1.CVE-2022-0540 Jira身份验证绕过漏洞分析
2.Linux内核源码解析---cgroup实现之整体架构与初始化
3.如何学习Docker
4.一文图解｜cgroup 设计分析（Docker底层技术）
5.docker和docker应用程序的区别
6.dify+ollama构建本地大模型平台

CVE-2022-0540 Jira身份验证绕过漏洞分析

       Jira身份验证绕过漏洞分析：CVE--

       漏洞描述

       Atlassian Jira作为一套缺陷跟踪管理系统，源码被广泛应用于各类问题和缺陷的分析跟踪管理。然而，源码该系统最近被发现存在身份验证绕过漏洞（CVE编号：CVE--），分析允许攻击者通过特制的源码HTTP请求，绕过WebWork操作中的分析面相ai源码身份验证和授权要求，对系统进行非授权访问。源码

       利用范围

       受影响的分析软件包括Atlassian Jira及其服务管理版本。

       漏洞分析

       在进行环境搭建时，源码使用Docker技术构建了一个测试环境。分析随后，源码对源码进行了分析，分析将相关文件夹设置为Libraries，源码以便于后续调试。分析

       在分析过程中，源码我们了解到Jira采用了MVC框架WebWork来处理用户请求，并使用Seraph作为认证框架。Seraph通过Servlet和Filter实现，用于将请求与特定用户关联。

       通过静态和动态分析，我们发现Seraph过滤器会在doFilter方法中根据请求用户权限进行判断，并进一步确定所需角色。在请求URL的解析过程中，攻击者通过在URL中插入“;”字符，在线题库源码怎么导出可以绕过认证机制，访问不受权限控制的资源。然而，实际访问时还需要进行额外验证。

       在后续的调试过程中，我们发现Filter中获取URL的方式为getRequestURL，并在Servlet中使用getServletPath。通过修改URL构造，攻击者能够在绕过认证层后访问特定资源。

       修复建议

       受影响用户应尽快将产品更新至最新安全版本。官方公告提供了详细的升级指南和修复信息。确保所有Atlassian Jira及服务管理版本的用户及时采取行动，以保护系统安全。

Linux内核源码解析---cgroup实现之整体架构与初始化

       cgroup在年由Google工程师开发，于年被融入Linux 2.6.内核。它旨在管理不同进程组，监控一组进程的行为和资源分配，是Docker和Kubernetes的基石，同时也被高版本内核中的LXC技术所使用。本文基于最早融入内核中的代码进行深入分析。

       理解cgroup的核心，首先需要掌握其内部的常用术语，如子系统、产品招商网站源码层级、cgroupfs_root、cgroup、css_set、cgroup_subsys_state、cg_cgroup_link等。子系统负责控制不同进程的行为，例如CPU子系统可以控制一组进程在CPU上执行的时间占比。层级在内核中表示为cgroupfs_root，一个层级控制一批进程，层级内部绑定一个或多个子系统，每个进程只能在一个层级中存在，但一个进程可以被多个层级管理。cgroup以树形结构组织，每一棵树对应一个层级，层级内部可以关联一个或多个子系统。

       每个层级内部包含的节点代表一个cgroup，进程结构体内部包含一个css_set，用于找到控制该进程的所有cgroup，多个进程可以共用一个css_set。cgroup_subsys_state用于保存一系列子系统，数组中的每一个元素都是cgroup_subsys_state。cg_cgroup_link收集不同层级的个人网站源码带后台cgroup和css_set，通过该结构可以找到与之关联的进程。

       了解了这些概念后，可以进一步探索cgroup内部用于结构转换的函数，如task_subsys_state、find_existing_css_set等，这些函数帮助理解cgroup的内部运作。此外，cgroup_init_early和cgroup_init函数是初始化cgroup的关键步骤，它们负责初始化rootnode和子系统的数组，为cgroup的使用做准备。

       最后，需要明确Linux内一切皆文件，cgroup基于VFS实现。内核启动时进行初始化，以确保系统能够正确管理进程资源。cgroup的初始化过程分为早期初始化和常规初始化，其中早期初始化用于准备cpuset和CPU子系统，确保它们在系统运行时能够正常工作。通过这些步骤，我们可以深入理解cgroup如何在Linux内核中实现资源管理和进程控制。

如何学习Docker

       å¦‚何学习Docker

       å¯¹äºŽåœ¨æ ¡å­¦ç”Ÿè€Œè¨€ï¼Œåº”该如何去学习docker？毕竟学校没有具体的应用需求作为引导，所以应该如何去研究Docker？还有，Docker的源代码有没有必要去研究？

       é¦–先我说明下，我是一位在浙江大学VLIS实验室云计算项目组的学生，使用过Docker，研究过Docker及其源码，也定制过Docker。

       å¯¹äºŽå­¦ç”Ÿå¦‚何学习Docker，我认为首先要看一下学生个人的知识背景、能利用的资源资源、以及个人兴趣和发展方向。

       1.学习Docker，如果没有云计算的基本知识，以及内核的基本知识，那么学习并理解起来会稍吃力。作为容器，Docker容器的优势在哪，不足在哪，最好了解容器的实现是怎样的（简单了解）；拥有镜像管理，Docker又该如何体现软件开发，集成，部署，发布，再迭代的软件生命周期管理优势。以上两点我认为最为关键，有这两方面的认识势必会对之后的工作帮助巨大。

       2.关于学习资源，起码的硬件设施总是要有的。Docker及其生态的发展很快，不使用纯理论肯定收效甚微。另外，资源还包括Docker官方，各大电子媒体平台，技术论坛，开源社区等，往往大拿的观点能点破自己的困惑，或者让自己知道哪方面的认识还很欠缺，以及让自己少走很多的弯路。

       3.个人兴趣的话，归结为强扭的瓜不甜。起码应该认同Docker的设计价值，以及Docker的未来潜力，当然有依据的批判Docker并带动大家的思考，也是深切关注的表现。

       4.个人发展方向，我认为如果需要把Docker当作软件生命周期管理工具的话，那用好Docker最为重要，API及命令的理解与使用是必需的。如果专注系统设计方面，那么除Docker以上的知识与经验之外，若有Docker源码的学习与理解，那么这些肯定会让你的Docker水平提高一个层次。

       -- 8 0

       xds

       å­¦ä¹ Docker，最大的好处是跟进新技术发展方向。我觉得在校生应该没有多少硬性需求在Docker的研究上，这也是为什么学校没做具体应用要求的原因。最实际的做法是看一些Docker使用案例，自己实践出一些经验应该会再以后的社会实践中起到作用。

       ç ”究docker的源代码，应该到你下定决心从事云计算方面的事业或者研究，那么你就需要以研究者的身份去做仔细的源码分析的工作。

       -- 3 0

       åˆ˜å‹ƒGTDer

       æˆ‘作为参加工作的过来人来说，我认为只有你真正参加工作后，在工作中学习跟有意义，毕竟Docker知识云计算其中的一个软件平台而已，说不来等你毕业了，新的技术出现Docker不一定是唯一选择。

       ä½œä¸ºå­¦ç”Ÿäº†è§£æ–°æŠ€æœ¯ç¡®å®žæ— å¯åŽšéžï¼Œä¸€å®šè¦èƒ½æŠŠç†è®ºè½¬åŒ–为生产力才是正道。

       -- 3 0

       9lives - 爱生活，爱云计算。

       å­¦ä¹ ä»»ä½•ä¸€ä¸ªå¼€æºæ–°æŠ€æœ¯ï¼Œé¦–先问自己几个问题：

       1. 为什要学习它？

       2. 学习它需要了解哪些相关知识点？

       3. 如何快速学习？

       4. 该技术的使用场景是什么？

       æ‹¿æˆ‘个人的学习经验来举例（本人之前比较了解OpenStack）

       ä¸ºä»€è¦å­¦ä¹ docker？

       å›žç­”：

       docker是轻量级虚拟化技术，docker使linux容器技术的应用更加简单和标准化

       docker的速度很快,容器启动时毫秒级的

       docker将开发和运维职责分清

       docker解决了依赖地狱问题

       docker支持几乎所有操作系统

       docker有着飞速发展的生态圈

       å¾ˆå¤šIT巨头逐渐加入和支持

       å­¦ä¹ å®ƒéœ€è¦äº†è§£å“ªäº›ç›¸å…³çŸ¥è¯†ç‚¹ï¼Ÿ

       å›žç­”：

       äº‘计算概念相关（restapi, 微服务，OpenStack）

       Linux 系统管理（软件包管理，用户管理，进程管理等）

       Linux 内核相关（Cgroup, namespace 等）

       Linux 文件系统和存储相关（AUFS，BRFS,devicemapper 等）

       Linux 网络（网桥，veth,iptables等）

       Linux安全相关（Appmor,Selinux 等）

       Linux进程管理（Supervisord,Systemd etc)

       Linux容器技术（LXC等）

       å¼€å‘语言（Python, GO,Shell 等）

       3.如何快速学习？

       å›žç­”：个人体会最好有一个实际的需求或项目来边实践边学习，入门可以参考（第一本docker书）写的不错，非常适合入门。除此之外，阅读牛人的blog比如官方blog /

       BTW: 熟读docker文档

       -- 0 0

       tuxknight

       æ¥¼ä¸Šå„位说的都很好，我再补充一点：

       æ‰¾ä»½ç›¸å…³çš„实习工作

       -- 0 0

       lancer

       å·¥ä½œå’Œç ”究是两个方向我个人认为，工作需要通过你的实际效能为企业带来经济效益，而研究的话可以专注某个点。但是研究离不开工作，因为工作可以让你更好的理会技术带来的价值，以及如何提供更好的服务，用户使用场景需要那些技术的突破。有了这些认识，然后更加专注的研究某个技术点，这样或许可以说技术和商业是分不开的。

       -- 0 0

       ç»¿å‰‘色影

       docker现在十分火热，值得学习一下。

一文图解｜cgroup 设计分析（Docker底层技术）

       cgroup，全称控制组，是免费网校系统源码用于限制进程组对某种资源使用的一种技术。对后端程序员而言，Docker已成为必须掌握的技术之一，而cgroup正是Docker底层的重要支撑。

       cgroup通过将进程组织成控制组，并通过资源控制子系统对这些控制组进行资源限制。资源控制子系统包括内存、CPU、I/O和网络等。控制组内部的进程只能使用分配给控制组的资源限制。

       具体来说，cgroup框架负责控制组的创建和管理，而资源控制子系统负责限制控制组内的资源使用。cgroup通过虚拟文件系统来管理进程控制组，这样可以方便地添加或移除进程。每个控制组都是目录树的一部分，层级关系便于组织和管理。

       控制组内部的资源使用通过cgroup_subsys_state结构进行统计。在Linux内核中，每个资源控制子系统与控制组绑定，为控制组提供资源限制功能。当进程被添加到控制组时，内核会自动将该进程与控制组关联的所有资源统计对象关联，以实现资源使用限制。

       cgroup的设计复杂度源于其需要控制多种资源，并通过虚拟文件系统管理控制组。cgroup源码实现复杂，涉及多个概念和文件系统。设计者通过类比内存管理的简单计数器来直观解释cgroup的原理。然而，cgroup在Linux内核中的实现远比这个示例复杂。

       简而言之，cgroup通过控制组的概念和资源控制子系统，为Docker等容器管理技术提供了资源限制的基础。理解cgroup的设计与实现，对于深入掌握容器技术至关重要。

docker和docker应用程序的区别

       å¦‚果你是数据中心或云计算IT圈子的人，这一年多来应该一直在听到普通的容器、尤其是Docker，关于它们的新闻从未间断过。Docker1.0在今年6月发布后，声势更是达到了前所未有的程度。

       åŠ¨é™ä¹‹æ‰€ä»¥è¿™ä¹ˆå¤§ï¼Œå°±æ˜¯å› ä¸ºè®¸å¤šå…¬å¸åœ¨ä»¥æƒŠäººçš„速度采用Docker。在今年7月的开源大会（OSCon）上，我遇到了早已将服务器应用程序从虚拟机（VM）转移到容器的无数企业。的确，Docker公司主管服务和支持的副总裁James Turnbull在会上告诉我，其中有三家大银行一直在使用Docker的测试版，现已在生产环境中使用Docker。对任何早期技术来说，这无疑是极大的充满自信的举动，要知道它在安全至上的金融界几乎闻所未闻。

       ä¸Žæ­¤åŒæ—¶ï¼ŒDocker这项开源技术不仅仅是红帽和Canonical等Linux巨头眼里的宠儿。微软等专有软件公司也在热烈拥抱Docker。

       é‚£ä¹ˆï¼Œä¸ºä»€ä¹ˆå¤§å®¶éƒ½è¿½æ§å®¹å™¨å’ŒDocker呢？James Bottomley是Parallels公司的服务器虚拟化首席技术官，也是一位知名的Linux内核开发人员。他向我解释，Hyper-V、KVM和Xen等虚拟机管理程序都“基于虚拟化硬件仿真机制。这意味着，它们对系统要求很高。”

       ç„¶è€Œï¼Œå®¹å™¨å´ä½¿ç”¨å…±äº«çš„操作系统。这意味着它们在使用系统资源方面比虚拟机管理程序要高效得多。容器不是对硬件进行虚拟化处理，而是驻留在单单一个Linux实例上。这反过来意味着，你可以“丢弃没有用的.9%的虚拟机垃圾，剩下一个小巧简洁的胶囊式容器，里面含有你的应用程序，”Bottomley如是说。

       æ®Bottomley声称，因此，借助经过全面调优的容器系统，你就可以在同一硬件上拥有数量比使用Xen虚拟机或KVM虚拟机多出四到六倍的服务器应用实例。

       æ˜¯ä¸æ˜¯è§‰å¾—听起来很不错？毕竟，你可以让服务器运行多得多的应用程序。那么，为什么之前没有人做过呢？实际上，之前有人做过。容器其实是个旧概念。

       å®¹å™¨å¯ä»¥è¿½æº¯åˆ°è‡³å°‘å¹´å’ŒFreeBSD Jails。甲骨文Solaris也有一个类似概念，名为Zones；Parallels、谷歌和Docker等公司一直在致力于研发诸如OpenVZ和LXC（Linux容器）之类的开源项目，旨在让容器运行起来顺畅又安全。

       çš„确，很少有人知道容器，但大多数人多年来一直在使用容器。谷歌就有自己的开源容器技术lmctfy（Let Me Contain That For You，意为“让我容纳你的程序”）。只要你使用谷歌的某项功能：比如搜索、Gmail、Google Docks或无论其他什么，就分配了一个新的容器。

       ç„¶è€Œï¼ŒDocker建立在LXC的基础上。与任何容器技术一样，就该程序而言，它有自己的文件系统、存储系统、处理器和内存等部件。容器与虚拟机之间的区别主要在于，虚拟机管理程序对整个设备进行抽象处理，而容器只是对操作系统内核进行抽象处理。

       è¿™åè¿‡æ¥æ„å‘³ç€ï¼šè™šæ‹Ÿæœºç®¡ç†ç¨‹åºèƒ½åšå®¹å™¨åšä¸äº†çš„一件事就是，使用不同的操作系统或内核。所以，举例说，你可以使用微软Azure，同时运行Windows Server的实例和SUSE Linux企业级服务器的实例。至于Docker，所有容器都必须使用同样的操作系统和内核。

       å¦ä¸€æ–¹é¢ï¼Œå¦‚果你只是想让尽可能多的服务器应用实例在尽可能少的硬件上运行，可能不大关心运行多个操作系统虚拟机。要是同一应用程序的多个副本正是你需要的，那么你会喜欢上容器。

       æ”¹ç”¨Docker这一举措有望每年为数据中心或云计算服务提供商节省数千万美元的电力和硬件成本。所以难怪它们在一窝蜂地尽快采用Docker。

       Docker带来了之前技术所没有的几个新特点。第一是，与之前的方法相比，Docker让容器部署和使用起来更容易、更安全。此外，由于Docker与其他容器领域的巨擘进行了合作，包括Canonical、谷歌、红帽和Parallels，共同开发其关键的开源组件libcontainer，它为容器带来了迫切需要的标准化。

       ä¸Žæ­¤åŒæ—¶ï¼Œå¹¿å¤§å¼€å‘人员可以使用Docker封装、交付和运行任何应用程序，应用程序成为轻型的、可移植的、自给自足的LXC容器，可以在任何地方运行。正如Bottomley告诉我，“容器让你立即享有应用程序可移植性。”

       å¸‚场研究公司 Research的资深分析师Jay Lyman补充道：“企业组织力求以一种高效、标准化、可重复的方式，让应用程序和工作负载更易于移植和分发，而有时很难做到这点。正如GitHub通过共享源代码来促进合作和创新那样，Docker Hub、Official Repos和商业支持也在帮助众多企业通过改进封装、部署和管理应用程序的方式，应对这个难题。”

       æœ€åŽä½†å¹¶éžæœ€ä¸é‡è¦çš„，Docker容器易于部署到云端。正如Ben Lloyd Pearson在opensource.com上写道：“Docker采用了一种特别的方式，以便可以整合到大多数DevOps（开发运营）应用程序当中，包括Puppet、Chef、Vagrant和Ansible，或者可以独自使用，以管理开发环境。主要卖点是，它简化了通常由另外这些应用程序执行的好多任务。具体来说，有了Docker，人们就可以搭建与活动服务器一模一样的本地开发环境，从同一个主机运行多个开发环境（每个开发环境有独特的软件、操作系统和配置），在新的或不同的服务器上测试项目，以及让任何人都可以在设置一模一样的情况下处理同一项目，无论本地主机环境怎样。”

       ç®€è€Œè¨€ä¹‹ï¼ŒDocker能为你做的事情就是：相比其他技术，它能让更多数量的应用程序在同一硬件上运行；它让开发人员易于快速构建可随时运行的容器化应用程序；它大大简化了管理和部署应用程序的任务。总而言之，我能理解作为一项企业级技术，Docker为何一下子蹿红。我只是希望它不负众望，否则外头会有一些忧心忡忡的CEO和CIO。

dify+ollama构建本地大模型平台

       Dify是一个开源的LLM应用开发平台，提供直观的界面和强大的功能，包括AI工作流、RAG管道、Agent、模型管理和可观测性，旨在帮助用户从原型到生产流程快速搭建。您可以在GitHub上找到Dify的代码库。

       核心功能包括：

       工作流：在画布上构建和测试功能强大的AI工作流程，利用所有集成功能。

       全面的模型支持：无缝集成数百种专有/开源LLMs及数十种推理提供商和自托管解决方案，覆盖GPT、Mistral、Llama3等。

       Prompt IDE：直观界面用于制作提示、比较模型性能及为聊天应用添加文本转语音等额外功能。

       RAG Pipeline：广泛支持从文档摄入到检索，提供PDF、PPT等常见文档格式的文本提取。

       Agent智能体：基于LLM函数调用或ReAct定义创建，提供超过种内置工具，如谷歌搜索、DELL·E、Stable Diffusion和WolframAlpha。

       LLMOps：跟踪和分析应用程序日志与性能，持续改进提示、数据集和模型。

       后端即服务：Dify所有功能都带有API，方便集成到您的业务流程中。

       OLLAMA是一个LLM加速服务化应用，主要用于模型服务，作者通过一系列文章详细介绍了其部署、使用过程以及与CodeGPT结合的案例。OLLAMA支持Mistral-7B、Gemma-7B等模型。

       部署DIFY步骤如下：

       克隆DIFY源代码至本地。

       使用一键启动命令启动DIFY容器。

       访问本地DIFY服务，根据需要调整配置。

       在DIFY中设置模型供应商时，确保输入OLLAMA宿主机地址（http://host.docker.internal:）以完成集成。

       应用部署包括：

       构建聊天应用。

       构建知识库应用，配置嵌入模型并导入文件。

       利用模板快速构建知识库应用。

       整体来说，DIFY和OLLAMA提供了从模型集成到应用构建的完整解决方案，简化了本地大模型平台的搭建过程。

线上环境OOM频发，MyBatis有坑...

       线上服务频繁遭遇 OutOfMemoryError（OOM）问题，对业务造成了严重影响，一天内服务重启多达五次，导致整个系统几乎瘫痪。通过Skywalking追踪，发现链路调用大部分呈现红色，亟待解决。作为排查者，我接手了这个任务。

       首先，我分析了OOM的常见原因，主要包括堆内存和元空间不足。在我们的案例中，Mybatis的问题浮出水面。源码分析显示，Mybatis在拼接SQL时，通过集合存储SQL和参数，当SQL参数过多导致SQL过长时，集合会变得庞大，回收不及时就会引发内存溢出。

       由于环境限制，无法直接通过jstack、jmap工具定位问题，这增加了排查的难度。但在网络搜索中，我找到了一篇与DruidDataSource和Mybatis相关的问题，这让我找到了问题的线索，即多线程并发操作可能导致内存占用过高，从而触发OOM。

       进一步的源码分析揭示，DynamicContext类中的ContextMap（继承自HashMap）在存储SQL参数和占位符时，存在无法被GC回收的问题。当并发查询量增加时，这可能导致内存溢出。我通过线上复现情景，验证了这一理论，发现服务频繁进行Full GC，最终引发了OOM。

       针对问题，我提出解决方案：优化SQL拼接，避免过长的SQL体积，强调代码和SQL编写的重要性。同时，为了应对未来可能的故障，我配置了docker中的OOM保留dump文件，以备不时之需。