我最早是在 @nadoo 的代码里看见的，现在已经是标配了
- /t/375186
- https://github.com/nadoo/glider/blob/668d5bc47038453e7798a6d840f6081058991a3f/mixed.go

@cue #83 阿里云盘用户再多，羊毛福利再好，它哪怕注册送套房也改变不了它隐私差这个问题啊。这个发行版也是同理，它在隐私保护方面的脆弱性是不需要体验就能得出的，它做得再方便我也不会当作自己的 NAS 系统。在意隐私的用户和你不是一个群体，用它的人没病，拒绝用它的人也没病，一定要说服对方才有病，希望你明白。

二十个字的 slogan 不包含隐私二字，在隐私协议和用户协议里都没有写明用户的私有数据是不是只有用户能访问和解密；没有找到版本变更，只提供一个镜像文件，并且没有提供校验值；云服务靠手机号注册，目测可以接码重置密码；公网访问默认没有 HTTPS ；是已备案的、迎合中国法律法规的企业

@georgetso #16

1. major 之外不会有**语言层面的**破坏性更新，major 维护时间是一年，有半年的时间做迁移
2. major 的破坏性更新很少，在因为修复错误或者漏洞而不得不破坏时，也承诺提供机制来保持兼容性 https://go.dev/doc/go1compat https://go.dev/doc/godebug
3. 停止维护的版本会有已知漏洞，我觉得这个优先级更高

新特性不一定第一时间用起来，但版本一定保持最新

补牙有穿髓风险，更相信大医院的医生。而且不同的补牙医生对人的影响一两年是看不出来的，十年后可能就后悔了。

知识点太多，我学得磕磕绊绊的，写几行就要重新翻手册

@x2420390517 #21 我指出我觉得 OP 理解有误的地方（**主流的部署在服务器上的**编译后的 java 项目并不比打包后的 node 项目保护强度高），并给我觉得更合理的方案（堡垒机用于授权监察审计），请问有什么问题吗？真顺着 OP 的思路去探讨不适合这个场景的混淆加固方案吗？不是我不会，是我觉得不合适。

看来会成为一年一顿的冷饭

1. node 生产环境一样要打包混淆压缩，部署源码是错误的做法
2. node 编译产物和 java 编译产物在防止泄漏源码这件事上强度差不多
3. 有直接登录生产服务器权限的人想干什么都行，你可能需要的是堡垒机

> 前一段时间，有一个小红书的博主，向大家展示自己向 Kubernetes 提交一行文档错误修复的 PR ，并获得批准的过程。那时候，不少人指责博主这么做是在浪费开源软件维护者的时间。

首先论迹不论心，我觉得那个博主没有问题，反倒是指责她羞辱她的人多有问题。

> 有一种观点认为，提交这一类 PR 的人，并不是真心愿意参与开源项目，只是期盼未来出现形如 HNS 或者 STRK 这样的加密货币空投，发放给在开源社区有过贡献的人，从而让自己也获取数百美元的空投加密货币，带来经济利益

值得警惕的是低质量 PR 的 flood ，而不是「细小 PR 」，因为前者会影响社区的正常运行，后者不会。至于 flood ，哪怕没有空投也会有别的，因为世界很大开源很小。

可能会是 T 恤：
- https://joel.net/how-one-guy-ruined-hacktoberfest2020-drama
- https://blog.domenic.me/hacktoberfest/

可能会是 AI：
- https://navendu.me/posts/ai-generated-spam-prs/

可能会是一份教程里的「求职技巧」：
- https://x.com/feross/status/1757463614532071545

> 如果有加密货币空投这个因素需要考虑的话，那么作为具有一定数量的 star 的开源软件维护者，是否需要在 PR 审核的策略上，做出一些调整，把这些并非真正参与开源项目，而是博取针对开源贡献者的加密货币空投的人，来过滤掉？

空投、T 恤、求职加分都是被外部加上去的，跟开源无关，开源社区在它自己的范围内保持公平就行：遇到 flood 那就拒绝所有低质量 PR 和「细小 PR 」，遇到本社区的老面孔使劲刷这类 PR 那就拒绝并批评，其它的就按照对待本社区新人的正常流程来。至于贡献者是被什么驱动，那是别人的自由。

> 但是这也没有一个有效的策略，可能需要对这个人以及这个 GitHub 账号进行深入的背景调查，才能得出这个人对这个开源项目的忠诚程度。

我觉得这整句话都太怪了，给某个开源项目 PR 为什么要对它忠诚？随机找到个以后也不会再接触的一次性轮子，使用之后改一改 typo 修一修小 bug ，这样的 PR 很自然而然啊。还是那句话，论迹不论心。

NIST https://web.archive.org/web/20240626172116/https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-90Ar1.pdf
实现 https://github.com/Mbed-TLS/mbedtls/blob/development/tf-psa-crypto/drivers/builtin/include/mbedtls/ctr_drbg.h
安全性 https://en.wikipedia.org/wiki/NIST_SP_800-90A#CTR_DRBG

出门在外身份都是自己给的，我就觉得你是专家我也是专家，你是你们厂的专家，我是我们村的专家

你的问题

做成小书或视频放在网上不就行了吗？有搜索引擎有 AI ，还能有难以入门的普通技能？手把手教学的成本高大概是因为沟通成本高，沟通成本高是因为需要手把手教学的人一般没什么学习的内驱力，什么都等着喂。