2026-06-06 · 5 篇文章 归档
Scala 3.8.4 主要包含安全审计修复成果,此次审计由 Open Source Technology Improvement Fund 与 Quarkslab 合作完成。关键修复包括:防止恶意构造文件导致 TASTy 解析无限循环、修复 Scaladoc 中的存储型 XSS 漏洞、改进 scala.sys.process.Parser 的错误处理。此外,REPL 新增 :help 语法支持所有编译器设置的文档查询,内置 Scala CLI 从 1.11.x 升级至 1.14.0,带来跨平台 run/package 支持、Scala.js 1.21.0 兼容及 .test.java 文件支持等新特性。
The Scala Programming Language 2026/06/04
npm、pnpm、Bun、Deno、Composer 等包管理器均已引入「安装脚本白名单」机制,要求用户显式授权依赖包执行安装时代码。npm 11.10.0(2026年2月)通过 allowScripts 字段实现逐包审批,目前仍为建议模式;pnpm v10 起默认阻断安装脚本,v11 统一为 allowBuilds 映射并提供交互式 pnpm approve-builds 工具。文章还梳理了 opam、Nix 等全局沙箱方案,以及 RubyGems、NuGet 等签名验证机制,系统覆盖 JavaScript、Python、Ruby 等生态的供应链安全实践。
Andrew Nesbitt 2026/06/05
Google I/O 2026 上,Android 团队宣布所有新 Android UI 将以 Jetpack Compose 为准,旧 View 系统(TextView、ListView 等)正式进入维护模式,仅接受关键性修复。Android Studio 的 Layout Editor、Navigation Editor 等 View 时代工具也停止功能增强。文章还介绍了跨平台工具 Skip 的应对策略——其从首日起即采用 Compose First 架构,可将 SwiftUI 代码转译为地道的 Jetpack Compose 树,无需额外的互操作层。
Skip 2026/06/04
Ladybird 浏览器创始人 Andreas Kling 宣布不再接受公开 Pull Request,核心原因是 AI 工具已打破「代码贡献量等于信任代理」的传统假设。他指出,一个体量可观的补丁曾意味着大量人工投入,是判断贡献者善意的合理依据,但这一逻辑已不再成立。对于一款运行不受信任网络输入的浏览器而言,代码责任必须归属于明确可追责的维护者。
Simon Willison's Weblog 2026/06/05
Ladybird 浏览器项目宣布即日起关闭公开 PR 通道,代码变更仅由项目维护者引入。官方将这一转变归因于 AI 工具显著降低了生成「看起来像认真贡献」的代码的成本,使得 PR 不再能有效反映贡献者的真实意图与能力;而浏览器直接处理来自全网的不受信任输入,一个隐蔽漏洞足以造成严重后果。项目将关闭全部现有公开 PR,不设替代提交渠道,但源码仍以开源许可证公开。
Ladybird Browser Posts 2026/06/05
未读 5 → 抓取 5 → 摘要 5 · 提取: readability 5