_host | nodeis_primary | nodeis_preferred | node_id-----------+-----------+-----------+-----------+----------------+------------------+-------------coord1 | C | 5432 | xl1 | f | f | 1885696643coord2 | C | 5432 | xl2 | f | f | -1197102633datanode2 | D | 15432 | xl2 | f | f | -905831925datanode1 | D | 15432 | xl1 | t | f | 888802358(4 rows) 测试 插入数据 在数据节点1，执行相关操作。 通过协调器端口登录PG [postgres@xl1 ~]$ psql -p 5432psql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= create database lei;CREATE DATABASEpostgres= \c lei;You are now connected to database "lei" as user "postgres".lei= create table test1(id int,name text);CREATE TABLElei= insert into test1(id,name) select generate_series(1,8),'测试';INSERT 0 8lei= select from test1;id | name----+------1 | 测试2 | 测试5 | 测试6 | 测试8 | 测试3 | 测试4 | 测试7 | 测试(8 rows) 注：默认创建的表为分布式表，也就是每个数据节点值存储表的部分数据。关于表类型具体说明，下面有说明。 通过15432端口登录数据节点，查看数据 有5条数据 [postgres@xl1 ~]$ psql -p 15432psql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= \c lei;You are now connected to database "lei" as user "postgres".lei= select from test1;id | name----+------1 | 测试2 | 测试5 | 测试6 | 测试8 | 测试(5 rows) 登录到节点2，查看数据 有3条数据 [postgres@xl2 ~]$ psql -p15432psql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= \c lei;You are now connected to database "lei" as user "postgres".lei= select from test1;id | name----+------3 | 测试4 | 测试7 | 测试(3 rows) 两个节点的数据加起来整个8条，没有问题。 至此Postgre-XL集群搭建完成。 创建数据库、表时可能会出现以下错误： ERROR: Failed to get pooled connections 是因为pg_hba.conf配置不对，所有节点加上host all all 192.168.20.0/0 trust并重启集群即可。 ERROR: No Datanode defined in cluster 首先确认是否创建了数据节点，也就是create node相关的命令。如果创建了则执行select pgxc_pool_reload();使其生效即可。 集群管理与应用 表类型说明 REPLICATION表：各个datanode节点中，表的数据完全相同，也就是说，插入数据时，会分别在每个datanode节点插入相同数据。读数据时，只需要读任意一个datanode节点上的数据。 建表语法： CREATE TABLE repltab (col1 int, col2 int) DISTRIBUTE BY REPLICATION; DISTRIBUTE ：会将插入的数据，按照拆分规则，分配到不同的datanode节点中存储，也就是sharding技术。每个datanode节点只保存了部分数据，通过coordinate节点可以查询完整的数据视图。 CREATE TABLE disttab(col1 int, col2 int, col3 text) DISTRIBUTE BY HASH(col1); 模拟数据插入 任意登录一个coordinate节点进行建表操作 [postgres@gtm ~]$ psql -h xl1 -p 5432 -U postgrespostgres= INSERT INTO disttab SELECT generate_series(1,100), generate_series(101, 200), 'foo';INSERT 0 100postgres= INSERT INTO repltab SELECT generate_series(1,100), generate_series(101, 200);INSERT 0 100 查看数据分布结果： DISTRIBUTE表分布结果 postgres= SELECT xc_node_id, count() FROM disttab GROUP BY xc_node_id;xc_node_id | count ------------+-------1148549230 | 42-927910690 | 58(2 rows) REPLICATION表分布结果 postgres= SELECT count() FROM repltab;count -------100(1 row) 查看另一个datanode2中repltab表结果 [postgres@datanode2 pgxl9.5]$ psql -p 15432psql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= SELECT count() FROM repltab;count -------100(1 row) 结论：REPLICATION表中，datanode1,datanode2中表是全部数据，一模一样。而DISTRIBUTE表，数据散落近乎平均分配到了datanode1,datanode2节点中。 新增数据节点与数据重分布 在线新增节点、并重新分布数据。 新增datanode节点 在gtm集群管理节点上执行pgxc_ctl命令 [postgres@gtm ~]$ pgxc_ctl/bin/bashInstalling pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Installing pgxc_ctl_bash script as /home/postgres/pgxc_ctl/pgxc_ctl_bash.Reading configuration using /home/postgres/pgxc_ctl/pgxc_ctl_bash --home /home/postgres/pgxc_ctl --configuration /home/postgres/pgxc_ctl/pgxc_ctl.confFinished reading configuration. PGXC_CTL START Current directory: /home/postgres/pgxc_ctlPGXC 在服务器xl3上，新增一个master角色的datanode节点，名称是datanode3 端口号暂定5430，pool master暂定6669 ，指定好数据目录位置，从两个节点升级到3个节点，之后要写3个none none应该是datanodeSpecificExtraConfig或者datanodeSpecificExtraPgHba配置PGXC add datanode master datanode3 xl3 15432 6671 /home/postgres/pgxc/nodes/datanode/datanode3 none none none 等待新增完成后，查询集群节点状态： postgres= select from pgxc_node;node_name | node_type | node_port | node_host | nodeis_primary | nodeis_preferred | node_id-----------+-----------+-----------+-----------+----------------+------------------+-------------datanode1 | D | 15432 | xl1 | t | f | 888802358datanode2 | D | 15432 | xl2 | f | f | -905831925datanode3 | D | 15432 | xl3 | f | f | -705831925coord1 | C | 5432 | xl1 | f | f | 1885696643coord2 | C | 5432 | xl2 | f | f | -1197102633(4 rows) 节点新增完毕 数据重新分布 由于新增节点后无法自动完成数据重新分布，需要手动操作。 DISTRIBUTE表分布在了node1,node2节点上，如下： postgres= SELECT xc_node_id, count() FROM disttab GROUP BY xc_node_id;xc_node_id | count ------------+-------1148549230 | 42-927910690 | 58(2 rows) 新增一个节点后，将sharding表数据重新分配到三个节点上，将repl表复制到新节点 重分布sharding表postgres= ALTER TABLE disttab ADD NODE (datanode3);ALTER TABLE 复制数据到新节点postgres= ALTER TABLE repltab ADD NODE (datanode3);ALTER TABLE 查看新的数据分布： postgres= SELECT xc_node_id, count() FROM disttab GROUP BY xc_node_id;xc_node_id | count ------------+--------700122826 | 36-927910690 | 321148549230 | 32(3 rows) 登录datanode3(新增的时候，放在了xl3服务器上，端口15432)节点查看数据： [postgres@gtm ~]$ psql -h xl3 -p 15432 -U postgrespsql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= select count() from repltab;count -------100(1 row) 很明显,通过 ALTER TABLE tt ADD NODE (dn)命令，可以将DISTRIBUTE表数据重新分布到新节点，重分布过程中会中断所有事务。可以将REPLICATION表数据复制到新节点。 从datanode节点中回收数据 postgres= ALTER TABLE disttab DELETE NODE (datanode3);ALTER TABLEpostgres= ALTER TABLE repltab DELETE NODE (datanode3);ALTER TABLE 删除数据节点 Postgresql-XL并没有检查将被删除的datanode节点是否有replicated/distributed表的数据，为了数据安全，在删除之前需要检查下被删除节点上的数据，有数据的话，要回收掉分配到其他节点，然后才能安全删除。删除数据节点分为四步骤： 1.查询要删除节点dn3的oid postgres= SELECT oid, FROM pgxc_node;oid | node_name | node_type | node_port | node_host | nodeis_primary | nodeis_preferred | node_id -------+-----------+-----------+-----------+-----------+----------------+------------------+-------------11819 | coord1 | C | 5432 | datanode1 | f | f | 188569664316384 | coord2 | C | 5432 | datanode2 | f | f | -119710263316385 | node1 | D | 5433 | datanode1 | f | t | 114854923016386 | node2 | D | 5433 | datanode2 | f | f | -92791069016397 | dn3 | D | 5430 | datanode1 | f | f | -700122826(5 rows) 2.查询dn3对应的oid中是否有数据 testdb= SELECT FROM pgxc_class WHERE nodeoids::integer[] @> ARRAY[16397];pcrelid | pclocatortype | pcattnum | pchashalgorithm | pchashbuckets | nodeoids ---------+---------------+----------+-----------------+---------------+-------------------16388 | H | 1 | 1 | 4096 | 16397 16385 1638616394 | R | 0 | 0 | 0 | 16397 16385 16386(2 rows) 3.有数据的先回收数据 postgres= ALTER TABLE disttab DELETE NODE (dn3);ALTER TABLEpostgres= ALTER TABLE repltab DELETE NODE (dn3);ALTER TABLEpostgres= SELECT FROM pgxc_class WHERE nodeoids::integer[] @> ARRAY[16397];pcrelid | pclocatortype | pcattnum | pchashalgorithm | pchashbuckets | nodeoids ---------+---------------+----------+-----------------+---------------+----------(0 rows) 4.安全删除dn3 PGXC$ remove datanode master dn3 clean 故障节点FAILOVER 1.查看当前集群状态 [postgres@gtm ~]$ psql -h xl1 -p 5432psql (PGXL 10r1.1, based on PG 10.6 (Postgres-XL 10r1.1))Type "help" for help.postgres= SELECT oid, FROM pgxc_node;oid | node_name | node_type | node_port | node_host | nodeis_primary | nodeis_preferred | node_id-------+-----------+-----------+-----------+-----------+----------------+------------------+-------------11739 | coord1 | C | 5432 | xl1 | f | f | 188569664316384 | coord2 | C | 5432 | xl2 | f | f | -119710263316387 | datanode2 | D | 15432 | xl2 | f | f | -90583192516388 | datanode1 | D | 15432 | xl1 | t | t | 888802358(4 rows) 2.模拟datanode1节点故障 直接关闭即可 PGXC stop -m immediate datanode master datanode1Stopping datanode master datanode1.Done. 3.测试查询 只要查询涉及到datanode1上的数据，那么该查询就会报错 postgres= SELECT xc_node_id, count() FROM disttab GROUP BY xc_node_id;WARNING: failed to receive file descriptors for connectionsERROR: Failed to get pooled connectionsHINT: This may happen because one or more nodes are currently unreachable, either because of node or network failure.Its also possible that the target node may have hit the connection limit or the pooler is configured with low connections.Please check if all nodes are running fine and also review max_connections and max_pool_size configuration parameterspostgres= SELECT xc_node_id, FROM disttab WHERE col1 = 3;xc_node_id | col1 | col2 | col3------------+------+------+-------905831925 | 3 | 103 | foo(1 row) 测试发现，查询范围如果涉及到故障的node1节点，会报错，而查询的数据范围不在node1上的话，仍然可以查询。 4.手动切换 要想切换，必须要提前配置slave节点。 PGXC$ failover datanode node1 切换完成后，查询集群 postgres= SELECT oid, FROM pgxc_node;oid | node_name | node_type | node_port | node_host | nodeis_primary | nodeis_preferred | node_id -------+-----------+-----------+-----------+-----------+----------------+------------------+-------------11819 | coord1 | C | 5432 | datanode1 | f | f | 188569664316384 | coord2 | C | 5432 | datanode2 | f | f | -119710263316386 | node2 | D | 15432 | datanode2 | f | f | -92791069016385 | node1 | D | 15433 | datanode2 | f | t | 1148549230(4 rows) 发现datanode1节点的ip和端口都已经替换为配置的slave了。 本篇文章为转载内容。原文链接：https://blog.csdn.net/qianglei6077/article/details/94379331。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...业内一线玩家对问题、解决方案实体化的思路（参见：篇1、篇2、篇3、篇4、篇5。另外，根据近期的一些历史事件，也做了一些深挖和联想，考虑恶意的上游开发者，如何巧妙（或者说，处心积虑）地将问题引入，并在当前的软件供应链生态体系中，造成远比表面上看起来要深远得多的影响（参见：《深挖CVE-2018-10933（libssh服务端校验绕过）兼谈软件供应链真实威胁》）。 以上这些，抛开体系化的设想，只看案例，可能会得到这样的印象：这种威胁，都是由蓄意的上游或第三方参与者造成的；即便在最极端情况下，假使一个大型软件商或开源组织，被发现存在广泛、恶意的上游代码污染，那它顶多也不过相当于“奥创”一样的邪恶寡头，与其划清界限、清除历史包袱即可，虽然可能有阵痛。 可惜，并非如此。 在我们组织比赛的后半程中，对我们面临的这种威胁类型，不断有孤立的事例看似随机地发生，对此我以随笔的方式对它们做了分析和记录，以下与大家分享。 Ⅰ. 从感染到遗传：LibVNC与TightVNC系列漏洞 2018年12月10日晚9:03，OSS漏洞预警平台弹出的一封漏洞披露邮件，引起了我的注意。披露者是卡巴斯基工控系统漏洞研究组的Pavel Cheremushkin。 一些必要背景 VNC是一套屏幕图像分享和远程操作软件，底层通信为RFB协议，由剑桥某实验室开发，后1999年并入AT&T，2002年关停实验室与项目，VNC开源发布。 VNC本被设计用在局域网环境，且诞生背景决定其更倾向研究性质，商用级安全的缺失始终是个问题。后续有若干新的实现软件，如TightVNC、RealVNC，在公众认知中，AT&T版本已死，后起之秀一定程度上修正了问题。 目前各种更优秀的远程控制和分享协议取代了VNC的位置，尽管例如苹果仍然系统內建VNC作为远程方式。但在非桌面领域，VNC还有我们想不到的重要性，比如工控领域需要远程屏幕传输的场景，这也是为什么这系列漏洞作者会关注这一块。 漏洞技术概况 Pavel总结到，在阶段漏洞挖掘中共上报11个漏洞。在披露邮件中描述了其中4个的技术细节，均在协议数据包处理代码中，漏洞类型古典，分别是全局缓冲区溢出、堆溢出和空指针解引用。其中缓冲区溢出类型漏洞可方便构造PoC，实现远程任意代码执行的漏洞利用。 漏洞本身原理简单，也并不是关键。以其中一个为例，Pavel在发现时负责任地向LibVNC作者提交了issue，并跟进漏洞修复过程；在第一次修复之后，复核并指出修复代码无效，给出了有效patch。这个过程是常规操作。 漏洞疑点 有意思的是，在漏洞披露邮件中，Pavel重点谈了自己对这系列漏洞的一些周边发现，也是这里提到的原因。其中，关于存在漏洞的代码，作者表述： 我最初认为，这些问题是libvnc开发者自己代码中的错误，但看起来并非如此。其中有一些（如CoRRE数据处理函数中的堆缓冲区溢出），出现在AT&T实验室1999年的代码中，而后被很多软件开发者原样复制（在Github上搜索一下HandleCoRREBPP函数，你就知道），LibVNC和TightVNC也是如此。 为了证实，翻阅了这部分代码，确实在其中数据处理相关代码文件看到了剑桥和AT&T实验室的文件头GPL声明注释，中国菜刀 这证实这些文件是直接从最初剑桥实验室版本VNC移植过来的，且使用方式是 直接代码包含，而非独立库引用方式。在官方开源发布并停止更新后，LibVNC使用的这部分代码基本没有改动——除了少数变量命名方式的统一，以及本次漏洞修复。通过搜索，我找到了2000年发布的相关代码文件，确认这些文件与LibVNC中引入的原始版本一致。 另外，Pavel同时反馈了TightVNC中相同的问题。TightVNC与LibVNC没有继承和直接引用关系，但上述VNC代码同样被TightVNC使用，问题的模式不约而同。Pavel测试发现在Ubuntu最新版本TightVNC套件（1.3.10版本）中同样存在该问题，上报给当前软件所有者GlavSoft公司，但对方声称目前精力放在不受GPL限制的TightVNC 2.x版本开发中，对开源的1.x版本漏洞代码“可能会进行修复”。看起来，这个问题被踢给了各大Linux发行版社区来焦虑了——如果他们愿意接锅。 问题思考 在披露邮件中，Pavel认为，这些代码bug“如此明显，让人无法相信之前没被人发现过……也许是因为某些特殊理由才始终没得到修复”。 事实上，我们都知道目前存在一些对开源基础软件进行安全扫描的大型项目，例如Google的OSS；同时，仍然存活的开源项目也越来越注重自身代码发布前的安全扫描，Fortify、Coverity的扫描也成为很多项目和平台的标配。在这样一些眼睛注视下，为什么还有这样的问题？我认为就这个具体事例来说，可能有如下两个因素： ·上游已死。仍然在被维护的代码，存在版本更迭，也存在外界的持续关注、漏洞报告和修复、开发的迭代，对于负责人的开发者，持续跟进、评估、同步代码的改动是可能的。但是一旦一份代码走完了生命周期，就像一段史实一样会很少再被改动。 ·对第三方上游代码的无条件信任。我们很多人都有过基础组件、中间件的开发经历，不乏有人使用Coverity开启全部规则进行代码扫描、严格修复所有提示的问题甚至编程规范warning；报告往往很长，其中也包括有源码形式包含的第三方代码中的问题。但是，我们一方面倾向于认为这些被广泛使用的代码不应存在问题（不然早就被人挖过了），一方面考虑这些引用的代码往往是组件或库的形式被使用，应该有其上下文才能认定是否确实有可被利用的漏洞条件，现在单独扫描这部分代码一般出来的都是误报。所以这些代码的问题都容易被忽视。 但是透过这个具体例子，再延伸思考相关的实践，这里最根本的问题可以总结为一个模式： 复制粘贴风险。复制粘贴并不简单意味着剽窃，实际是当前软件领域、互联网行业发展的基础模式，但其中有一些没人能尝试解决的问题： ·在传统代码领域，如C代码中，对第三方代码功能的复用依赖，往往通过直接进行库的引入实现，第三方代码独立而完整，也较容易进行整体更新；这是最简单的情况，只需要所有下游使用者保证仅使用官方版本，跟进官方更新即可；但在实践中很难如此贯彻，这是下节讨论的问题。 ·有些第三方发布的代码，模式就是需要被源码形式包含到其他项目中进行统一编译使用（例如腾讯的开源Json解析库RapidJSON，就是纯C++头文件形式）。在开源领域有如GPL等规约对此进行规范，下游开发者遵循协议，引用代码，强制或可选地显式保留其GPL声明，可以进行使用和更改。这样的源码依赖关系，结合规范化的changelog声明代码改动，侧面也是为开发过程中跟进考虑。但是一个成型的产品，比如企业自有的服务端底层产品、中间件，新版本的发版更新是复杂的过程，开发者在旧版本仍然“功能正常”的情况下往往倾向于不跟进新版本；而上游代码如果进行安全漏洞修复，通常也都只在其最新版本代码中改动，安全修复与功能迭代并存，如果没有类似Linux发行版社区的努力，旧版本代码完全没有干净的安全更新patch可用。 ·在特定场景下，有些开发实践可能不严格遵循开源代码协议限定，引入了GPL等协议保护的代码而不做声明（以规避相关责任），丢失了引入和版本的信息跟踪；在另一些场景下，可能存在对开源代码进行大刀阔斧的修改、剪裁、定制，以符合自身业务的极端需求，但是过多的修改、人员的迭代造成与官方代码严重的失同步，丧失可维护性。 ·更一般的情况是，在开发中，开发者个体往往心照不宣的存在对网上代码文件、代码片段的复制-粘贴操作。被参考的代码，可能有上述的开源代码，也可能有各种Github作者练手项目、技术博客分享的代码片段、正式开源项目仅用来说明用法的不完备示例代码。这些代码的引入完全无迹可寻，即便是作者自己也很难解释用了什么。这种情况下，上面两条认定的那些与官方安全更新失同步的问题同样存在，且引入了独特的风险：被借鉴的代码可能只是原作者随手写的、仅仅是功能成立的片段，甚至可能是恶意作者随意散布的有安全问题的代码。由此，问题进入了最大的发散空间。 在Synopsys下BLACKDUCK软件之前发布的《2018 Open Source Security and Risk Analysis Report》中分析，96%的应用中包含有开源组件和代码，开源代码在应用全部代码中的占比约为57%，78%的应用中在引用的三方开源代码中存在历史漏洞。也就是说，现在互联网上所有厂商开发的软件、应用，其开发人员自己写的代码都是一少部分，多数都是借鉴来的。而这还只是可统计、可追溯的；至于上面提到的非规范的代码引用，如果也纳入进来考虑，三方代码占应用中的比例会上升到多少？曾经有分析认为至少占80%，我们只期望不会更高。 Ⅱ. 从碎片到乱刃：OpenSSH在野后门一览 在进行基础软件梳理时，回忆到反病毒安全软件提供商ESET在2018年十月发布的一份白皮书《THE DARK SIDE OF THE FORSSHE: A landscape of OpenSSH backdoors》。其站在一个具有广泛用户基础的软件提供商角度，给出了一份分析报告，数据和结论超出我们对于当前基础软件使用全景的估量。以下以我的角度对其中一方面进行解读。 一些必要背景 SSH的作用和重要性无需赘言；虽然我们站在传统互联网公司角度，可以认为SSH是通往生产服务器的生命通道，但当前多样化的产业环境已经不止于此（如之前libssh事件中，不幸被我言中的，SSH在网络设备、IoT设备上（如f5）的广泛使用）。 OpenSSH是目前绝大多数SSH服务端的基础软件，有完备的开发团队、发布规范、维护机制，本身是靠谱的。如同绝大多数基础软件开源项目的做法，OpenSSH对漏洞有及时的响应，针对最新版本代码发出安全补丁，但是各大Linux发行版使用的有各种版本的OpenSSH，这些社区自行负责将官方开发者的安全补丁移植到自己系统搭载的低版本代码上。天空彩 白皮书披露的现状 如果你是一个企业的运维管理人员，需要向企业生产服务器安装OpenSSH或者其它基础软件，最简单的方式当然是使用系统的软件管理安装即可。但是有时候，出于迁移成本考虑，可能企业需要在一个旧版本系统上，使用较新版本的OpenSSL、OpenSSH等基础软件，这些系统不提供，需要自行安装；或者需要一个某有种特殊特性的定制版本。这时，可能会选择从某些rpm包集中站下载某些不具名第三方提供的现成的安装包，或者下载非官方的定制化源码本地编译后安装，总之从这里引入了不确定性。 这种不确定性有多大？我们粗估一下，似乎不应成为问题。但这份白皮书给我们看到了鲜活的数据。 ESET研究人员从OpenSSH的一次历史大规模Linux服务端恶意软件Windigo中获得启示，采用某种巧妙的方式，面向在野的服务器进行数据采集，主要是系统与版本、安装的OpenSSH版本信息以及服务端程序文件的一个特殊签名。整理一个签名白名单，包含有所有能搜索到的官方发布二进制版本、各大Linux发行版本各个版本所带的程序文件版本，将这些标定为正常样本进行去除。最终结论是： ·共发现了几百个非白名单版本的OpenSSH服务端程序文件ssh和sshd； ·分析这些样本，将代码部分完全相同，仅仅是数据和配置不同的合并为一类，且分析判定确认有恶意代码的，共归纳为 21个各异的恶意OpenSSH家族； ·在21个恶意家族中，有12个家族在10月份时完全没有被公开发现分析过；而剩余的有一部分使用了历史上披露的恶意代码样本，甚至有源代码； ·所有恶意样本的实现，从实现复杂度、代码混淆和自我保护程度到代码特征有很大跨度的不同，但整体看，目的以偷取用户凭证等敏感信息、回连外传到攻击者为主，其中有的攻击者回连地址已经存在并活跃数年之久； ·这些后门的操控者，既有传统恶意软件黑产人员，也有APT组织； ·所有恶意软件或多或少都在被害主机上有未抹除的痕迹。ESET研究者尝试使用蜜罐引诱出攻击者，但仍有许多未解之谜。这场对抗，仍未取胜。 白皮书用了大篇幅做技术分析报告，此处供细节分析，不展开分析，以下为根据恶意程序复杂度描绘的21个家族图谱： 问题思考 问题引入的可能渠道，我在开头进行了一点推测，主要是由人的原因切入的，除此以外，最可能的是恶意攻击者在利用各种方法入侵目标主机后，主动替换了目标OpenSSH为恶意版本，从而达成攻击持久化操作。但是这些都是止血的安全运维人员该考虑的事情；关键问题是，透过表象，这显露了什么威胁形式？ 这个问题很好回答，之前也曾经反复说过：基础软件碎片化。 如上一章节简单提到，在开发过程中有各种可能的渠道引入开发者不完全了解和信任的代码；在运维过程中也是如此。二者互相作用，造成了软件碎片化的庞杂现状。在企业内部，同一份基础软件库，可能不同的业务线各自定制一份，放到企业私有软件仓库源中，有些会有人持续更新供自己产品使用，有些由系统软件基础设施维护人员单独维护，有些则可能是开发人员临时想起来上传的，他们自己都不记得；后续用到的这个基础软件的开发和团队，在这个源上搜索到已有的库，很大概率会倾向于直接使用，不管来源、是否有质量背书等。长此以往问题会持续发酵。而我们开最坏的脑洞，是否可能有黑产人员入职到内部，提交个恶意基础库之后就走人的可能？现行企业安全开发流程中审核机制的普遍缺失给这留下了空位。 将源码来源碎片化与二进制使用碎片化并起来考虑，我们不难看到一个远远超过OpenSSH事件威胁程度的图景。但这个问题不是仅仅靠开发阶段规约、运维阶段规范、企业内部管控、行业自查、政府监管就可以根除的，最大的问题归根结底两句话： 不可能用一场战役对抗持续威胁；不可能用有限分析对抗无限未知。 Ⅲ. 从自信到自省：RHEL、CentOS backport版本BIND漏洞 2018年12月20日凌晨，在备战冬至的软件供应链安全大赛决赛时，我注意到漏洞预警平台捕获的一封邮件。但这不是一个漏洞初始披露邮件，而是对一个稍早已披露的BIND在RedHat、CentOS发行版上特定版本的1day漏洞CVE-2018-5742，由BIND的官方开发者进行额外信息澄(shuǎi)清(guō)的邮件。 一些必要背景 关于BIND 互联网的一个古老而基础的设施是DNS，这个概念在读者不应陌生。而BIND“是现今互联网上最常使用的DNS软件，使用BIND作为服务器软件的DNS服务器约占所有DNS服务器的九成。BIND现在由互联网系统协会负责开发与维护参考。”所以BIND的基础地位即是如此，因此也一向被大量白帽黑帽反复测试、挖掘漏洞，其开发者大概也一直处在紧绷着应对的处境。 关于ISC和RedHat 说到开发者，上面提到BIND的官方开发者是互联网系统协会（ISC）。ISC是一个老牌非营利组织，目前主要就是BIND和DHCP基础设施的维护者。而BIND本身如同大多数历史悠久的互联网基础开源软件，是4个UCB在校生在DARPA资助下于1984年的实验室产物，直到2012年由ISC接管。 那么RedHat在此中是什么角色呢？这又要提到我之前提到的Linux发行版和自带软件维护策略。Red Hat Enterprise Linux（RHEL）及其社区版CentOS秉持着稳健的软件策略，每个大的发行版本的软件仓库，都只选用最必要且质量久经时间考验的软件版本，哪怕那些版本实在是老掉牙。这不是一种过分的保守，事实证明这种策略往往给RedHat用户在最新漏洞面前提供了保障——代码总是跑得越少，潜在漏洞越多。 但是这有两个关键问题。一方面，如果开源基础软件被发现一例有历史沿革的代码漏洞，那么官方开发者基本都只为其最新代码负责，在当前代码上推出修复补丁。另一方面，互联网基础设施虽然不像其上的应用那样爆发性迭代，但依然持续有一些新特性涌现，其中一些是必不可少的，但同样只在最新代码中提供。两个刚需推动下，各Linux发行版对长期支持版本系统的软件都采用一致的策略，即保持其基础软件在一个固定的版本，但对于这些版本软件的最新漏洞、必要的最新软件特性，由发行版维护者将官方开发者最新代码改动“向后移植”到旧版本代码中，即backport。这就是基础软件的“官宣”碎片化的源头。 讲道理，Linux发行版维护者与社区具有比较靠谱的开发能力和监督机制，backport又基本就是一些复制粘贴工作，应当是很稳当的……但真是如此吗？ CVE-2018-5742漏洞概况 CVE-2018-5742是一个简单的缓冲区溢出类型漏洞，官方评定其漏洞等级moderate，认为危害不大，漏洞修复不积极，披露信息不多，也没有积极给出代码修复patch和新版本rpm包。因为该漏洞仅在设置DEBUG_LEVEL为10以上才会触发，由远程攻击者构造畸形请求造成BIND服务崩溃，在正常的生产环境几乎不可能具有危害，RedHat官方也只是给出了用户自查建议。 这个漏洞只出现在RHEL和CentOS版本7中搭载的BIND 9.9.4-65及之后版本。RedHat同ISC的声明中都证实，这个漏洞的引入原因，是RedHat在尝试将BIND 9.11版本2016年新增的NTA机制向后移植到RedHat 7系中固定搭载的BIND 9.9版本代码时，偶然的代码错误。NTA是DNS安全扩展（DNSSEC）中，用于在特定域关闭DNSSEC校验以避免不必要的校验失败的机制；但这个漏洞不需要对NTA本身有进一步了解。 漏洞具体分析 官方没有给出具体分析，但根据CentOS社区里先前有用户反馈的bug，我得以很容易还原漏洞链路并定位到根本原因。 若干用户共同反馈，其使用的BIND 9.9.4-RedHat-9.9.4-72.el7发生崩溃（coredump），并给出如下的崩溃时调用栈backtrace： 这个调用过程的逻辑为，在9 dns_message_logfmtpacket函数判断当前软件设置是否DEBUG_LEVEL大于10，若是，对用户请求数据包做日志记录，先后调用8 dns_message_totext、7 dns_message_sectiontotext、6 dns_master_rdatasettotext、5 rdataset_totext将请求进行按协议分解分段后写出。 由以上关键调用环节，联动RedHat在9.9.4版本BIND源码包中关于引入NTA特性的源码patch，进行代码分析，很快定位到问题产生的位置，在上述backtrace中的5，masterdump.c文件rdataset_totext函数。漏洞相关代码片段中，RedHat进行backport后，这里引入的代码为： 这里判断对于请求中的注释类型数据，直接通过isc_buffer_putstr宏对缓存进行操作，在BIND工程中自定义维护的缓冲区结构对象target上，附加一字节字符串（一个分号）。而漏洞就是由此产生：isc_buffer_putstr中不做缓冲区边界检查保证，这里在缓冲区已满情况下将造成off-by-one溢出，并触发了缓冲区实现代码中的assertion。 而ISC上游官方版本的代码在这里是怎么写的呢？找到ISC版本BIND 9.11代码，这里是这样的： 这里可以看到，官方代码在做同样的“附加一个分号”这个操作时，审慎的使用了做缓冲区剩余空间校验的str_totext函数，并额外做返回值成功校验。而上述提到的str_totext函数与RETERR宏，在移植版本的masterdump.c中，RedHat开发者也都做了保留。但是，查看代码上下文发现，在RedHat开发者进行代码移植过程中，对官方代码进行了功能上的若干剪裁，包括一些细分数据类型记录的支持；而这里对缓冲区写入一字节，也许开发者完全没想到溢出的可能，所以自作主张地简化了代码调用过程。 问题思考 这个漏洞本身几乎没什么危害，但是背后足以引起思考。 没有人在“借”别人代码时能不出错 不同于之前章节提到的那种场景——将代码文件或片段复制到自己类似的代码上下文借用——backport作为一种官方且成熟的做法，借用的代码来源、粘贴到的代码上下文，是具有同源属性的，而且开发者一般是追求稳定性优先的社区开发人员，似乎质量应该有足够保障。但是这里的关键问题是：代码总要有一手、充分的语义理解，才能有可信的使用保障；因此，只要是处理他人的代码，因为不够理解而错误使用的风险，只可能减小，没办法消除。 如上分析，本次漏洞的产生看似只是做代码移植的开发者“自作主张”之下“改错了”。但是更广泛且可能的情况是，原始开发者在版本迭代中引入或更新大量基础数据结构、API的定义，并用在新的特性实现代码中；而后向移植开发人员仅需要最小规模的功能代码，所以会对增量代码进行一定规模的修改、剪裁、还原，以此适应旧版本基本代码。这些过程同样伴随着第三方开发人员不可避免的“望文生义”，以及随之而来的风险。后向移植操作也同样助长了软件碎片化过程，其中每一个碎片都存在这样的问题；每一个碎片在自身生命周期也将有持续性影响。 多级复制粘贴无异于雪上加霜 这里简单探讨的是企业通行的系统和基础软件建设实践。一些国内外厂商和社区发布的定制化Linux发行版，本身是有其它发行版，如CentOS特定版本渊源的，在基础软件上即便同其上游发行版最新版本间也存在断层滞后。RedHat相对于基础软件开发者之间已经隔了一层backport，而我们则人为制造了二级风险。 在很多基础而关键的软件上，企业系统基础设施的维护者出于与RedHat类似的初衷，往往会决定自行backport一份拷贝；通过早年心脏滴血事件的洗礼，即暴露出来OpenSSL一个例子。无论是需要RHEL还没来得及移植的新版本功能特性，还是出于对特殊使用上下文场景中更高执行效率的追求，企业都可能自行对RHEL上基础软件源码包进行修改定制重打包。这个过程除了将风险幂次放大外，也进一步加深了代码的不可解释性（包括基础软件开发人员流动性带来的不可解释）。 Ⅳ. 从武功到死穴：从systemd-journald信息泄露一窥API误用 1月10日凌晨两点，漏洞预警平台爬收取一封漏洞披露邮件。披露者是Qualys，那就铁定是重型发布了。最后看披露漏洞的目标，systemd？这就非常有意思了。 一些必要背景 systemd是什么，不好简单回答。Linux上面软件命名，习惯以某软件名后带个‘d’表示后台守护管理程序；所以systemd就可以说是整个系统的看守吧。而即便现在描述了systemd是什么，可能也很快会落伍，因为其初始及核心开发者Lennart Poettering（供职于Red Hat）描述它是“永无开发完结完整、始终跟进技术进展的、统一所有发行版无止境的差异”的一种底层软件。笼统讲有三个作用：中央化系统及设置管理；其它软件开发的基础框架；应用程序和系统内核之间的胶水。如今几乎所有Linux发行版已经默认提供systemd，包括RHEL/CentOS 7及后续版本。总之很基础、很底层、很重要就对了。systemd本体是个主要实现init系统的框架，但还有若干关键组件完成其它工作；这次被爆漏洞的是其journald组件，是负责系统事件日志记录的看守程序。 额外地还想简单提一句Qualys这个公司。该公司创立于1999年，官方介绍为信息安全与云安全解决方案企业，to B的安全业务非常全面，有些也是国内企业很少有布局的方面；例如上面提到的涉及碎片化和代码移植过程的历史漏洞移动，也在其漏洞管理解决方案中有所体现。但是我们对这家公司粗浅的了解来源于其安全研究团队近几年的发声，这两年间发布过的，包括有『stack clash』、『sudo get_tty_name提权』、『OpenSSH信息泄露与堆溢出』、『GHOST：glibc gethostbyname缓冲区溢出』等大新闻（仅截至2017年年中）。从中可见，这个研究团队专门啃硬骨头，而且还总能开拓出来新的啃食方式，往往爆出来一些别人没想到的新漏洞类型。从这个角度，再联想之前刷爆朋友圈的《安全研究者的自我修养》所倡导的“通过看历史漏洞、看别人的最新成果去举一反三”的理念，可见差距。 CVE-2018-16866漏洞详情 这次漏洞披露，打包了三个漏洞： ·16864和16865是内存破坏类型 ·16866是信息泄露 ·而16865和16866两个漏洞组和利用可以拿到root shell。 漏洞分析已经在披露中写的很详细了，这里不复述；而针对16866的漏洞成因来龙去脉，Qualys跟踪的结果留下了一点想象和反思空间，我们来看一下。 漏洞相关代码片段是这样的（漏洞修复前）： 读者可以先肉眼过一遍这段代码有什么问题。实际上我一开始也没看出来，向下读才恍然大悟。 这段代码中，外部信息输入通过buf传入做记录处理。输入数据一般包含有空白字符间隔，需要分隔开逐个记录，有效的分隔符包括空格、制表符、回车、换行，代码中将其写入常量字符串；在逐字符扫描输入数据字符串时，将当前字符使用strchr在上述间隔符字符串中检索是否匹配，以此判断是否为间隔符；在240行，通过这样的判断，跳过记录单元字符串的头部连续空白字符。 但是问题在于，strchr这个极其基础的字符串处理函数，对于C字符串终止字符'\0'的处理上有个坑：'\0'也被认为是被检索字符串当中的一个有效字符。所以在240行，当当前扫描到的字符为字符串末尾的NULL时，strchr返回的是WHITESPACE常量字符串的终止位置而非NULL，这导致了越界。 看起来，这是一个典型的问题：API误用（API mis-use），只不过这个被误用的库函数有点太基础，让我忍不住想是不是还会有大量的类似漏洞……当然也反思我自己写的代码是不是也有同样情况，然而略一思考就释然了——我那么笨的代码都用for循环加if判断了:) 漏洞引入和消除历史 有意思的是，Qualys研究人员很贴心地替我做了一步漏洞成因溯源，这才是单独提这个漏洞的原因。漏洞的引入是在2015年的一个commit中： 在GitHub中，定位到上述2015年的commit信息，这里commit的备注信息为： journald: do not strip leading whitespace from messages. Keep leading whitespace for compatibility with older syslog implementations. Also useful when piping formatted output to the logger command. Keep removing trailing whitespace. OK，看起来是一个兼容性调整，对记录信息不再跳过开头所有连续空白字符，只不过用strchr的简洁写法比较突出开发者精炼的开发风格（并不），说得过去。 之后在2018年八月的一个当时尚未推正式版的另一次commit中被修复了，先是还原成了ec5ff4那次commit之前的写法，然后改成了加校验的方式： 虽然Qualys研究者认为上述的修改是“无心插柳”的改动，但是在GitHub可以看到，a6aadf这次commit是因为有外部用户反馈了输入数据为单个冒号情况下journald堆溢出崩溃的issue，才由开发者有目的性地修复的；而之后在859510这个commit再次改动回来，理由是待记录的消息都是使用单个空格作为间隔符的，而上一个commit粗暴地去掉了这种协议兼容性特性。 如果没有以上纠结的修改和改回历史，也许我会倾向于怀疑，在最开始漏洞引入的那个commit，既然改动代码没有新增功能特性、没有解决什么问题（毕竟其后三年，这个改动的代码也没有被反映issue），也并非出于代码规范等考虑，那么这么轻描淡写的一次提交，难免有人为蓄意引入漏洞的嫌疑。当然，看到几次修复的原因，这种可能性就不大了，虽然大家仍可以保留意见。但是抛开是否人为这个因素，单纯从代码的漏洞成因看，一个传统但躲不开的问题仍值得探讨：API误用。 API误用：程序员何苦为难程序员 如果之前的章节给读者留下了我反对代码模块化和复用的印象，那么这里需要正名一下，我们认可这是当下开发实践不可避免的趋势，也增进了社会开发速度。而API的设计决定了写代码和用代码的双方“舒适度”的问题，由此而来的API误用问题，也是一直被当做单纯的软件工程课题讨论。在此方面个人并没有什么研究，自然也没办法系统地给出分类和学术方案，只是谈一下自己的经验和想法。 一篇比较新的学术文章总结了API误用的研究，其中一个独立章节专门分析Java密码学组件API误用的实际，当中引述之前论文认为，密码学API是非常容易被误用的，比如对期望输入数据（数据类型，数据来源，编码形式）要求的混淆，API的必需调用次序和依赖缺失（比如缺少或冗余多次调用了初始化函数、主动资源回收函数）等。凑巧在此方面我有一点体会：曾经因为业务方需要，需要使用C++对一个Java的密码基础中间件做移植。Java对密码学组件支持，有原生的JDK模块和权威的BouncyCastle包可用；而C/C++只能使用第三方库，考虑到系统平台最大兼容和最小代码量，使用Linux平台默认自带的OpenSSL的密码套件。但在开发过程中感受到了OpenSSL满满的恶意：其中的API设计不可谓不反人类，很多参数没有明确的说明（比如同样是表示长度的函数参数，可能在不同地方分别以字节/比特/分组数为计数单位）；函数的线程安全没有任何解释标注，需要自行试验；不清楚函数执行之后，是其自行做了资源释放还是需要有另外API做gc，不知道资源释放操作时是否规规矩矩地先擦除后释放……此类问题不一而足，导致经过了漫长的测试之后，这份中间件才提供出来供使用。而在业务场景中，还会存在比如其它语言调用的情形，这些又暴露出来OpenSSL API误用的一些完全无从参考的问题。这一切都成为了噩梦；当然这无法为我自己开解是个不称职开发的指责，但仅就OpenSSL而言其API设计之恶劣也是始终被人诟病的问题，也是之后其他替代者宣称改进的地方。 当然，问题是上下游都脱不了干系的。我们自己作为高速迭代中的开发人员，对于二方、三方提供的中间件、API，又有多少人能自信地说自己仔细、认真地阅读过开发指南和API、规范说明呢？做过通用产品技术运营的朋友可能很容易理解，自己产品的直接用户日常抛出不看文档的愚蠢问题带来的困扰。对于密码学套件，这个问题还好办一些，毕竟如果在没有背景知识的情况下对API望文生义地一通调用，绝大多数情况下都会以抛异常形式告终；但还是有很多情况，API误用埋下的是长期隐患。 不是所有API误用情形最终都有机会发展成为可利用的安全漏洞，但作为一个由人的因素引入的风险，这将长期存在并困扰软件供应链（虽然对安全研究者、黑客与白帽子是很欣慰的事情）。可惜，传统的白盒代码扫描能力，基于对代码语义的理解和构建，但是涉及到API则需要预先的抽象，这一点目前似乎仍然是需要人工干预的事情；或者轻量级一点的方案，可以case by case地分析，为所有可能被误用的API建模并单独扫描，这自然也有很强局限性。在一个很底层可信的开发者还对C标准库API存在误用的现实内，我们需要更多的思考才能说接下来的解法。 Ⅴ. 从规则到陷阱：NASA JIRA误配置致信息泄露血案 软件的定义包括了代码组成的程序，以及相关的配置、文档等。当我们说软件的漏洞、风险时，往往只聚焦在其中的代码中；关于软件供应链安全风险，我们的比赛、前面分析的例子也都聚焦在了代码的问题；但是真正的威胁都来源于不可思议之处，那么代码之外有没有可能存在来源于上游的威胁呢？这里就借助实例来探讨一下，在“配置”当中可能栽倒的坑。 引子：发不到500英里以外的邮件？ 让我们先从一个轻松愉快的小例子引入。这个例子初见于Linux中国的一篇译文。 简单说，作者描述了这么一个让人啼笑皆非的问题：单位的邮件服务器发送邮件，发送目标距离本地500英里范围之外的一律失败，邮件就像悠悠球一样只能飞出一定距离。这个问题本身让描述者感到尴尬，就像一个技术人员被老板问到“为什么从家里笔记本上Ctrl-C后不能在公司台式机上Ctrl-V”一样。 经过令人窒息的分析操作后，笔者定位到了问题原因：笔者作为负责的系统管理员，把SunOS默认安装的Senmail从老旧的版本5升级到了成熟的版本8，且对应于新版本诸多的新特性进行了对应配置，写入配置文件sendmail.cf；但第三方服务顾问在对单位系统进行打补丁升级维护时，将系统软件“升级”到了系统提供的最新版本，因此将Sendmail实际回退到了版本5，却为了软件行为一致性，原样保留了高版本使用的配置文件。但Sendmail并没有在大版本间保证配置文件兼容性，这导致很多版本5所需的配置项不存在于保留下来的sendmail.cf文件中，程序按默认值0处理；最终引起问题的就是，邮件服务器与接收端通信的超时时间配置项，当取默认配置值0时，邮件服务器在1个单位时间（约3毫秒）内没有收到网络回包即认为超时，而这3毫秒仅够电信号打来回飞出500英里。 这个“故事”可能会给技术人员一点警醒，错误的配置会导致预期之外的软件行为，但是配置如何会引入软件供应链方向的安全风险呢？这就引出了下一个重磅实例。 JIRA配置错误致NASA敏感信息泄露案例 我们都听过一个事情，马云在带队考察美国公司期间问Google CEO Larry Page自视谁为竞争对手，Larry的回答是NASA，因为最优秀的工程师都被NASA的梦想吸引过去了。由此我们显然能窥见NASA的技术水位之高，这样的人才团队大概至少是不会犯什么低级错误的。 但也许需要重新定义“低级错误”……1月11日一篇技术文章披露，NASA某官网部署使用的缺陷跟踪管理系统JIRA存在错误的配置，可分别泄漏内部员工（JIRA系统用户）的全部用户名和邮件地址，以及内部项目和团队名称到公众，如下： 问题的原因解释起来也非常简单：JIRA系统的过滤器和配置面板中，对于数据可见性的配置选项分别选定为All users和Everyone时，系统管理人员想当然地认为这意味着将数据对所有“系统用户”开放查看，但是JIRA的这两个选项的真实效果逆天，是面向“任意人”开放，即不限于系统登录用户，而是任何查看页面的人员。看到这里，我不厚道地笑了……“All users”并不意味着“All ‘users’”，意不意外，惊不惊喜？ 但是这种字面上把戏，为什么没有引起NASA工程师的注意呢，难道这样逆天的配置项没有在产品手册文档中加粗标红提示吗？本着为JIRA产品设计找回尊严的态度，我深入挖掘了一下官方说明，果然在Atlassian官方的一份confluence文档（看起来更像是一份增补的FAQ）中找到了相关说明： 所有未登录访客访问时，系统默认认定他们是匿名anonymous用户，所以各种权限配置中的all users或anyone显然应该将匿名用户包括在内。在7.2及之后版本中，则提供了“所有登录用户”的选项。 可以说是非常严谨且贴心了。比较讽刺的是，在我们的软件供应链安全大赛·C源代码赛季期间，我们设计圈定的恶意代码攻击目标还包括JIRA相关的敏感信息的窃取，但是却想不到有这么简单方便的方式，不动一行代码就可以从JIRA中偷走数据。 软件的使用，你“配”吗？ 无论是开放的代码还是成型的产品，我们在使用外部软件的时候，都是处于软件供应链下游的消费者角色，为了要充分理解上游开发和产品的真实细节意图，需要我们付出多大的努力才够“资格”？ 上一章节我们讨论过源码使用中必要细节信息缺失造成的“API误用”问题，而软件配置上的“误用”问题则复杂多样得多。从可控程度上讨论，至少有这几种因素定义了这个问题： ·软件用户对必要配置的现有文档缺少了解。这是最简单的场景，但又是完全不可避免的，这一点上我们所有有开发、产品或运营角色经验的应该都曾经体会过向不管不顾用户答疑的痛苦，而所有软件使用者也可以反省一下对所有软件的使用是否都以完整细致的文档阅读作为上手的准备工作，所以不必多说。 ·软件拥有者对配置条目缺少必要明确说明文档。就JIRA的例子而言，将NASA工程师归为上一条错误有些冤枉，而将JIRA归为这条更加合适。在边角但重要问题上的说明通过社区而非官方文档形式发布是一种不负责任的做法，但未引发安全事件的情况下还有多少这样的问题被默默隐藏呢？我们没办法要求在使用软件之前所有用户将软件相关所有文档、社区问答实现全部覆盖。这个问题范围内一个代表性例子是对配置项的默认值以及对应效果的说明缺失。 ·配置文件版本兼容性带来的误配置和安全问题。实际上，上面的SunOS Sendmail案例足以点出这个问题的存在性，但是在真实场景下，很可能不会以这么戏剧性形式出现。在企业的系统运维中，系统的版本迭代常见，但为软件行为一致性，配置的跨版本迁移是不可避免的操作；而且软件的更新迭代也不只会由系统更新推动，还有大量出于业务性能要求而主动进行的定制化升级，对于中小企业基础设施建设似乎是一个没怎么被提及过的问题。 ·配置项组合冲突问题。尽管对于单个配置项可能明确行为与影响，但是特定的配置项搭配可能造成不可预知的效果。这完全有可能是由于开发者与用户在信息不对等的情况下产生：开发者认为用户应该具有必需的背景知识，做了用户应当具备规避配置冲突能力的假设。一个例子是，对称密码算法在使用ECB、CBC分组工作模式时，从密码算法上要求输入数据长度必须是分组大小的整倍数，但如果用户搭配配置了秘钥对数据不做补齐（nopadding），则引入了非确定性行为：如果密码算法库对这种组合配置按某种默认补齐方式操作数据则会引起歧义，但如果在算法库代码层面对这种组合抛出错误则直接影响业务。 ·程序对配置项处理过程的潜在暗箱操作。这区别于简单的未文档化配置项行为，仅特指可能存在的蓄意、恶意行为。从某种意义上，上述“All users”也可以认为是这样的一种陷阱，通过浅层次暗示，引导用户做出错误且可能引起问题的配置。另一种情况是特定配置组合情况下触发恶意代码的行为，这种触发条件将使恶意代码具有规避检测的能力，且在用户基数上具有一定概率的用户命中率。当然这种情况由官方开发者直接引入的可能性很低，但是在众包开发的情况下如果存在，那么扫描方案是很难检测的。 Ⅵ. 从逆流到暗流：恶意代码溯源后的挑战 如果说前面所说的种种威胁都是面向关键目标和核心系统应该思考的问题，那么最后要抛出一个会把所有人拉进赛场的理由。除了前面所有那些在软件供应链下游被动污染受害的情况，还有一种情形：你有迹可循的代码，也许在不经意间会“反哺”到黑色产业链甚至特殊武器中；而现在研究用于对程序进行分析和溯源的技术，则会让你陷入百口莫辩的境地。 案例：黑产代码模块溯源疑云 1月29日，猎豹安全团队发布技术分析通报文章《电信、百度客户端源码疑遭泄漏，驱魔家族窃取隐私再起波澜》，矛头直指黑产上游的恶意信息窃取代码模块，认定其代码与两方产品存在微妙的关联：中国电信旗下“桌面3D动态天气”等多款软件，以及百度旗下“百度杀毒”等软件（已不可访问）。 文章中举证有三个关键点。 首先最直观的，是三者使用了相同的特征字符串、私有文件路径、自定义内部数据字段格式； 其次，在关键代码位置，三者在二进制程序汇编代码层面具有高度相似性； 最终，在一定范围的非通用程序逻辑上，三者在经过反汇编后的代码语义上显示出明显的雷同，并提供了如下两图佐证（图片来源）： 文章指出的涉事相关软件已经下线，对于上述样本文件的相似度试验暂不做复现，且无法求证存在相似、疑似同源的代码在三者中占比数据。对于上述指出的代码雷同现象，猎豹安全团队认为： 我们怀疑该病毒模块的作者通过某种渠道(比如“曾经就职”)，掌握有中国电信旗下部分客户端/服务端源码，并加以改造用于制作窃取用户隐私的病毒，另外在该病毒模块的代码中，我们还发现“百度”旗下部分客户端的基础调试日志函数库代码痕迹，整个“驱魔”病毒家族疑点重重，其制作传播背景愈发扑朔迷离。 这样的推断，固然有过于直接的依据（例如三款代码中均使用含有“baidu”字样的特征注册表项）；但更进一步地，需要注意到，三个样本在所指出的代码位置，具有直观可见的二进制汇编代码结构的相同，考虑到如果仅仅是恶意代码开发者先逆向另外两份代码后借鉴了代码逻辑，那么在面临反编译、代码上下文适配重构、跨编译器和选项的编译结果差异等诸多不确定环节，仍能保持二进制代码的雷同，似乎确实是只有从根本上的源代码泄漏（抄袭）且保持相同的开发编译环境才能成立。 但是我们却又无法做出更明确的推断。这一方面当然是出于严谨避免过度解读；而从另一方面考虑，黑产代码的一个关键出发点就是“隐藏自己”，而这里居然如此堂而皇之地照搬了代码，不但没有进行任何代码混淆、变形，甚至没有抹除疑似来源的关键字符串，如果将黑产视为智商在线的对手，那这里背后是否有其它考量，就值得琢磨了。 代码的比对、分析、溯源技术水准 上文中的安全团队基于大量样本和粗粒度比对方法，给出了一个初步的判断和疑点。那么是否有可能获得更确凿的分析结果，来证实或证伪同源猜想呢？ 无论是源代码还是二进制，代码比对技术作为一种基础手段，在软件供应链安全分析上都注定仍然有效。在我们的软件供应链安全大赛期间，针对PE二进制程序类型的题目，参赛队伍就纷纷采用了相关技术手段用于目标分析，包括：同源性分析，用于判定与目标软件相似度最高的同软件官方版本；细粒度的差异分析，用于尝试在忽略编译差异和特意引入的混淆之外，定位特意引入的恶意代码位置。当然，作为比赛中针对性的应对方案，受目标和环境引导约束，这些方法证明了可行性，却难以保证集成有最新技术方案。那么做一下预言，在不计入情报辅助条件下，下一代的代码比对将能够到达什么水准？ 这里结合近一年和今年内，已发表和未发表的学术领域顶级会议的相关文章来简单展望： ·针对海量甚至全量已知源码，将可以实现准确精细化的“作者归属”判定。在ACM CCS‘18会议上曾发表的一篇文章《Large-Scale and Language-Oblivious Code Authorship Identification》，描述了使用RNN进行大规模代码识别的方案，在圈定目标开发者，并预先提供每个开发者的5-7份已知的代码文件后，该技术方案可以很有效地识别大规模匿名代码仓库中隶属于每个开发者的代码：针对1600个Google Code Jam开发者8年间的所有代码可以实现96%的成功识别率，而针对745个C代码开发者于1987年之后在GitHub上面的全部公开代码仓库，识别率也高达94.38%。这样的结果在当下的场景中，已经足以实现对特定人的代码识别和跟踪（例如，考虑到特定开发人员可能由于编码习惯和规范意识，在时间和项目跨度上犯同样的错误）；可以预见，在该技术方向上，完全可以期望摆脱特定已知目标人的现有数据集学习的过程，并实现更细粒度的归属分析，例如代码段、代码行、提交历史。 ·针对二进制代码，更准确、更大规模、更快速的代码主程序分析和同源性匹配。近年来作为一项程序分析基础技术研究，二进制代码相似性分析又重新获得了学术界和工业界的关注。在2018年和2019（已录用）的安全领域四大顶级会议上，每次都会有该方向最新成果的展示，如S&P‘2019上录用的《Asm2Vec: Boosting Static Representation Robustness for Binary Clone Search against Code Obfuscation and Compiler Optimization》，实现无先验知识的条件下的最优汇编代码级别克隆检测，针对漏洞库的漏洞代码检测可实现0误报、100%召回。而2018年北京HITB会议上，Google Project Zero成员、二进制比对工具BinDiff原始作者Thomas Dullien，探讨了他借用改造Google自家SimHash算法思想，用于针对二进制代码控制流图做相似性检测的尝试和阶段结果；这种引入规模数据处理的思路，也可期望能够在目前其他技术方案大多精细化而低效的情况下，为高效、快速、大规模甚至全量代码克隆检测勾出未来方案。 ·代码比对方案对编辑、优化、变形、混淆的对抗。近年所有技术方案都以对代码“变种”的检测有效性作为关键衡量标准，并一定程度上予以保证。上文CCS‘18论文工作，针对典型源代码混淆（如Tigress）处理后的代码，大规模数据集上可有93.42%的准确识别率；S&P‘19论文针对跨编译器和编译选项、业界常用的OLLVM编译时混淆方案进行试验，在全部可用的混淆方案保护之下的代码仍然可以完成81%以上的克隆检测。值得注意的是以上方案都并非针对特定混淆方案单独优化的，方法具有通用价值；而除此以外还有很多针对性的的反混淆研究成果可用；因此，可以认为在采用常规商用代码混淆方案下，即便存在隐藏内部业务逻辑不被逆向的能力，但仍然可以被有效定位代码复用和开发者自然人。 代码溯源技术面前的“挑战” 作为软件供应链安全的独立分析方，健壮的代码比对技术是决定性的基石；而当脑洞大开，考虑到行业的发展，也许以下两种假设的情景，将把每一个“正当”的产品、开发者置于尴尬的境地。 代码仿制 在本章节引述的“驱魔家族”代码疑云案例中，黑产方面通过某种方式获得了正常代码中，功能逻辑可以被自身复用的片段，并以某种方法将其在保持原样的情况下拼接形成了恶意程序。即便在此例中并非如此，但这却暴露了隐忧：将来是不是有这种可能，我的正常代码被泄漏或逆向后出现在恶意软件中，被溯源后扣上黑锅？ 这种担忧可能以多种渠道和形式成为现实。 从上游看，内部源码被人为泄漏是最简单的形式（实际上，考虑到代码的完整生命周期似乎并没有作为企业核心数据资产得到保护，目前实质上有没有这样的代码在野泄漏还是个未知数），而通过程序逆向还原代码逻辑也在一定程度上可获取原始代码关键特征。 从下游看，则可能有多种方式将恶意代码伪造得像正常代码并实现“碰瓷”。最简单地，可以大量复用关键代码特征（如字符串，自定义数据结构，关键分支条件，数据记录和交换私有格式等）。考虑到在进行溯源时，分析者实际上不需要100%的匹配度才会怀疑，因此仅仅是仿造原始程序对于第三方公开库代码的特殊定制改动，也足以将公众的疑点转移。而近年来类似自动补丁代码搜索生成的方案也可能被用来在一份最终代码中包含有二方甚至多方原始代码的特征和片段。 基于开发者溯源的定点渗透 既然在未来可能存在准确将代码与自然人对应的技术，那么这种技术也完全可能被黑色产业利用。可能的忧患包括强针对性的社会工程，结合特定开发者历史代码缺陷的漏洞挖掘利用，联动第三方泄漏人员信息的深层渗透，等等。这方面暂不做联想展开。 〇. 没有总结 作为一场旨在定义“软件供应链安全”威胁的宣言，阿里安全“功守道”大赛将在后续给出详细的分解和总结，其意义价值也许会在一段时间之后才能被挖掘。 但是威胁的现状不容乐观，威胁的发展不会静待；这一篇随笔仅仅挑选六个侧面做摘录分析，可即将到来的趋势一定只会进入更加发散的境地，因此这里，没有总结。 本篇文章为转载内容。原文链接：https://blog.csdn.net/systemino/article/details/90114743。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...应用程序的不断发展，JSON在现代开发中的地位日益凸显。近期，一项关于前端性能优化的研究指出，使用JSON进行数据交换和存储的方式，在移动优先、响应式设计以及SPA（单页应用）等主流开发模式中，能够显著降低网络传输负担，提升用户体验。 具体来说，各大云服务提供商如AWS、Azure和Google Cloud也纷纷推出对JSON格式原生支持的服务，如AWS DynamoDB可以直接处理JSON文档，大大简化了数据读写操作的复杂性。同时，Node.js社区不断涌现新的库和工具，以提高JSON数据处理效率，例如fast-json-stringify和json-bigint等，它们针对大数据量场景进行了深度优化，使得JSON在企业级应用中也能游刃有余。 此外，考虑到安全性问题，业界也在探索如何在保证JSON便捷性的前提下增强其安全性。例如，通过JSON Schema实现数据验证，确保接收到的数据符合预期结构，减少因数据格式错误引发的安全隐患。而在加密方面，已有研究提出了将JSON与加密算法结合，构建安全的数据交换通道。 综上所述，JSON作为跨平台、易于解析且高效的数据格式，在当前及未来一段时间内将持续发挥关键作用。无论是前端交互、后端数据处理，还是云端存储，深入理解和掌握JSON的应用与最佳实践，都将有助于开发者应对日新月异的技术挑战，打造更高效、更安全的数字化产品。

...ct.config.json 文件中添加 "miniprogramRoot": "/", 2.在项目根目录创建 functions 文件夹 3.右键点击文件夹 选着 新建Node.js云函数 我的云函数名字 叫 checkStr(可以自定义) 点击之后会生成这三个文件 如果没有 请手动添加 config.json {"permissions": {"openapi": ["security.msgSecCheck"]} } index.js // 云函数入口文件 index.jsconst cloud = require('wx-server-sdk')cloud.init()// 云函数入口函数exports.main = async (event, context) => {const wxContext = cloud.getWXContext()try {const result = await cloud.openapi.security.msgSecCheck({content: event.text?event.text:'1'})if (result && result.errCode.toString() === '87014'){return { code: 500, msg: '内容含有违法违规内容', data: result } }else{return { code: 200, msg: 'ok', data: result } }} catch (err) {// 错误处理if (err.errCode.toString() === '87014') {return { code: 500, msg: '内容含有违法违规内容', data: err } }return { code: 502, msg: '调用security接口异常', data: err } }} package.json {"name": "checkStr","version": "1.0.0","description": "","main": "index.js","scripts": {"test": "echo \"Error: no test specified\" && exit 1"},"author": "","license": "ISC","dependencies": {"wx-server-sdk": "~2.3.1"} } 4.右键点击 云函数文件夹 checkStr 实例文件夹 点击上传并部署：云端安装依赖（不上传node_modules） 上传成功之后再右键点击当前文件夹 点击本地调试 会跳出来云函数界面 勾选本地调试 5.在页面中使用 wx.cloud.init();wx.cloud.callFunction({name: 'checkStr',data: {text: e.detail.value?e.detail.value:'1' // 这一步是处理输入框值手动清空的时候会被检测出敏感词，不知道什么原因抱歉} }).then((res) => {if (res.result.code == "200") {this.setData({sendValue: e.detail.value})} else {this.setData({sendValue: ''})wx.showToast({title: '包含敏感字哦。',icon: 'none',duration: 3000})} }) 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_42046201/article/details/108998434。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...ger初始化失败问题解决方案 引言 如果你是一名大数据工程师，那么你肯定对Hadoop这个名字并不陌生。你知道吗，那个叫Hadoop的开源大数据处理工具现在可火啦！不少公司都把它捧在手心里，广泛应用在自家的各种业务场景里头。这玩意儿就像个大数据处理的超级英雄，在企业界混得风生水起的！在Hadoop这个大家族里，有个不可或缺的角色名叫YARN（也就是“又一个资源协调器”这小名儿），它可是肩负重任的大管家，主要负责给各个任务分配资源、调度工作，可重要着呢！在实际工作中，我们常常会碰到一些让人挠头的小插曲，比如那个烦人的“YARN ResourceManager初始化不成功”的问题。这不，本文就要专门来和大家唠唠这个问题，掰开揉碎了详细分析，并且给出解决它的锦囊妙计。 什么是YARN？ 首先，我们需要了解一下什么是YARN。简单来说呢，YARN就是个大管家，它在Hadoop2.x这个大家族里担任着资源管理和作业调度的重要角色。你可以把它想象成一个超级调度员，负责统筹协调所有资源的分配和各种任务的执行顺序，可厉害了！它就像个超级接班人，接手了Hadoop1.x那个老版本里MapReduce任务调度员的活儿，而且表现得更出色，不仅能更高效地给各种任务排兵布阵，还把任务管理这块搞得井井有条。在YARN这个大系统里，Resource Manager（RM）可是个举足轻重的角色。你就把它想象成一个超级大管家吧，它的日常工作就是紧盯着整个集群的资源状况，确保一切都在掌握之中。不仅如此，它还兼职了“调度员”的角色，各种类型的请求都会涌向它，然后由它来灵活调配、合理分配给各个部分去执行。 YARN ResourceManager初始化失败的原因 当我们运行一个Hadoop应用时，YARN ResourceManager是最先启动的服务。如果出现“YARN ResourceManager初始化失败”的错误，通常会有很多种原因导致。下面我们就来一一剖析一下。 1. 集群资源不足 当集群的物理资源不足时，例如CPU、内存等硬件资源紧张，就可能导致YARN ResourceManager无法正常初始化。此时需要考虑增加集群资源，例如增加服务器数量，升级硬件设备等。 2. YARN配置文件错误 YARN的运行依赖于一系列的配置文件，包括conf/hadoop-env.sh、core-site.xml、mapred-site.xml、yarn-site.xml等。要是这些配置文件里头有语法错误，或者设置得不太合理，就可能导致YARN ResourceManager启动时栽跟头，初始化失败。此时需要检查并修复配置文件。 3. YARN环境变量设置不当 YARN的运行还需要一些环境变量的支持，例如JAVA_HOME、HADOOP_HOME等。如果这些环境变量设置不当，也会导致YARN ResourceManager初始化失败。此时需要检查并设置正确的环境变量。 4. YARN服务未正确启动 在YARN环境中，还需要启动一些辅助服务，例如NameNode、DataNode、Zookeeper等。如果这些服务未正确启动，也会导致YARN ResourceManager初始化失败。此时需要检查并确保所有服务都已正确启动。 如何解决“YARN ResourceManager初始化失败”？ 了解了问题的原因后，接下来就是如何解决问题。根据上述提到的各种可能的原因，我们可以采取以下几种方法进行尝试： 1. 增加集群资源 对于因为集群资源不足而导致的问题，最直接的解决办法就是增加集群资源。这可以通过添加新的服务器，或者升级现有的服务器硬件等方式实现。 2. 修复配置文件 对于因为配置文件错误而导致的问题，我们需要仔细检查所有的配置文件，找出错误的地方并进行修复。同时，咱也得留意一下，改动配置文件这事儿，就像动了机器的小神经，可能会带来些意想不到的“副作用”。所以呢，在动手修改前，最好先做个全面体检——也就是充分测试啦，再给原来的文件留个安全备份，这样心里才更有底嘛。 3. 设置正确的环境变量 对于因为环境变量设置不当而导致的问题，我们需要检查并设置正确的环境变量。如果你不清楚环境变量到底该怎么设置，别担心，这里有两个实用的解决办法。首先呢，你可以翻阅一下Hadoop官方网站的官方文档，那里面通常会有详尽的指导步骤；其次，你也可以尝试在互联网上搜一搜相关的教程或者攻略，网上有很多热心网友分享的经验，总有一款适合你。 4. 启动辅助服务 对于因为辅助服务未正确启动而导致的问题，我们需要检查并确保所有服务都已正确启动。要是服务启动碰到状况了，不妨翻翻相关的文档资料，或者找专业的高手来帮帮忙。 总结 总的来说，解决“YARN ResourceManager初始化失败”这个问题需要我们具备一定的专业知识和技能。但是，只要我们有足够多的耐心和敏锐的观察力，就可以按照上面提到的办法，一步一步地把各种可能性都排查个遍，最后稳稳地找到那个真正能解决问题的好法子。最后，我想说的是，虽然这是一个比较棘手的问题，但我们只要有足够的信心和毅力，就一定能迎刃而解！

JSON数据键的值，应该如何写多次换行的内容呢？ 一、初识JSON 为什么我们要讨论这个？ 大家好呀！今天我们来聊聊JSON——一种轻量级的数据交换格式。它就像是数据世界里的“万金油”，在前端和后端之间搭起了一座沟通的桥，让两边能顺畅地聊起天来。不过，今天我们要聊的可不是它的基本用法，而是稍微有点小复杂的问题：如何在JSON中表示包含多次换行的内容？ 先别急着翻白眼，这其实是个很有意思的事情。想象一下，如果你要存储一段长篇小说或者多段落的文本信息，而这些内容又包含了换行符，那么该如何优雅地处理呢？是不是有点挠头？但别担心，作为一个热爱折腾的程序员，我决定带你一起探索这个问题！ --- 二、JSON的基本规则 它不是魔法，但也不是障碍 首先，咱们得知道JSON的基本规则。JSON是一种基于文本的数据格式，主要由键值对组成。每个键必须是字符串，并且键和值之间需要用冒号分隔。至于值嘛，它可以是字符串、数字、布尔值、数组甚至是嵌套的对象。 比如这样： json { "name": "张三", "age": 25, "isStudent": false, "hobbies": ["reading", "coding"] } 看起来很简单吧？但是，当我们尝试存储一些更复杂的文本内容时，事情就没那么简单了。比如你想存一首诗，或者一封邮件，里面可能有好多换行符，那怎么办呢？ --- 三、问题来了 换行符的“尴尬”存在 假设你正在写一个应用程序，需要让用户输入一段多行的文字，比如他们的个人简介。哎，你说如果用户输入的内容里带换行符怎么办？难道直接一股脑儿扔进JSON里？但问题来了啊，JSON这小家伙自己也不太争气，它压根儿就不允许字符串里直接留着换行符呢！这可咋整？除非你用某种方式告诉它，“嘿，这可是真的换行哦！” 这就像是你在写信的时候，突然发现信纸不够宽，只能把一句话分成两行写。而你的朋友收到信后，还得脑补那些断开的部分重新组合起来。所以，我们得想个办法让JSON能够正确地解析这些换行符。 --- 四、解决方案 转义字符登场！ 幸运的是，JSON提供了一种非常聪明的方式来解决这个问题——转义字符。具体来说，如果你想在JSON字符串中表示换行符，可以使用\n来代替。这里的\n是一个特殊的符号，代表一个换行操作。 举个例子： json { "poem": "静夜思\n床前明月光,\n疑是地上霜。\n举头望明月,\n低头思故乡。" } 在这个例子中，我们用\n来表示每一句诗之间的换行。当你把这个JSON解析出来时，程序会自动把这些\n替换成实际的换行符，于是输出的结果就会变成： 静夜思 床前明月光, 疑是地上霜。 举头望明月, 低头思故乡。 是不是很神奇？不过，这里有一个小技巧需要注意：如果你想要表示真正的反斜杠（\），那么你需要用双反斜杠（\\）来表示。因为单个反斜杠在JSON中会被认为是一个转义符。 --- 五、更复杂的情况 多段落文本 当然，现实中的情况往往比一首诗复杂得多。比如说，你得把一封邮件的内容存下来，而这封邮件的正文往往是由好几段话组成的，有长有短，啥样的都有。哎呀，光靠换行符 \n 可不一定行啊，毕竟你还得让每段之间留点空白，不然读起来就像一锅粥，分不清哪是哪呀！ 在这种情况下，你可以继续使用\n，同时注意合理安排段落结构。例如： json { "email": "亲爱的李四：\n\n很高兴收到您的来信。以下是我的回复：\n\n第一段内容...\n第二段内容..." } 在这里，\n\n表示两个连续的换行符，从而形成了一段空行。用这种方法，就能把文章分得清清楚楚的，读起来也顺溜多了！ --- 六、代码实践 从理论到实战 说了这么多理论，让我们动手试试看吧！下面是一些简单的代码示例，展示如何在JavaScript中生成和解析带有换行符的JSON数据。 示例1：生成JSON字符串 javascript const data = { poem: "静夜思\n床前明月光,\n疑是地上霜。\n举头望明月,\n低头思故乡。", email: "亲爱的李四：\n\n很高兴收到您的来信。以下是我的回复：\n\n第一段内容...\n第二段内容..." }; // 将对象转换为JSON字符串 const jsonString = JSON.stringify(data); console.log(jsonString); 运行这段代码后，你会看到类似这样的输出： json {"poem":"静夜思\\n床前明月光,\\n疑是地上霜。\\n举头望明月,\\n低头思故乡。","email":"亲爱的李四：\\n\\n很高兴收到您的来信。以下是我的回复：\\n\\n第一段内容...\\n第二段内容..."} 可以看到，在生成的JSON字符串中，所有的\n都被转义成了\\n。 示例2：解析JSON字符串 javascript const jsonString = '{"poem":"静夜思\\n床前明月光,\\n疑是地上霜。\\n举头望明月,\\n低头思故乡。","email":"亲爱的李四：\\n\\n很高兴收到您的来信。以下是我的回复：\\n\\n第一段内容...\\n第二段内容..."}'; // 将JSON字符串解析回对象 const parsedData = JSON.parse(jsonString); console.log(parsedData.poem); console.log(parsedData.email); 运行这段代码后，你会看到如下输出： 静夜思 床前明月光, 疑是地上霜。 举头望明月, 低头思故乡。 亲爱的李四： 很高兴收到您的来信。以下是我的回复： 第一段内容... 第二段内容... 瞧！我们的换行符终于生效啦！ --- 七、总结与反思 好了，今天的分享就到这里啦！通过这篇文章，我们不仅了解了如何在JSON中处理多次换行的内容，还学习了一些实用的小技巧。虽然JSON看似简单，但它背后隐藏着很多有趣的细节。希望这些知识能帮助你在未来的编程旅程中更加游刃有余。 最后，我想说的是，编程不仅仅是冷冰冰的技术活儿，它也是一种艺术形式。每一次解决问题的过程，都充满了挑战和乐趣。所以，不管遇到什么困难，都别轻易放弃，试着去思考、去尝试，说不定下一个突破就在前方等着你呢！ 祝大家 coding愉快！ 😊

JSON 是一种简洁的数据交换格式，它普遍用在前后端数据传输。而 jQuery 是一款流行的 JavaScript 库，常用于操作 DOM、发起 AJAX 请求以及处理 JSON 数据的操作。 在 jQuery 中，我们可以通过几个函数来完成对 JSON 数据的查询操作。 // 一个基础的 JSON 数据例子 var data = { "name": "小明", "age": 18, "hometown": "北京", "hobbies": ["吃饭", "睡觉", "打游戏"], "friend": { "name": "小红", "age": 17 } } 1. $.parseJSON() var jsonStr = '{"name":"小明","age":18,"hometown":"北京"}'; var jsonData = $.parseJSON(jsonStr); console.log(jsonData.name); // 显示：小明 2. $.getJSON() $.getJSON('https://api.github.com/users/octocat', function(data) { console.log(data.name); // 显示：The Octocat }); 3. $.each() $.each(data.hobbies, function(index, value) { console.log(value); // 显示：吃饭、睡觉、打游戏 }); 4. $.map() var hobbiesArr = $.map(data.hobbies, function(value, index) { return value; }); console.log(hobbiesArr); // 显示：["吃饭", "睡觉", "打游戏"] 以上就是 jQuery 中常用的几种 JSON 查询函数，它们可以使我们更便捷地对数据进行操作。

...时候，对于相对模糊的错误，比如这里的例子，不稳定!=惩罚。 搜索引擎会采用一些积分制的方式衡量是否会惩罚站点，当你违反了条件1，-10分，违反了条件2，-15分....以此类推，当你的犯规分数达到一定的额度，可能就会采取惩罚。 搜索引擎的惩罚算法，我也不了解，只是举着个例子，就当安慰一下手误删除文章的站长！ 3. 如何处理？ 方法一：不能不管吧，至少得返回个友好的报错界面吧 如果页面返回的直接就是nginx的404，这......说不过去吧，说明站点做的不认真，容错比较差，搜索引擎和用户看了都会摇摇头。 所以，至少把“文章不存在”这种错误，封装一下，返回一个有好的界面，友好的提示用户“文章可能被作者删除了，看看其它文章吧！” 至少，在用户看来，这个提示是友好的，毕竟非技术人员看到nginx的404都会认为“呵，破网站，挂了！” 方法二：方法一是个错误，会引擎搜索引擎的反感 啥？你说了半天方法一，还是个错误？ 尤其是你的被删的文章比较多的时候，搜索引擎每次来访，都会提取到文案“文章可能被作者删除了，看看其它文章吧！”，这... 第一，没什么价值，搜索引擎会认为低质量！这很严重 第二，更大的麻烦，这个文字是重复的，搜索引擎会认为你的站点有大量的重复！这很严重 方法三：正确的处理方法是返回404或410 404大家比较熟悉，410是啥，其实和404差不多： 但是二者在seo上的区别，当搜索引擎拿到410后，可能会更快地在索引库中删除被删除的文件。 当然，返回404和410在这里都可以。至少是老实承认问题的态度，让搜索引擎可以根据404或410做出正确的下一步操作。 java代码可以用这个返回404： response.setStatus(HttpServletResponse.SC_NOT_FOUND); 方法四：返回301状态码跳转到另一篇文章 301是跳转，永久性跳转，但这种跳转是被搜索引擎唯一接受、不认为是作弊的跳转。 不要使用302跳转、任何js跳转、meta刷新等方式，都会被搜索引擎认为是作弊哦！ 所以，当文章不存在的时候，使用301跳转到另一篇文章（但最好主体相关的、或另起炉灶新写一篇弥补手误删除的错误），这样，有两个好处： 第一，搜索引擎不会惩罚 第二，会把老文章的权重301传到新文章，一举两得 java代码可以用这个返回301： // response.sendRedirect(getRandomArticleByCategoryHref(category)); // 这种是302 response.setStatus(HttpServletResponse.SC_MOVED_PERMANENTLY); // 这种是301，se唯一认可的非作弊的跳转方式 response.setHeader("Location",新路径); 方法五：死链提交 站长后台都支持死链提交，如果你确定一个url里面的文章确实被删除了，可以手动提交死链。主动承认链接问题。 下图是谷歌站长后台的入口：

...。而在程序化测试中，json格式数据的使用也越来越多。JSON（JavaScript Object Notation）是一种轻量级的数据传输格式，具有简洁明了、易于计算机解析和创建、支持多语言等特点，因此，被广泛应用在程序化测试中。 JSON程序化测试的环节，主要是通过采用代码进行程序化测试，并对JSON格式的数据进行程序化处理。检测代码编写结束后，可以直接整合进持续构建工具中，在每次提交代码后自动执行。 下面是一个使用Python语言进行JSON程序化测试的例子： import requests import json def test_api(): headers = {'Content-Type': 'application/json'} data = {'name': 'test', 'age': '25'} response = requests.post('http://example.com/api/users', headers=headers, data=json.dumps(data)) assert response.status_code == 200 assert response.json().get('success') is True 在这个例子中，我们使用了Python中的requests库，来仿照发送一个POST方式请求。我们设置了请求的headers和data，借助于json.dumps()函数将data转换为JSON格式。在请求结束后，我们通过assert断言判断请求的返回状态码和JSON数据是否符合预期。如果测试案例执行成功，则代表接口调用正常。 总的来说，JSON程序化测试可以帮助我们实现快速、可靠和缩短测试时间等诸多优点。同时需要注意JSON格式的数据，需要符合规范，否则在数据处理环节中可能会出现意想不到的错误。

...app之后报如图所示错误： 解决： 在app模块配置勾选上相机这一项，如图： 这是主要针对上面这个报错的，当然还有一下情况比较类似，就是相机功能在真机调试下可以，打包之后就不行了。我总结了如下几点： 1. 代码中的sourceType要配置为相机和相册： camera为相机，album为相册。也可以不配置这一项，默认就是两个都有。 uni.chooseImage({count: 6, //默认9sizeType: ['original', 'compressed'], //可以指定是原图还是压缩图，默认二者都有sourceType: ['album', 'camera'], //从相册选择success: function (res) {console.log(JSON.stringify(res.tempFilePaths));} }); 2. app权限配置要勾选上对应的权限，如图： <uses-feature android:name=“android.hardware.camera” /> <uses-feature android:name=“android.hardware.camera.autofocus” /> <!-- 摄像头权限 --> <uses-permission android:name=“android.permission.CAMERA” /> <!-- 开启闪光灯权限 --> <uses-permission android:name=“android.permission.FLASHLIGHT”/> app模块配置勾选相机相册 以上三点都没问题了，打包之后的app应该就可以调用原生相机功能了。我出现无法调起来的原因是第三不，没有配置模块。 本篇文章为转载内容。原文链接：https://blog.csdn.net/jieyucx/article/details/130319786。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...法的返回结果通常会以JSON等形式表示业务状态和数据，而不是简单的视图跳转标识符。因此，针对不同的HTTP状态码（如200、400、500等），制定清晰且可预测的响应策略显得尤为重要。 综上所述，在实际开发过程中，无论使用何种Web框架，理解并合理运用请求处理及结果返回机制是至关重要的。同时，紧跟技术发展趋势，掌握最新的编程规范和最佳实践，将有助于提升应用的安全性、稳定性和可维护性。

一、引言 JSON（JavaScript Object Notation）是一种轻量级的数据交换格式，因其简单易读，易于解析和生成，已成为互联网数据传输的主流。你知道吗，跟玩儿似的处理JSON里的日期和时间其实挺让人挠头的，特别是当你还得在各种时区和日期格式之间换来换去的时候，那简直就是一场时区版的"找不同"游戏啊！来吧，伙计们，今天咱们要一起探索一个超实用的话题——如何轻松搞定JSON里的日期时间格式！就像煮咖啡一样，我们要一步步把那些看似复杂的日期数据结构梳理得井井有条，让你的操作行云流水，帅气非凡！跟着我，咱们边聊边实战，让这些数字瞬间变得亲切又好玩！ 二、JSON日期时间格式的基本概念 1. JSON中的日期表示法 JSON本身并不直接支持日期时间类型，它通常将日期时间转换为字符串，使用ISO 8601标准格式：YYYY-MM-DDTHH:mm:ss.sssZ。例如： json { "createdAt": "2023-01-01T12:00:00.000Z" } 这里，Z表示的是协调世界时（UTC）。 三、日期时间格式的常见问题与解决方案 2. 处理本地时间和UTC时间 当你的应用需要处理用户所在地区的日期时间时，可能需要进行时区转换。JavaScript的Date对象可以方便地完成这个任务。例如，从UTC到本地时间： javascript const dateInUtc = new Date("2023-01-01T12:00:00.000Z"); const localDate = new Date(dateInUtc.getTime() + dateInUtc.getTimezoneOffset() 60 1000); console.log(localDate.toISOString()); // 输出本地时间的ISO格式 3. 自定义格式化 如果你想输出特定格式的日期时间，可以借助第三方库如moment.js或date-fns。例如，使用date-fns： javascript import { format } from 'date-fns'; const formattedDate = format(new Date(), 'yyyy-MM-dd HH:mm:ss'); console.log(formattedDate); // 输出自定义格式的日期字符串 四、跨平台兼容性和API设计 4. 跨平台兼容性 在处理跨平台的API接口时，确保日期时间格式的一致性至关重要。JSON.stringify()和JSON.parse()方法默认会按照ISO 8601格式进行序列化和反序列化。但如果你的后端和前端使用的时区不同，可能会引发混淆。这时，可以通过传递一个可选的时间zone参数来指定： javascript const date = new Date(); const jsonDate = JSON.stringify(date, null, 2, "America/New_York"); // 使用纽约时区 五、总结与展望 5. 总结 JSON日期时间格式化虽然看似简单，但在实际应用中可能会遇到各种挑战。懂规矩，还得配上好工具和诀窍，这样玩数据才能又快又溜！就像厨师炒菜，得知道怎么配料，用啥锅具，才能做出美味佳肴一样。嘿，你知道吗？JavaScript的世界就像个不停冒泡的派对，新潮的库和工具层出不穷，比如那个超酷的day.js和超级实用的js-time-ago，它们让日期时间这事儿变得轻松多了，简直就像魔法一样！ 通过这次探索，我们不仅掌握了JSON日期时间的格式，还了解了如何优雅地解决跨平台和时区问题。记住，无论何时，面对复杂的数据格式，耐心和实践总是关键。希望这篇文章能帮你更好地驾驭JSON中的日期时间格式，提升你的开发效率。 --- 本文作者是一位热爱编程的开发者，对JSON和日期时间处理有着深厚的兴趣。在日常的码农生涯里，他深感不少小伙伴在这个领域摸不着头脑，于是他慷慨解囊，把自己摸爬滚打的经验和领悟一股脑儿分享出来，就想让大家能少踩点坑，少走点冤枉路。

...suffix: '.json' }); // 允许模糊匹配，提高语言包利用率 $translateProvider.fallbackLanguage('en'); $translateProvider.useSanitizeValueStrategy('sanitize'); }]); 以上代码中，我们设置了默认语言为英语，并配置了静态文件加载器从指定路径加载JSON格式的语言资源文件。 3. 创建与使用语言资源文件 接下来，我们需要创建对应的语言资源文件，例如languages/en.json和languages/zh-cn.json： json // languages/en.json { "greeting": "Hello, world!", "buttonText": "Click me" } // languages/zh-cn.json { "greeting": "你好，世界！", "buttonText": "点击我" } 4. 在视图层应用国际化 在视图模板中，我们可以借助translate指令或过滤器来动态替换文本： html { { 'greeting' | translate } } 5. 动态切换语言 最后，为了实现用户界面语言的动态切换，可以在控制器中调用 $translate.use() 方法： javascript app.controller('MainCtrl', ['$scope', '$translate', function ($scope, $translate) { $scope.changeLanguage = function (langKey) { $translate.use(langKey); }; }]); 然后在HTML中添加一个语言选择器： html English 简体中文 到此为止，我们已经成功地实现了AngularJS单页应用的国际化支持。在整个这个过程中，AngularJS就像个超能小助手，它拥有无比灵活、强大，而且特别好懂的API接口，这可帮了我们大忙了！它把开发国际化功能的那些繁琐步骤给大大简化了，让我们的应用程序轻松突破语言障碍，飞向全球各地，无论哪个地区的用户，都能用自己习惯的语言来顺畅使用。这正是AngularJS让我们能够大显身手，轻松构建出跨越国界的强大Web应用的关键所在，它的价值简直不要太赞！

...小插曲：问题、解析与解决 在PHP开发的世界里，Laravel框架凭借其优雅的设计和强大的功能赢得了众多开发者的心。在Laravel这个大家庭里，Composer可是个超级重要的角色，它就像个贴心的管家，专门负责帮咱们把项目需要的各种零件，也就是依赖项，安装、更新和管理得妥妥当当的。不过，在实际动手操作的时候，咱们可能免不了会遇到Composer安装组件时突然尥蹶子、报个错什么的状况。本文将深入探讨这些问题，并通过实例代码详细展示排查和解决方法。 1. Composer的基本使用与常见报错场景 首先，让我们温习一下如何在Laravel项目中使用Composer安装组件： bash composer require vendor/package 上述命令用于添加新的依赖包到我们的项目。嘿，你知道吗？有时候啊，就是想完成个看似超级简单的操作，结果它却能给你整出各种幺蛾子来。比如什么网络突然抽风啦、权限不够用啦，还有版本不匹配引发的矛盾冲突啥的，真是让人头大！ 2. 网络问题引发的报错 示例情况： bash [Composer\Downloader\TransportException] The "https://repo.packagist.org/packages.json" file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed Failed to enable crypto failed to open stream: operation failed 解析与解决： 这个问题通常是由于Composer无法正确验证Packagist仓库的SSL证书导致的。你可以尝试更新Composer的根证书或者临时关闭SSL验证（不推荐）： bash composer config -g --unset http_proxy https_proxy composer config -g secure-http false composer clear-cache composer require vendor/package 3. 权限问题引发的报错 示例情况： bash [RuntimeException] The HOME or COMPOSER_HOME environment variable must be set for composer to run correctly 解析与解决： 当Composer没有足够的权限去读写必要的文件或目录时，就会出现这样的错误。确保你以具有足够权限的用户身份运行Composer命令，或者直接修改相关目录的权限： bash sudo chown -R $USER:$USER ~/.composer composer require vendor/package 4. 版本冲突引发的报错 示例情况： bash Your requirements could not be resolved to an installable set of packages. Problem 1 - Root composer.json requires packageA ^1.2 -> satisfiable by packageA[1.2.0]. - packageB v2.0.0 requires packageA ^2.0 -> no matching package found. - Root composer.json requires packageB ^2.0 -> satisfiable by packageB[v2.0.0]. 解析与解决： 这种报错意味着你试图安装的组件之间存在版本兼容性问题。你需要根据错误提示调整composer.json中的版本约束，例如： json { "require": { "packageA": "^1.2 || ^2.0", "packageB": "^2.0" } } 然后重新运行 composer update 或 composer install 来解决版本冲突。 5. 结语 拥抱挑战，不断探索 在面对Composer安装组件时的种种“小插曲”，身为PHP开发者的我们不仅要学会及时解决问题，更要在每一次调试中积累经验，理解Composer背后的工作原理，从而更加游刃有余地驾驭这一强大工具。毕竟，编程这趟旅程可不是全程顺风顺水的，正是这些时不时冒出来的小挑战、小插曲，才让我们的技术探索之路变得丰富多彩，充满了思考琢磨、不断成长的乐趣和惊喜。

JSON线段格式：深入解析与实践应用 在当今的编程世界中，数据交换已经成为软件开发中的核心环节之一。你知道吗，这玩意儿叫JSON（JavaScript Object Notation），就像个轻量级的“数据快递员”，它超级给力的地方就在于那简单易懂的“语言”和书写起来贼方便的特点。正因为如此，这家伙在Web服务、前后端交流这些场合里，可以说是如鱼得水，大展身手，甚至在配置文件这块地盘上，也玩得风生水起，可厉害啦！嘿，伙计们，这次咱们要一起捣鼓点新鲜玩意儿——“JSON线段格式”，一种特别的JSON用法。我将通过一些实实在在的代码实例和咱们的热烈讨论，让你对它有更接地气、更深刻的领悟，保证你掌握起来得心应手！ 1. JSON线段格式简介 "JSON线段格式"这一概念并非JSON标准规范的一部分，但实际开发中，我们常会遇到需要按行分割JSON对象的情况，这种处理方式通常被开发者称为“JSON线段格式”。比如，一个日志文件就像一本日记本，每行记录就是一个独立的小故事，而且这个小故事是用JSON格式编写的。这样一来，我们就能像翻书一样，快速地找到并处理每一条单独的记录，完全没必要把整本日记本一次性全部塞进大脑里解析！ json {"time": "2022-01-01T00:00:00Z", "level": "info", "message": "Application started."} {"time": "2022-01-01T00:01:00Z", "level": "debug", "message": "Loaded configuration."} 2. 解析JSON线段格式的思考过程 当面对这样的JSON线段格式时，我们的首要任务是设计合理的解析策略。想象一下，你正在编写一个日志分析工具，需要逐行读取并解析这些JSON对象。首先，你会如何模拟人类理解这个过程呢？ python import json def parse_json_lines(file): with open(file, 'r') as f: for line in f: 去除末尾换行符，并尝试解析为JSON对象 parsed_line = json.loads(line.strip()) 对每个解析出的JSON对象进行操作，如打印或进一步处理 print(parsed_line) 调用函数解析JSON线段格式的日志文件 parse_json_lines('log.json') 在这个例子中，我们逐行读取文件内容，然后对每一行进行JSON解析。这就像是在模仿人的大脑逻辑：一次只聚焦一行文本，然后像变魔术一样把它变成一个富含意义的数据结构（就像JSON对象那样）。 3. 实战应用场景及优化探讨 在实际项目中，尤其是大数据处理场景下，处理JSON线段格式的数据可能会涉及到性能优化问题。例如，我们可以利用Python的ijson库实现流式解析，避免一次性加载大量数据导致的内存压力： python import ijson def stream_parse_json_lines(file): with open(file, 'r') as f: 使用ijson库的items方法按行解析JSON对象 parser = ijson.items(f, '') for item in parser: process_item(item) 定义一个函数来处理解析出的每个JSON对象 定义处理单个JSON对象的函数 def process_item(item): print(item) 调用函数流式解析JSON线段格式的日志文件 stream_parse_json_lines('log.json') 这样，我们就实现了更加高效且灵活的JSON线段格式处理方式，不仅节约了内存资源，还能实时处理海量数据。 4. 结语 JSON线段格式的魅力所在 总结起来，“JSON线段格式”以其独特的方式满足了大规模数据分块处理的需求，它打破了传统单一JSON文档的概念，赋予了数据以更高的灵活性和可扩展性。当你掌握了JSON线段格式的运用和理解，就像解锁了一项超能力，在解决实际问题时能够更加得心应手，让数据像流水一样顺畅流淌。这样一来，咱们的整体系统就能跑得更欢畅，效率和性能蹭蹭往上涨！ 所以，下次当你面临大量的JSON数据需要处理时，不妨考虑采用“JSON线段格式”，它或许就是你寻找的那个既方便又高效的解决方案。毕竟，技术的魅力就在于不断发掘和创新，而每一次新的尝试都可能带来意想不到的收获。

...会送上一些真正管用的解决办法！ 二、Solr配置错误分析及解决方法 1.1 全文索引导入失败 根据知识库中的资料，我们发现一位开发者在2021年5月28日遇到了“solr配置错误”的问题。具体表现为：Full Import failed:java.lang.RuntimeException:java.lang.RuntimeException:org.apache.solr.handler.dataimport.DataImportHandlerException:One of driver or jndiName must be specified。 对于这个问题，我们可以从以下几个方面进行排查： - 首先，检查solr的配置文件，确认数据源驱动类是否正确配置； - 其次，检查数据库连接参数是否正确设置； - 最后，查看日志文件，查看是否有其他异常信息。 在实践中，我们可以尝试如下代码实现： java // 创建DataImporter对象 DataImporter importer = new DataImporter(); // 设置数据库连接参数 importer.setDataSource(new JdbcDataSource()); importer.setSql("SELECT FROM table_name"); // 执行数据导入 importer.fullImport("/path/to/solr/home"); 如果以上步骤无法解决问题，建议查阅相关文档或寻求专业人士的帮助。 1.2 集群配置错误 另一位开发者在2020年7月25日反馈了一个关于Solr集群配置的错误问题。其问题描述为：“淘淘商城第60讲——搭建Solr集群时，报错：org.apache.solr.common.SolrException: Could not find collection : core1”。读了这位开发者的文章，我们发现他在搭建Solr集群的时候，实实在在地碰到了上面提到的那些问题。 对于这个问题，我们可以从以下几个方面进行排查： - 首先，检查solr的配置文件，确认核心集合是否正确配置； - 其次，检查集群状态，确认所有节点是否都已经正常启动； - 最后，查看日志文件，查看是否有其他异常信息。 在实践中，我们可以尝试如下代码实现： java // 启动集群 CoreContainer cc = CoreContainer.create(CoreContainer.DEFAULT_CONFIG); cc.load(new File("/path/to/solr/home/solr.xml")); cc.start(); // 查询集群状态 Collections cores = cc.getCores(); for (SolrCore core : cores) { System.out.println(core.getName() + " status : " + core.getStatus()); } 如果以上步骤无法解决问题，建议查阅相关文档或寻求专业人士的帮助。 三、Solr代码执行漏洞排查及解决方法 近年来，随着Apache Solr的广泛应用，安全问题日益突出。嘿，你知道吗？在2019年11月19日曝出的一条消息，Apache Solr这个家伙在默认设置下有个不小的安全隐患。如果它以cloud模式启动，并且对外开放的话，那么远程的黑客就有机会利用这个漏洞，在目标系统上随心所欲地执行任何代码呢！就像是拿到了系统的遥控器一样，想想都有点让人捏把汗呐！ 对于这个问题，我们可以从以下几个方面进行排查： - 首先，检查solr的安全配置，确保只允许受信任的IP地址访问； - 其次，关闭不必要的服务端功能，如远程管理、JMX等； - 最后，定期更新solr到最新版本，以获取最新的安全补丁。 在实践中，我们可以尝试如下代码实现： java // 关闭JMX服务 String configPath = "/path/to/solr/home/solr.xml"; File configFile = new File(configPath); DocumentBuilder db = DocumentBuilderFactory.newInstance().newDocumentBuilder(); Document doc = db.parse(configFile); Element root = doc.getDocumentElement(); if (!root.getElementsByTagName("jmx").isEmpty()) { Node jmxNode = root.getElementsByTagName("jmx").item(0); jmxNode.getParentNode().removeChild(jmxNode); } TransformerFactory tf = TransformerFactory.newInstance(); Transformer transformer = tf.newTransformer(); transformer.setOutputProperty(OutputKeys.INDENT, "yes"); transformer.setOutputProperty("{http://xml.apache.org/xslt}indent-amount", "2"); DOMSource source = new DOMSource(doc); StreamResult result = new StreamResult(new File(configPath)); transformer.transform(source, result); 如果以上步骤无法解决问题，建议查阅相关文档或寻求专业人士的帮助。 四、总结 总的来说，Apache Solr虽然强大，但在使用过程中也会遇到各种各样的问题。了解并搞定这些常见问题后，咱们就能把Solr的潜能发挥得更淋漓尽致，这样一来，工作效率蹭蹭上涨，用户体验也噌噌提升，妥妥的双赢局面！希望本文能对你有所帮助！

...介绍 jQuery.json-viewer.js是一个专为开发者设计的jQuery插件，旨在以美观且易于理解的方式展示JSON格式的数据。这款插件不仅能够将复杂的、难以阅读的JSON数据进行格式化，使其变得整洁有序，还提供了强大的语法高亮功能，使得关键信息一目了然。用户可以通过简单的点击操作来展开或收起JSON中的各个节点，极大地提升了用户体验和工作效率。无论是用于调试API返回的数据，还是展示从服务器获取的复杂配置信息，jQuery.json-viewer.js都能提供清晰直观的视图。其轻量级的设计确保了加载速度的同时不会影响页面性能，非常适合在各种项目中集成使用。通过使用这款插件，开发者可以节省大量时间，专注于解决更核心的问题，而不是被繁琐的数据格式问题所困扰。无论你是前端开发者，还是需要处理JSON数据的专业人士，jQuery.json-viewer.js都是你不可或缺的好帮手。 点我下载 文件大小：44.64 KB 您将下载一个JQuery插件资源包，该资源包内部文件的目录结构如下： 本网站提供JQuery插件下载功能，旨在帮助广大用户在工作学习中提升效率、节约时间。 本网站的下载内容来自于互联网。如您发现任何侵犯您权益的内容，请立即告知我们，我们将迅速响应并删除相关内容。 免责声明：站内所有资源仅供个人学习研究及参考之用，严禁将这些资源应用于商业场景。 若擅自商用导致的一切后果，由使用者承担责任。

在深入理解了如何从JSON数据中获取数组名字的值之后，我们可以进一步探索更复杂的JSON操作场景以及JavaScript中处理JSON的高级技巧。近日，随着Web服务和API接口的广泛应用，JSON作为数据交换的标准格式，其解析与操作的重要性日益凸显。 例如，2023年5月，Node.js社区发布了一篇关于优化JSON性能的文章，其中详述了如何利用最新版本V18中的JSON.parse()方法的新特性提高大数据量JSON解析速度。通过引入新的Streaming API和改进的内存管理机制，开发者可以更高效地处理大规模JSON数据流，并动态获取嵌套数组或对象的名字及其对应值。 另外，对于那些需要深度访问JSON结构的应用场景，如配置文件解析、复杂状态管理等，JavaScript提供了诸如Lodash这样的工具库，提供了诸如_.get()、_.set()等便捷方法，使得根据路径字符串动态获取或设置JSON任意层级的数据成为可能，大大提升了开发效率及代码可读性。 同时，针对安全性考量，在实际项目中处理JSON时应确保进行有效的数据验证和错误处理，防止因恶意构造或意外损坏的JSON数据导致的安全漏洞。例如，使用AJV等JSON Schema验证库，可以在数据解析前对其进行严格校验，从而降低潜在风险。 综上所述，对JSON数组名值获取的基础理解是前端乃至全栈开发者的必备技能之一，而随着技术发展和安全需求的提升，掌握更多先进的JSON处理策略与工具将为开发者应对各种复杂应用场景提供有力支持。

替换近义词对：JSON是一种轻量级的数据传输格式，广泛应用于Web开发中的数据传输。它采用键值对的形式进行数据表达，而其中的数组则是一种特殊的数据组织方式，可以在解读和传输大规模数据时起到很好的作用。 替换近义词对：JSON数组是一种排列的项目集，其中每个项目可以是任何类型的数据，同样也可以是对象或者内含的其他数组。数组的描述采用中括号环绕，每个成员之间采用逗号间隔。 [ "apple", "banana", "orange", { "name": "Tom", "age": 30, "sex": "male" }, [1, 2, 3] ] 替换近义词对：在JavaScript中，通常采用JSON.parse()方法对JSON数据进行解读。JSON.parse()方法将JSON文本串转化为JS对象，而其中包括了JSON数组。我们可以利用for循环或者forEach等方法逐一访问JSON数组中的每个成员。 var jsonStr = '["apple","banana","orange",{"name":"Tom","age":30,"sex":"male"},[1,2,3]]'; var jsonArray = JSON.parse(jsonStr); for (var i=0; i 在逐一访问JSON数组时，需要注意一些要点。如果项目是对象或者内含的数组，我们需要重复使用for循环或者相应的方法逐一访问其中的子项目。如果项目是基本类型，直接作为普通的变量采用即可。 var jsonArray = ['apple','banana','orange',{name:'Tom',age:30,sex:'male'},[1,2,3]]; for (var i=0; i 总结：JSON数组作为JSON数据格式的重要组成部分，在Web开发中具有十分广泛的应用。我们可以采用JSON.parse()方法对JSON数据进行解读，并采用for循环或者其他方法逐一访问其中的每个成员。

...Fetch API和XMLHttpRequest。这些API同样可以实现与get()方法类似的功能，并且提供了更丰富的控制选项，如请求头管理、异步流程控制（Promise）以及更好的错误处理机制。 例如，在最新的JavaScript项目中，开发者可以利用Fetch API来获取当前页面URL并发送GET请求，如下所示： javascript let url = new URL(window.location.href); // 添加或修改查询参数 url.searchParams.append('key1', 'value1'); url.searchParams.append('key2', 'value2'); fetch(url) .then(response => response.json()) .then(data => { // 处理返回的内容 }) .catch(error => { // 错误处理 }); 此外，考虑到兼容性和模块化的需求，许多现代前端框架，如React、Vue和Angular等，都封装了自己的HTTP客户端库，便于开发者在不同环境下进行统一且高效的网络数据交互操作。 因此，掌握jQuery的get()方法固然重要，但作为前端开发者，我们还需关注并熟悉新兴的API和技术趋势，以便更好地适应快速变化的Web开发环境，提高代码质量与应用性能。

...“无法获取该映像”的错误提示。 $ docker pull official/image Pulling repository docker.io/library/official/image Error: image library/image not found 经过一番调查后，我发现缘故可能是由于 Docker Hub 网站在国内访问不稳定的缘故。于是我试图运用国内的映像源来处理这个疑问。 首先，我需要修改 Docker 的设置文件来增加一个国内的映像源。在 CentOS 环境下，我可以通过以下方式修改设置文件： $ sudo vi /etc/docker/daemon.json 然后，通过以下的条目把国内的映像源增加到设置文件中： { "registry-mirrors": ["https://docker.mirrors.ustc.edu.cn"] } 最后，重新启动 Docker 服务即可： $ sudo systemctl daemon-reload $ sudo systemctl restart docker 之后我再次试图获取这个正式映像，这次就成功了： $ docker pull official/image Pulling repository docker.io/library/official/image Status: Downloaded newer image for official/image:latest 总结来说，如果 Docker 在获取映像时碰到了困难，一个有效的处理方法就是运用一个国内的映像源。只需要修改 Docker 的设置文件并重新启动服务，就可以让 Docker 从国内的映像源中获取映像了。

在深入理解并解决Docker无法下载镜像的问题后，我们可以进一步探讨容器化技术的最新发展和相关配置优化策略。近期，Docker官方发布了19.03版本，对镜像下载速度和registry-mirrors功能进行了优化，用户现在可以更加便捷地管理和配置镜像仓库地址，从而提升镜像拉取效率。 另外，鉴于国内外网络环境差异可能导致的镜像下载问题，阿里云、腾讯云等国内云服务商提供了稳定高效的Docker镜像加速服务，用户只需在daemon.json文件中添加对应的镜像仓库地址，即可显著改善镜像下载速度及稳定性。例如，阿里云Docker镜像加速器通过遍布全国的数据中心，为开发者提供了一键式接入的解决方案，极大地方便了国内Docker用户的日常使用。 此外，随着Kubernetes等容器编排系统的广泛应用，对于Docker镜像的管理也提出了新的挑战。在K8s集群环境中，不仅需要关注单个节点的Docker配置，还需要考虑如何在整个集群层面实现镜像缓存共享、镜像更新策略等问题。因此，了解和掌握Helm charts、 Harbor等开源项目，将有助于更好地管理和优化Docker镜像在大规模生产环境中的使用体验。 同时，针对企业级安全需求，研究如何配置私有仓库、实施镜像签名验证等高级功能，也是持续保障Docker应用安全的重要议题。随着Docker安全生态的不断完善，诸如Notary、TUF（The Update Framework）等项目为企业提供了更全面的安全防护措施，确保从镜像下载到运行的全生命周期安全可控。