雪松科技开放日是一场面对甲方CIO,雪松协同乙方合作伙伴展现信息化建设理念和效果的一场非常有创新的技术大会。
会议给自己最大的触发有三点:
1、价值出发
做任何事情都要思考是否有价值,每天你需要回顾当天做的事情有没有价值;
人的精力都是有限的,成功的人都是聚焦于有价值的事情,在同样精力的情况下,因为他们只处理有价值的事情,所以他们显得效率很高,更容易出成绩。
2、思维高度
就像徐bin(斌)的比喻,你站在2楼看出去都是垃圾,你站在10楼看出去都是高楼大厦,但你站在100楼看出去,就是一片美景。
所以,必须学会把自己的思维高度提升,也就是平时自己所想的,跳出问题看问题,不要拘泥于问题的本身所在,提交自己的格局和见识。
3、集中灵动
在信息化建设当中,存在是用一体的解决方案,还是整合的方案。雪松今天提出了集中灵动的方法。并且做了一个很好的比喻,就是珍珠项链和夜明珠的比较。一个珍珠项链是由各个珠子串起来的,如果哪个有问题,换掉就是了,实现了集中灵动的效果;而夜明珠一旦出现问题,替换的成果就非常高了。
永远不相信用户的输入。需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。
SQL
注入是一类危害极大的攻击形式。虽然危害很大,但是防御却远远没有XSS那么困难。
SQL 注入可以参见:https://en.wikipedia.org/wiki/SQL_injection
SQL 注入漏洞存在的原因,就是拼接 SQL
参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL
注入漏洞。
我们看到:select id,no from user where id=2;
如果该语句是通过sql字符串拼接得到的,比如: String sql = "select id,no
from user where id=" + id;
其中的 id 是一个用户输入的参数,那么,如果用户输入的是 2,
那么上面看到查到了一条数据,如果用户输入的是 2 or 1=1
进行sql注入攻击,
那么看到,上面的语句(select id,no from user where id=2 or
1=1;)将user表中的所有记录都查出来了。
这就是典型的sql注入。
XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站,XSS漏洞分为两种,一种是DOM
Based XSS漏洞,另一种是Stored
XSS漏洞。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力,攻击代码也不局限于script。
严格来说是听书心得,是在得到上听的梁宁说的产品思维的课程。
如果你处理或使用过大量数据,一定有听到过“数据治理”这个词。你会思考数据治理是什么?数据治理是否适合你?如何实施。简单来说,数据治理就是处理数据的策略——如何存储、访问、验证、保护和使用数据。数据治理也还包括谁来看,使用,共享你的数据。
这些问题日益重要,越来越多的企业依赖采集和储存、分析数据,并实现他们的商业目标。数据变成了企业的盈利工具、业务媒介和商业机密。数据泄露会导致法律纠纷,还会令消费者对公司的核心业务失去信心。
如果抱着侥幸的心理,让各个业务部门自己管理数据,那么你会缺乏有效的数据管理,甚至各部门会自己做自己的。你无法想象各个部门按随心所欲地自己生产、储存、销售产品。数据使用不当就像库存使用不当一样,会给企业造成沉重的损失。因此必须制定一项测量用以保证所需数据的有效和安全,可用性,这就是我们要谈的“数据治理”。
对于中小企业来说,ITIL也许永远只是一个渴望而不可及的梦。在实施ITIL条件不成熟的情况下,ISO/IEC
20000也许是个很好的代替品。 众所周知,ITIL是IT服务管理的最佳实践。
ISO/IEC
20000是IT服务管理要求或者说是IT服务管理实践的要点。
IT的营运,直接说就是IT服务管理。如果企业内的业务部门是甲方,IT部门就是乙方。既然IT部门一天到晚都在提供服务,自然需要服务管理。ISO在2005年12月,针对IT服务管理的品质,提出了一个国际标准,就是大家耳熟能详的ISO/IEC
20000。
ITIL与ISO20000之间的框架,还是有些差距的。整体来说,ITIL是10个管理流程,ISO20000/BS15000则是13个管理流程,其中新增的业务关系管理(Business
Management)与供货商管理(Supplier
Management),对于ITIL来说,这些已经同时包含在服务等级管理(Service Level
Management)之中;另外,ISO20000新增的服务报告(Service
Reporting),事实上也涵盖在ITIL的每个管理流程当中。
举一个例子,ITIL和ISO/IEC
20000就好比两种不同的父母管教孩子。一种父母是什么都要管的,管的很细,你穿什么衣服,用什么牙刷刷牙都要手把手的告诉你,比较关注过程。还有一种父母可能更多的关注孩子最终的结果,比如孩子的性格是不是活泼,是不是外向,而对过程不是很关注。前者就像是ITIL,后者就像ISO/IEC
20000。ISO/IEC
20000其中有一些关键点和控制点,而ITIL则是关注流程,会告诉你流程的大致走法。
最近在Quora上有人提到一个问题,有关Hadoop分布式文件系统和OpenStack对象存储的不同。
问题原文如下:
“HDFS (Hadoop分布式文件系统)和OpenStack对象存储(OpenStack Object
Storage)似乎都有着相似的目的:实现冗余、快速、联网的存储。什么样的技术特性让这两种系统因而不一样?这两种存储系统最终趋于融合是否大有意
义?”
问题提出之后,很快有OpenStack的开发者进行了回复。本文在此摘抄了前两名回复进行翻译,以供各位参考。
LVS的全称Linux vitual system, linux vitual server
是由目前阿里巴巴的著名工程师章文嵩博士开发的一款开源软件。LVS工作在一台server上提供Directory(负载均衡器)的功能,本身并不提供服务,只是把特定的请求转发给对应的realserver(真正提供服务的主机),从而实现集群环境中的负载均衡。
LVS的核心组件ipvs工作在kernel中,是真正的用于实现根据定义的集群转发规则把客户端的请求转发到特定的realserver。而另一个组件ipvsadm是工作在用户空间的一个让用户定义ipvs规则的工具。故我们只要在server上装了ipvsadm软件包就可以定义ipvs规则,
而在linux kernel的2.6版本之后kernel是直接支持ipvs的。
注:由于ipvs是接受netfilter五个钩子函数的中的local_in函数控制的。故ipvs不能和netfilter的一些控制规则同时使用。
1、产品范围——某项产品、服务或成果所具有的特性和功能。
2、项目范围——为交付具有规定特性与功能的产品、服务或成果而必须完成的工作。
3、验收依据:根据项目管理计划来衡量项目范围是否完成;根据产品需求来衡量产品范围是否完成。
4、二者关系
产品范围决定项目范围、项目范围服务于产品范围。只要是属于特性或者功能的内容,都是产品范围;只要是为完成这些“特性或功能”而必须做的工作,均为项目范围。