给软件开发者准备的优质简报,每日阅读 10分钟

I bought Friendster for $30k – Here's what I'm doing with it

1095 pointsLinkComment(605)Share

我收购Friendster域名及复兴社交网络的完整故事

  • 交易结构为2万美元比特币加一个年广告收入约9000美元的域名,而非简单的3万美元(标题"3万美元"仅为象征性表述,原持有者开价4万美元,Carson最初出价2万美元遭拒后协商达成此交易)
  • friendster.com域名2002年注册、2015年停止解析、2018年公司正式关闭,原持有者2023年在gname.com过期域名拍卖会上以7456美元拍得此域名,Carson在发现此人为自己创办的park.io客户后主动联系购买
  • Carson获得Friendster商标权(2025年5月13日),之前得知商标即将到期后咨询律师,经漫长审核流程后正式获得
  • 新版Friendster要求用户必须面对面触碰手机才能添加好友;最初设想的仅限受邀用户加入方案因违反苹果"最低功能完整性"审核标准(4.2准则)被拒,修改为任何人均可注册但只有触碰手机才能互加好友,审核历时一至两个月
  • 平台两大特色功能:可查看好友的好友并向他们发起消息请求,以及"渐弱连接"机制——若两位好友一年内未曾触碰手机,联系将逐渐淡化,旨在促进真实线下友谊
  • Carson的愿景是创造积极的社交体验,帮助人们建立真实的线下连接;关于盈利模式,他不追求快速变现,只希望平台最终能自负盈亏,计划未来推出高级功能付费方案

Your phone is about to stop being yours

564 pointsLinkComment(296)Share

Google开发者实名认证政策:2026年9月起,未注册应用将在全球Android设备上被封锁

  • 政策核心:2025年8月Google宣布新规,2026年9月起所有Android应用开发者必须在Google集中注册,无论通过Play商店、F-Droid、朋友间分享还是个人爱好项目分发的应用均需注册,否则将在全球所有认证设备上被静默阻止运行
  • 注册代价:开发者须支付费用、同意Google服务条款、提交政府身份证件、提供签名密钥证据并列出所有当前及未来的应用程序标识符;威权政府可据此追踪并要求移除特定开发者
  • "逃生舱"形同虚设:Google声称的"高级流程"需9个繁琐步骤加24小时强制等待期,且该流程通过Google Play服务而非Android系统实现,Google可随时单方面更改或终止,用户对自有设备的应用运行权限实际被彻底剥夺
  • 安全论调是烟幕弹:Google Play Protect已可独立扫描恶意代码,身份核验并不提升代码安全性;EFF明确指出"身份核验是审查工具而非安全措施";隐私保护工具开发者被迫向Google交出身份信息,面临极大风险
  • 广泛反对与联署行动:F-Droid将此称为"存在性威胁",来自21个国家的69个组织已联署公开信反对,超过10万人在change.org请愿书上签名;EFF、电子前哨基金会、软件自由 Conservancy、KDE、GNOME等机构及众多科技媒体均强烈批评此政策
  • 行动呼吁:号召用户安装F-Droid替代商店、联系各国监管机构反馈;建议开发者拒绝注册参与该计划,不要签署不可撤销的服务条款;呼吁全球用户和开发者共同抵制这一单方面改变已售设备的规则

Localsend: An open-source cross-platform alternative to AirDrop

676 pointsLinkComment(217)Share

LocalSend:开源跨平台局域网文件传输工具

  • LocalSend 是一款免费开源的跨平台应用,作为 AirDrop 的替代方案,无需互联网连接或第三方服务器,即可在本地网络中与附近设备安全共享文件和消息
  • 采用 REST API 架构和 HTTPS 加密通信,TLS/SSL 证书在每台设备上动态生成;数据通过 53317 端口(TCP/UDP)传输
  • 支持 Windows、macOS、Linux、Android、iOS 及 Fire OS 六大平台,可通过应用商店、包管理器或直接下载安装包获取(建议使用前者以获得自动更新)
  • 使用 Flutter 框架开发,通过在可执行文件目录创建空白 settings.json 文件可启用便携模式,支持 --hidden 参数实现隐藏启动
  • 若设备无法被发现,需确保防火墙放行 53317 端口(TCP/UDP)并关闭路由器 AP 隔离功能;Windows 需将网络配置为"专用网络"
  • 支持 16 种语言翻译,可通过 Discord 社区交流或 Weblate 翻译平台协作贡献

Claude.ai unavailable and elevated errors on the API

198 pointsLinkComment(163)Share

Claude.ai 服务中断事件已解决

  • 事件已于 2026年4月28日 19:15 UTC 正式解决,各服务成功率已恢复正常,团队正在持续监控
  • 此次故障影响了多个服务:claude.ai、Claude Console、Claude API、Claude Code、Claude Cowork 及 Claude for Government
  • 问题表现为三个主要症状:用户无法访问 Claude.ai、API 请求出现大量认证错误、Claude Code 登录路径异常
  • 影响时段持续约 1 小时 18 分钟,从 17:34 UTC 持续至 18:52 UTC
  • 团队响应迅速:17:41 UTC 启动调查,17:51 UTC 定位问题,18:59 UTC 进入监控阶段,19:15 UTC 宣布解决

VibeVoice: Open-source frontier voice AI

285 pointsLinkComment(162)Share

微软VibeVoice:开源前沿语音AI模型系列

  • VibeVoice是微软开源的语音AI模型系列,包含文本转语音(TTS)和自动语音识别(ASR)两类模型,采用基于大语言模型(LLM)的next-token diffusion框架,核心创新在于以7.5 Hz超低帧率运行的连续语音分词器(声学和语义分词器),在保证音频保真度的同时大幅提升长序列处理效率
  • VibeVoice-ASR-7B:统一语音转文本模型,支持单次处理最长60分钟音频,可生成包含说话者身份(Who)、时间戳(When)和内容(What)的结构化转录,支持50多种语言的自定义热词识别,已集成至Hugging Face Transformers库,提供微调代码和vLLM推理支持
  • VibeVoice-TTS-1.5B:长文本多说话人语音合成模型,支持英语、中文等多语言,可单次生成最长90分钟语音,支持最多4个不同说话人的自然对话,论文被ICLR 2026录用为Oral;因发现被用于非预期用途,TTS代码已于2025年9月从仓库中移除
  • VibeVoice-Realtime-0.5B:轻量级实时语音合成模型,参数规模5亿,首个可听音频延迟约300毫秒,支持流式文本输入,可稳定生成约10分钟长语音,提供9种语言(德语、法语、意大利语、日语、韩语、荷兰语、波兰语、葡萄牙语、西班牙语)的多语言语音和11种英语风格语音
  • 该项目采用MIT许可证开源,GitHub星标约4.46万、Fork约5千,所有模型权重均可在Hugging Face获取,代码100%使用Python编写
  • 项目明确警告存在深度伪造和虚假信息风险,高保真合成语音可能被滥用于冒充、欺诈等不当目的;明确建议仅限研究开发用途,不建议用于商业或现实世界应用,使用者应遵守相关法律法规并主动披露AI生成内容的使用

Ghostty is leaving GitHub

481 pointsLinkComment(99)Share

Ghostty 宣布离开 GitHub:18 年深度用户的告别

  • Mitchell Hashimoto 是 GitHub 第 1299 号用户,2008 年 2 月加入,累计使用超过 18 年,几乎每天多次登录GitHub,占据了他大半人生
  • GitHub 曾是他最快乐的地方,大学凌晨 4 点、蜜月期间甚至失恋时都坚持在 GitHub 上提交代码,他把爱好、工作和热情都集中在这个平台上
  • 他启动 Vagrant 项目的原因之一,就是希望借此获得 GitHub 的工作机会,虽然最终未能如愿,但 GitHub 始终是他梦寐以求的工作场所
  • 近一个月以来,他在日记中记录 GitHub 故障影响工作的天数,几乎每天都有标记,仅在写作当天就有约 2 小时无法进行 PR 审查
  • 他明确指出问题不在 Git 本身,而在于 GitHub 的基础设施服务(如 Issues、PRs、Actions 等),这些问题每天都在严重影响他的工作效率
  • Ghostty 项目决定离开 GitHub,团队已有完整迁移计划,正在与多个商业和开源平台讨论具体去向,迁移时间与 4 月 27 日的大规模故障无关,只是巧合
  • 迁移将逐步进行,团队会在当前 URL 保留只读镜像供用户查阅;他个人的其他项目仍留在 GitHub 上

AISLE Discovers 38 CVEs in OpenEMR Healthcare Software

156 pointsLinkComment(98)Share

AISLE在开源医疗软件OpenEMR中发现38个安全漏洞

  • OpenEMR是全球最广泛使用的开源电子健康记录平台,被超过10万家医疗机构采用,服务超过2亿患者,支持34种语言,并于2026年2月发布获得ONC认证的8.0版本
  • AISLE研究员Stanislav Fort、Petr Simecek和Pavel Kohout使用AI分析器在2026年第一季度扫描OpenEMR代码库发现38个CVE,占该时期GitHub上所有OpenEMR安全公告的一半以上,数量超过2018年人工审计团队在更长时间内发现的23个漏洞
  • 发现两个CVSS 10.0最高严重级别的SQL注入漏洞:患者REST API排序参数漏洞允许通过UNION SELECT提取凭证哈希或利用SLEEP()进行时间盲注;免疫接种模块搜索报告漏洞则可直接从数据库任意表中提取数据,两者均可导致数据库完全沦陷、受保护健康信息大规模外泄及远程代码执行
  • FHIR CareTeam端点存在架构级别缺陷,即使使用患者作用域的OAuth2令牌也会返回所有患者数据,根因是服务类未声明患者隔离接口导致框架无法注入患者过滤逻辑
  • 漏洞按类型分为授权缺陷(最大类别,含多个IDOR漏洞、一个完全绕过认证的端点及反转的ACL检查)、跨站脚本攻击(部分跨越患者门户与临床界面的信任边界)、SQL注入、路径遍历和会话安全问题
  • AISLE为每个CVE生成符合OpenEMR代码风格的修复方案,维护团队快速响应,大部分修复于2026年2月11日随8.0.0版本发布,双方于同年4月正式建立合作关系,将AISLE PRO集成至代码审查工作流以在生产前捕获新漏洞

I have officially retired from Emacs

133 pointsLinkComment(78)Share

资深开发者正式告别使用20年的Emacs

  • 作者在2026年4月正式停止使用Emacs,结束了20年的日常使用,此前近一半时间已在逐步退出,经历了从Emacs到modal editing再到Vim的过渡,Emacs在其看来更像是一个应用平台而非单纯的编辑器
  • 为替代Emacs内置的M-x calc计算器和Elfeed阅读器,作者分别开发了stackcalcElfeed2两个跨平台原生C++ GUI应用,前者使用GMP和MPFR多精度库实现了更快的性能,后者虽未达到1.0版本但在数日内就已能完全替代使用了13年的原版且已超越原版功能
  • stackcalc以Emacs Calculator手册为规范实现,但缺少符号处理等深奥功能,仅覆盖作者自身的使用场景;作者表示可以后续继续添加更多功能
  • 选择wxWidgets而非Dear ImGui构建这两个应用,原因在于阅读器需持续运行而Dear ImGui的主动渲染模式不适用,且wxWidgets作为完整平台提供了可靠的文件I/O和路径处理封装,减少了平台层代码编写,两个项目在w64devkit上依赖CMake的FetchContent可实现开箱即用
  • 列出了13个活跃使用的Emacs包招募新维护者(包括Elfeed、Skewer、simple-httpd、x86-lookup等),要求申请者已建立信誉并有贡献记录(即使未被合并),作者愿意将项目转移到其他命名空间,若无合适人选项目将被归档而非删除
  • 借助新获得的开发能力,约三周的传统开发工作量现在可在一日内完成,这两个应用的快速开发验证了wxWidgets在多平台GUI项目中的高效性,未来wxWidgets很可能成为作者大多数GUI项目的基础框架

GitHub RCE Vulnerability: CVE-2026-3854 Breakdown

128 pointsLinkComment(36)Share

Wiz Research发现GitHub关键远程代码执行漏洞(CVE-2026-3854)

  • Wiz Research发现编号为CVE-2026-3854的严重漏洞(CVSS 8.7),存在于GitHub内部git基础设施中,任何已认证用户仅需一条git push命令即可在GitHub后端服务器执行任意命令,该漏洞是首批通过AI辅助逆向工程(IDA MCP)在闭源二进制文件中发现的重大安全缺陷
  • 技术根源在于babeld服务未对用户可控的git push选项值进行分号过滤,由于X-Stat内部协议使用分号作为字段分隔符且采用后写入胜出语义,攻击者可注入rails_envcustom_hooks_dirrepo_pre_receive_hooks等安全关键字段覆盖原有配置,进而绕过沙箱执行环境并通过路径遍历指向任意二进制文件实现RCE;在GitHub.com上还需额外注入enterprise mode标志位才能触达自定义钩子代码路径
  • GitHub.com为多租户平台,攻击者获取代码执行权限后作为git用户可访问共享存储节点托管的所有仓库,研究人员确认两个被攻陷节点上各有数百万个属于其他用户和组织的仓库条目处于可访问状态,但仅使用自有账户验证了跨租户暴露风险,未实际访问其他租户内容
  • GitHub在2026年3月4日报告当天6小时内完成GitHub.com修复并发布补丁,受影响GHES版本为3.19.1及更早版本,需升级至3.14.24、3.15.19、3.16.15、3.17.12、3.18.6或3.19.3版本,截至2026年4月28日公开披露时仍有88%的GHES实例未修复
  • 研究强调多语言多服务架构中内部协议数据假设的重要性:各服务对共享数据的解析和信任假设在组合时可能产生严重安全风险,建议构建多服务架构的团队审计用户可控输入在内部协议中的流转方式

Warp is now Open-Source

73 pointsLinkComment(23)Share

Warp:终端原生的智能体开发环境

  • Warp 是以终端为核心的智能体开发环境,支持内置编码智能体 Oz(可让 Oz 直接实现 issue)和 Claude Code、Codex、Gemini CLI 等第三方 CLI 智能体,OpenAI 为创始赞助商,智能体功能由 GPT 模型驱动
  • 客户端代码开源,采用双许可证策略:主体代码使用 AGPL v3,UI 框架(warpui_core 和 warpui)使用 MIT 许可证,但服务器端、Drive 后端及 Oz 智能体本身不在此仓库开源
  • 主要使用 Rust 语言(占 98%),支持 macOS 和 Linux,已有 30,000 颗星标和 1,000 次 fork,贡献者共 12 人
  • 构建流程简洁:./script/bootstrap 进行平台特定配置,./script/run 构建运行,./script/presubmit 执行格式化、代码检查和测试
  • 核心依赖包括 Tokio(异步运行时)、NuShell(Shell 环境)、Alacritty(终端模拟器)、Hyper(HTTP 库)、Fig Completion Specs、Warp Server Framework、FontKit、Core-foundation、Smol 等开源项目
  • 提供完善的贡献流程,通过 ready-to-specready-to-implement 标签标记 issue 状态,提及 @oss-maintainers 可 Escalate 至团队
← 2026-04-27 2026-04-28 ...