技术杂谈

原创 “效能指标”，该由谁来定义？| 谈效风生

在追求KPI好看的问题上，其实这些指标往往是过程指标，我的建议是给业务团队自主权，让他们决定是否使用，而不是一味的考核，目的还是让业务团队参与到指标建设中来，定义过程指标的目的是在发现问题、解决问题方面发挥的作用，也能减少追数据的现象发生。其实指标不合理的情况是普遍存在的。最后，对于效能的评估结果，我们会及时与业务团队的每个人去沟通，让他们在此指标系统下有清晰的认知和需求反馈，让业务团队知道指标是来帮助他们而不是来考核他们，促使其主动加入指标系统的定义，确保指标对业务有实际用处，以帮助进行效能改进。

原创 企业拥抱开源的同时，该如何做好风险防范？- 对话新思科技杨国梁

毫不夸张地说，开源软件已经渗透到人们生活的方方面面。但与此同时，我们也看到，开源组件带来的安全风险也在不断增加。不过，可以预见的是，凭借着多年在软件安全和质量解决方案方面的经验积累，新思科技将帮助越来越多的企业持续提升管理开源风险的能力。

原创 「自动化」聊起来简单，做起来难 | 谈效风生

“一切自动化”是大家都在追求的，自动化的难点在什么地方？

原创 如何找到现有研发体系的「内耗问题」？| 谈效风生

我们评估现有研发体系时，要做些什么呢？在发现体系中的「内耗问题」后，又要做些什么？这些都是实践DevOps或DevSecOps的前置工作

原创 2023RSAC创新沙盒大赛十强公布，软件供应链与开源软件安全再成焦点

2023RSAC大会公布了第18届RSAC创新沙盒竞赛的决赛“十强企业”。软件安全企业Endor Labs成功入围，软件供应链安全和开源安全问题再次成为国际焦点。

原创 Endor Labs：2023年十大开源安全风险

软件供应链安全检测平台 (SSCSP)，提供全方位软件安全检测

原创 谈到提升效能，我们应该如何下手？| 谈效风生

现在很多企业或团队开始重视「研发效能」，当意识到效能需要提升时，要如何开始？安全方面的工作要做什么？

原创 如何理解研发效能 ？它与DevSecOps有何关系？| 谈效风生

如何理解研发效能 ？它与DevSecOps有何关系？

转载 从ChatGPT的火爆回忆6年前的硅谷之行

AI大模型ChatGPT的兴起跟移动互联网刚起步一样，打开了一扇新的天窗，可以被看成是一个标志性的事件，即生成式AI或者叫AIGC的产业化起点。AIGC证明了在制造业之后，内容产业也有望进入一个人机协同的新时代。AI大模型初步验证了一种新范式的价值，并且打破了此前的瓶颈，目前可能90% 的创作都是人来做，剩下10% 由机器辅助，未来将反过来。我在创业GitChat内容产品的第二年2017年3月，跟...

原创 DevSecOps破局，纵深一体化安全研运让价值高效流动

继IT组织纷纷转向敏捷研发与DevOps模式，如何在快速交付的同时，保障安全交付成为业内广泛关注的焦点，DevSecOps应运而生。那么，传统敏捷研发模式究竟存在什么弊端？DevOps遗留了哪些问题？DevSecOps有何特点？行业的实践情况如何？IT团队选型时应该如何考虑？

原创 从OSPO 来思考开源治理问题

相比于OSPO的职责，国内企业对开源治理工作的进行，如果不是国家政策和标准的推动，很可能只是增加对 SCA工具来确保企业自身的开源组件安全。但对于整个软件供应链来说，只靠工具来维护是远远不够的

原创 开源网安CodeSec顺利获得CWE国际认证，引领软件安全行业

开源网安作为软件安全领域的先行者，旗下的SAST、SCA、IAST 三大产品超越其他国产软件安全厂商，成为唯一一家三款产品通过CWE国际兼容性认证的厂商。

转载 利用CodeSec代码审核平台深度扫描Log4j2漏洞

Log4j2 安全漏洞（编号 CVE-2021-44228）事件已经过去一个多月了，但它造成的危害影响却非常严重，各大软件安全厂商在第一时间针对此漏洞紧急做了补丁。虽然漏洞最早是由阿里发现的，但实际上它是一个0day漏洞，这就意味着早在国内发现它之前，国外可能利用该漏洞已经有一段时间了。Log4j2 漏洞也许早就被发现了想发现这个安全漏洞其实并不难，使用常规的挖洞工具、SAST（静态应用安全测试）工具、SCA（软件成分分析）工具都能挖掘出来，但为什么一直没有引起重视或暴露出来呢？事实上，可能很多 h

原创 开源网安实现高效、高精度的静态应用安全检测 -CodeSec

来自安全牛的推荐SAST工具，开源网安CodeSec代码审核平台

原创 Apache Log4j远程代码执行漏洞 | 风险漏洞提示

开源网安研究院注意到，一个 Apache Log4j2 的高危漏洞细节被公开，攻击者利用漏洞可以远程执行代码。SourceCheck 产品对此次漏洞可以提供在线和离线升级包来对此协助筛查。

原创 SonarQube漏洞导致源码泄漏，国产化迫在眉睫

SonarQube被黑客攻破，是时候选择可靠的国产软件替代

原创 Python 又㕛叒叕拿第一，凭啥？ | 12月编程语言排行

Python 在一年时间里成为指数增长最快的编程语言，目前的增长率为 + 1.90% ，遥遥领先。亚军分别是 C++ (+ 0.71%)、 R (+ 0.60%) 和 Groovy (+ 0.69%)。任何语言在今年的最后一个月接近 Python 的可能性都非常低。这意味着 Python 可能会第四次赢得冠军，这在 TIOBE 历史上是一个记录。这个月，5 种潜力巨大的语言中也出现了一些有趣的变化:Rust：从第 25 位移到第 21 位；Julia： 从第 30 位移到第 26 位；Dart.

转载 图灵直播｜《第一行代码》作者郭霖首次在线Coding，今晚八点，给你留位！

图源来自Pexels“我们为什么需要 Kotlin？答：消失的 Getter 和 Setter、又见空指针、Smart Cast、打日志、再见Utils、晚安ButterKnife……”...

转载 一次说清，Java 中的各种锁和 经典面试题

如果说快速理解多线程有什么捷径的话，那本文介绍的各种锁无疑是其中之一，它不但为我们开发多线程程序提供理论支持，还是面试中经常被问到的核心面试题之一。因此...

转载 Python 全栈工程师必备面试题 300 道（2020 版）

Python 面试不仅需要掌握 Python 基础知识和高级语法，还会涉及网络编程、web 前端后端、数据库、网络爬虫、数据解析、数据分析和数据可视化等各方面的核心知识。本人结合自己多年...

转载 面试官问：如何快速开发一个类似微信的聊天系统？

去年我们公司要我去面试一位候选人，当时刚好我接手了公司的 IM 系统，借这个机会，就问了候选人这个问题：如何快速开发一个类似微信的聊天系统？这个问题的确让候选人回答起来很吃力：从分析 P...

转载 为什么要学习设计模式

写出可维护、可复用、可扩展及灵活的代码是我们的目的，也是学习设计模式的理由，但是这个理由对我们来说太抽象，下面从「读」和「写」两方面来说明到底为什么要学习设计模式。读作为开发人员，不可避...

转载 微信小程序开发竟然这么简单？！

无处不在的小程序自从 2017 年 1 月 9 日，张小龙在 2017 微信公开课 Pro 上发布小程序开始算起，微信小程序已经走过了三个年头。从当初的只闻其名到今天的耳濡目染，微信小程...

转载 Spring Cloud 面试题，你能答对几道 ？

Spring 是当下 Java 行业的开发标准，Spring Boot、Spring Cloud 更是热门话题。出门遇见同行，不会 Spring 你可能都不好意思跟别人打招呼。企业的招聘...

转载 如何通关自然语言处理面试？

来点直接的，先看看一些常见自然语言处理面试题：RNN 为什么会发生梯度消失？如何改进？LSTM 的模型结构是什么？为什么说 LSTM 具有长期记忆功能？LSTM 为什么能抑制梯度衰减？什...

转载 解读《阿里巴巴 Java 开发手册》背后的思考

《阿里巴巴 Java 开发手册》是阿里巴巴集团技术团队的集体智慧结晶和经验总结，经历了多次大规模一线实战的检验及不断的完善，系统化地整理成册，反馈给广大开发者。现代软件行业的高速发展对开...

转载 【万字总结】个性化推荐系统学习

在这场娱乐的搏杀中，每个人终将是杀死自己的凶手。前言从最初接触个性化推荐系统已过去六天。今天是第七天，完全可以对前六日的学习做出复盘。推荐系统并没有如同网络上那般盛传的玄秘深晦，而是直白...

转载 JVM 面试都问些啥？看这一篇就够了

昨晚，我在路口等车的时候，听到几个人在那讨论问题：“之前我用 jprofiler 监控 jvm 里的对象，当老年代满了，我手动触发一次 fgc，发现只能回收一半，再触发一次，就完全回收，...

转载 程序员的数学修养

缘起原本，数学并不是一个职场热词。直到人工智能的第三次高潮来临，传说中“做算法”七八十万的起步价和平均几百万的年薪刺激到了大众的神经，对大学数学课基础内容的重视才在程序员这个小众群体中成...

原创 月薪30K的90后程序员，下班后都在干什么？

转载 机器学习/深度学习书单推荐及学习方法

写在前面本人是个对数学和人工智能极其感兴趣的人。平时，我也在线上线下经常与国内外的朋友讨论人工智能的各种方面，无论是技术方面还是哲学方面。我帮助过很多实习生和网上的学生，带领他们从入门一...

转载 微软大牛邹欣老师带你写出你的第一个 AI 应用

是时候学习 AI 了！怎么做我们来教你。所需环境：64 位的 Windows10，Windows8/7 64 位下也能安装。机器要有至少 30G 的硬盘空间。要求：读者...

转载 作者面对面 | 95 后工程师 zhisheng 的 Flink 之路

Hi，先给大家做个简单的自我介绍吧hello，大家好，我是 zhisheng。有的童鞋可能会好奇为啥是叫这个，其实就是我名字的拼音，没啥别的典故 ????。我毕业一年半了，现...

转载 用 SQL 玩转世界银行全球 GDP 数据

SQL（Structured Query Language，结构化查询语言）作为访问和操作关系数据库的标准语言，不但应用广泛，而且简单易学，因为它在设计之初就考虑了非技术...

转载 大数据“重磅炸弹”：实时计算框架 Flink

上架刚一周多的大数据实时计算引擎 Flink 专栏收获了大量读者的赞誉和期许。甚至有读者愿意熬最深的夜看最佳的文。可见大家是真的很期待 Flink 专栏的内容更新。专...

转载 我如何在 19 年校招中获得 15 家知名公司的 offer

又到了一年一度的校园招聘季，每年这个时候都被称为“最难毕业季”。我一直认为“最难毕业季”只是相对而言，只要自己有充足的准备和掌握合适的方法，永远会有好的工作在等你，相信很...

转载 MySQL 面试，必须掌握的 8 个知识点

上周末和在北京的哥们国仔涮火锅，席间聊起了最近面试的经历。他说想换工作的原因很简单，就是要涨工资，原来的公司呆了两年多，薪资浮动不超过 500 元。而身边跳槽的那些同事，...

转载 MongoDB 实战教程：数据库与集合的 CRUD 操作篇

MongoDB 是一个非关系型数据库（NoSQL）。它拥有很多优秀特性，例如高性能、高可用、支持丰富的查询语句、无需预定义数据模型和水平可伸缩等，这些特性使它受到众多开发...

转载 吴军：顶级工程师能让中国走向浪潮之巅

吴军：《浪潮之巅》《全球科技通史》作者采 访：盼盼姐来 源：GitChat（ID:GitChat）最近很多人都在讨论吴军，源于他在接受采访时曾对几家炙手可热的互联网公司...

原创 仿照源码，手写一个自定义 Spring MVC 框架

Spring 框架目前已经成为 Java 开发的行业标准，Spring MVC 作为其 Web 解决方案，是所有 Java 开发者都必须掌握的基本技能，理解其底层原理，才能更好地应用它进行实际开发。本文将带领大家一起动手，仿照 Spring MVC 的实现思路，手写一个自定义的 Spring MVC 框架，实现其核心功能。主要内容如下：1、梳理 Spring MVC 实现原理2、自定义 DispatcherServlet3、自定义 @Controller、@Reque