简单聊聊奥特曼中很有趣的细节
ヒーロが必要なんだよ,金城君。ヒーローが必要なんだ!
简单聊聊 CVE-2024-21626
本来这篇文章应该在初一凌晨发的,但是拖延癌晚期,所以到现在才发,得反思下了
背景众所周知,容器逃逸并不是什么令人稀奇的问题了(不被逃逸的容器才是稀奇),2月初,runc 社区正式公布了一个船新的逃逸 CVE,参见 https://github.com/opencontainers/runc/security/advisories/GHSA-xr7r-f8xq-vfvv,版本横跨 1.0 到 1.1.11
这个 CVE 的核心特性在于“可以通过镜像分发的方式,成本很低的进行逃逸”
我们先来复现一下这个问题
我自己的环境是这样
看这篇博客的同学可以参考下面方式进行环境准备,
按照自己的发行版确保安装了,Docker, libseccomp, golang
按照下面方式进行环境安装
1234567891011git clone https://github.com/opencontainers/runcgit checkout v1.1.0-rc.1makesudo rm -rf $(which runc)sudo make installsudo systemctl restart ...
简单聊聊 Python 3.13 的 JIT 方案
Python 3.13 的 JIT 方案最终确定了,我觉得可以说又新又好。所以深夜水一篇水文,来聊聊这个 JIT 方案
这篇文章可能会有些枯燥,所以如果对此不感兴趣的同学可以直接 x 掉
基础知识在聊 Python 3.13 具体的实现之前,我们需要来了解下它所采用的 JIT 方案的基础知识
JIT 本身的定义我相信阅读这篇文章的同学已经非常了解了,所以此处不再赘述。JIT 核心分为两大块
代码的 profile,以确定热点路径,尽可能的减少 JIT 的 fallback
汇编代码的生成
本文主要会聊代码的生成部分
在此之前,Python 生态里一个 JIT 的实现,Pyston/Pypy,他们所采取的方案其实是和 LuaJIT 的方式类似,开发者手写汇编来完成代码的特化,然后依赖 DynASM 执行相关的代码
这种方式主要的缺陷在于
手写汇编带来的心智负担
对于平台的兼容性
为了给大家一个直观的感受,我给出一个我之前写过的汇编的例子来作为演示
首先,我需要实现的功能很简单,用 C 来描述应该是这样的
123456int main(int argc, char *argv[] ...
Per aspera, Ad astra
外星人一定很奇怪,本星际云本地泡银河系猎户悬臂边缘的太阳系第三行星的人类,怎么又在开始为他们庆祝行星绕行一圈开始忙碌了呢?
开篇如果要说要说今年最让我记忆犹新的瞬间,那么毫无疑问是今年8月,月初的某一天,我毫无征兆的突然情绪爆发,冲到窗口边打开窗户,试图从十八楼一跃而下。不过可能我没法有游戏里的主角这一样的光环,落地,转身,拍拍屁股走人。可能只是在繁华的街道上徒留一地碎肉。
所以,妹子不知道为啥发觉了我的异常,在我一只脚迈出窗外的时候,死命将我拉了回来。我从没想过她的力气会那么大,会那样的无畏的拉着我。
所以我有些闲暇坐在这,写下这篇文章。
生活从试图跳楼往前回溯,是连续几周的同一个噩梦,梦回到了自己被强奸的现场,每一次都是同样的真实。可能我想我的一些坚守的防线在不知不觉中被打破了吧。
如果说2023的关键词第一个是爱,那么第二个应该就是 tough 了
无数的噩梦,自我的怀疑,各种不如意的琐事,最喜爱的演员的离世,最惨的时候两周去了六次急诊缝了5针,打了三针,这一些 tough ,负面的词一直环绕着我。某种意义上今年是我内心猛兽更被释放的一年。我某种意义上一度陷落十来岁那种暴戾的状 ...
家庭 Homelab 升级计划: v2
人生嘛,Homelab 图个乐子
Python 3.12:一个被人忽略的史诗级版本
Python 3.12 已经发布了一段时间,所以写篇水文来聊一聊这个常常被人忽略的史诗级版本。
正文Python 3.12 绝对是一个史诗级版本,在我心目中,它对于 Python 的意义,大于 “async/await” 的 Python 3.5 和 “Type Hint” 的 Python 3.6 对于 Python 的意义。
或者我们可以这么说在未来数年的时间里,Python 后续的很多意义重大的变更,其都能上溯到 Python 3.12。
理解我这一个观点,我们来说一下 Python 的几大痛点:
Python 的可调试性,可观测性问题。历史上 Python 中做 Cost 的消耗极大,同时没有足够的手段可以从旁路去观察 Python 的运行时行为
Python GIL 问题,这个老生长谈了,不多说
Python 的 C API/ABI 问题,之前暴露的 C API/ABI 通常和 CPython VM 实现细节耦合,导致跨版本兼容性会是一个问题
而这样一些问题,Python 3.12 上都有了极大的进步
PEP 669, GH-96143 极大提升了 Python 的可观 ...
开源可能没你想的那么难
去参与社区?难吗?其实不难,只是你想的很难,或者说难是你给自己找的借口
正文很多人觉得参与进开源社区很难,无外乎几个原因
觉得自己技术栈不符合
觉得没啥事可以做
觉得太难了
我自己对于这个观点表示不太认可,所以我从九月中旬开始,用了一个月时间,利用 incubator-opendal 做了一个实验,为什么会选择这个项目?原因以下几点
Rust 对于我来说是一门我非常不熟悉的语言,相当于我跨技术栈去做一些事情
我自己之前是做网关和容器相关的偏多,存储方面对于我来说不是在我的好球区
所以我想看一下,我自己作为 fresh man 能在这个社区里面做什么事
截止到今天,我整体的提交记录如下
整体的花费的时间接近34h
整体工作内容横跨了几个方面
多个 Service 的支持(MySQL/Sqlite/MongoDB)
拾掇拾掇了 CI,参与 Action 的重构
把整体 Layer 的文档覆盖了
把可观测性的部分做了不少改进
而截止到目前,还有很多工作需要去继续跟进,比如
基于 DTrace 的进程调试支持
可观测性的几个 Layer 的完善
Layer 的测试补全
...
聊聊 Python 3.12 中 perf 的原生支持
好久没写 Python 相关的文章了,但是 Python 3.12 perf 原生支持的这个特性非常的棒,思路又新又好了属于是,所以写篇水文来聊聊这个特性
正文先聊聊 Python 的栈帧在聊今天的正式内容之前我们需要理解 Python 在内存中的布局
对于传统的 native application 而言,大家对于其内存布局应该是比较熟悉的,这里以 x86-64 的一张图来说明其栈帧结构
但是对于 CPython 来说,其 Native Code 执行的只是 VM 一层的代码。其在 VM 内单独抽象了一套类似 native 的栈帧结构。
其核心结构如下
1234567891011121314151617181920212223242526272829303132333435363738struct _frame { PyObject_HEAD PyFrameObject *f_back; /* previous frame, or NULL */ struct _PyInterpreterFrame *f_frame; /* points t ...
关于 CPU Burst 在 K8s 中的一些设计想法
深夜看群友聊的我实在焦虑,起来随便写个水文压压惊
正文写这篇文章的原因是之前给 runc 提的 CPU Burst 支持的 PR [Carry #3205] libct/cg: add CFS bandwidth burst for CPU 终于开始有了新的动静了,这次换了一个国人的 reviewer,感觉要是运气好能在9月开始合并这个 PR。
如果这个 PR 被合并了,那么在 containerd/nerdctl 等其余项目上支持 CPU Burst 的工作就可以开始了。所以这篇文章就是想记录下我对于 CPU Burst 在 Kubernetes 内实现的一些想法,差不多可以当作自己写正式的 KEP(Kubernetes Enhancement Proposal) 草稿
主要分为两个部分来聊一下
CPU Burst 的一些背景
目前 Kubernetes 对于 CPU 资源切分的设计概要
CPU Burst 在 Kubernetes 中的一些设计想法
CPU Burst 的一些背景聊 CPU Burst 之前必须要先聊一下 Linux 里面关于 CGroup 的一些背景知识
提 ...
关于用户态栈回溯(Unwind)的一些杂记和想法
随手记录一些关于用户态栈回溯(Unwind)的一些杂记和想法。
正文昨晚三点过刚吃完药躺在床上休息的时候,突然想到了 @yihong0618 的之前在群里的一个想法
我在想 eBPF 能不能 trace libpq 的协议,好像还没有人做过
我最开始的一个想法是
现在主流做法还是 ptrace 系的东西(gdb 那套),你要用 eBPF 去 trace libpq 肯定没问题,就和 Grey 用 uprobe 去 trace go 一样,手算 cast。但是这里另外一个问题是 libpq 的符号信息不一定够。我倾向你可以这样试一下,你改一下 libpq 源码,关键地方走 USDT(我看你之前用过)
不过后续我师父出来有了一个提醒
如果目标是 trace libpq.so 的调用情况,那应该目前就可以做到。.so 相比 executable 有几个优势:
它一定有动态符号表
它一定有 .eh_frameuprobe 恰好又是 attach to the binary offset 而不是 process address,所以第一个优势完美匹配 uprobe,甚至绕开了 ex ...