近期,Git社区发现了一个编号为CVE 2018-11235的安全漏洞。由于Git在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击。目前Git 2.17.1和Windows的2.17.1客户端软件版本已经发布,华为云DevCloud建议所有开发者请尽快升级到这一版本或更高版本,DevCloud已经在第一时间更新并修复了这一漏洞,还采取了进一步安全措施,防止恶意代码库被推入到华为云。
CVE 2018-11235安全漏洞是当用户在恶意代码库中操作时,可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。当这个代码仓库被来回复制时,Git最初会将父仓库放到工作目录中,然后准备复制子模块。但是Git稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。因此Git可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。但是并非所有文件都可以被复制,当客户端复制代码库时,无法从服务器获取重要的配置,这包括 .git 或配置文件的内容。另外,在Git工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行Post-checkout钩子。不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。
CVE 2018-11235的漏洞正是犯了这个错误,所以Git有子模块来设置漏洞。子模块存储库提交给父存储库,并且从未实际复制过。子模块存储库中可能存在已配置的挂钩,当用户再次出现时,恶意的父库会被精心设计。将写入工作目录,然后Git读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何Post-checkout挂钩。为了解决这个问题,Git客户端现在将更仔细地检查子文件夹文件夹名称。包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于.git 中,而不能位于工作目录中。
华为云DevCloud是作为华为云的组成部分, 是华为30余年研发实践和前沿理念的结晶,为开发者提供一站式、轻量级的DevOps工具服务,同时,也是帮助企业修炼内功的一大利器,可以有效支撑企业DevOps落地,实现项目的高效、高质量迭代。未来,华为云DevCloud也将携手各企业各开发者,精诚合作互通,及时响应反馈,更好的为广大开发者提供稳定可靠的DevOps工具,助力软件企业专注业务创新。
代码托管(CodeHub)为软件开发者提供基于Git的在线代码托管服务,包括代码克隆/下载/提交/推送/比较/合并/分支等功能。(5用户+500M存储空间以内免费体验)https://www.huaweicloud.com/product/codehub.html
好文章,需要你的鼓励
本文探讨如何使用生成式AI和大语言模型作为倾听者,帮助用户表达内心想法。许多主流AI如ChatGPT、Claude等被设计成用户的"最佳伙伴",或试图提供心理健康建议,但有时用户只想要一个尊重的倾听者。文章提供了有效的提示词技巧,指导AI保持中性、尊重的态度,专注于倾听和理解,而非给出建议或判断。同时提醒用户注意隐私保护和AI的局限性。
北京大学团队开发出WoW世界模型,这是首个真正理解物理规律的AI系统。通过200万机器人互动数据训练,WoW不仅能生成逼真视频,更能理解重力、碰撞等物理定律。其创新的SOPHIA框架让AI具备自我纠错能力,在物理理解测试中达到80.16%准确率。该技术将推动智能机器人、视频制作等领域发展,为通用人工智能奠定重要基础。
人工通用智能和超级人工智能的出现,可能会创造出一种全新的外星智能形态。传统AI基于人类智能模式构建,但AGI和ASI一旦存在,可能会选择创造完全不同于人类认知方式的新型智能。这种外星人工智能既可能带来突破性进展,如找到癌症治愈方法,也可能存在未知风险。目前尚不确定这种新智能形态是否会超越人类智能,以及我们是否应该追求这一可能改变人类命运的技术突破。
香港大学和蚂蚁集团联合推出PromptCoT 2.0,这是一种让AI自动生成高质量训练题目的创新方法。通过"概念-思路-题目"的三步策略,AI能像老师备课一样先构思解题思路再出题,大幅提升了题目质量和训练效果。实验显示该方法在数学竞赛和编程任务上都取得了显著提升,为解决AI训练数据稀缺问题提供了新思路。