本文永久链接 – https://tonybai.com/2026/04/08/perspective-on-quantum-computing-timelines 大家好,我是Tony Bai。 过去三十年,我们一直活在一个笑话里:“能够破解 RSA 加密的量子计算机,永远在十年之后。” 作为一名软件工程师,我曾和你们中的大多数人一样,对所谓的“量子末日(Q-Day)”嗤之以鼻。我们觉得,在有生之年,我们赖以生存的 RSA、ECC 加密体系坚不可摧,那一天遥遥无期。 ...
本文永久链接 – https://tonybai.com/2026/02/25/govulncheck-high-signal-to-noise-ratio-security-workflow 大家好,我是Tony Bai。 在当今的软件开发流程中,持续集成/持续部署(CI/CD)和自动化的安全左移(Shift Left)已经成为行业共识。在这个大背景下,诸如 GitHub Dependabot 这样的自动化依赖更新工具应运而生,并迅速占据了几乎每一个开源项目和商业级代码库的 Repository 设置。它们不知疲倦地扫描 go.mod,一旦发现有依赖项爆出 CVE 漏洞,就会自动生成一个拉取请求(Pull Request, PR),仿佛是在告诉你:“别担心,我已经帮你修好了。” ...
本文永久链接 – https://tonybai.com/2026/02/20/why-we-need-new-go-module-review-mechanism 大家好,我是Tony Bai。 你以为你在 GitHub 上看到的代码,就是你的 Go 程序编译时使用的代码吗?答案可能令你背脊发凉。 在 Go 语言的生态系统中,我们一直引以为傲的是其卓越的包管理和安全性。Go Checksum Database(校验和数据库)被公认为现代编程语言中最强大的完整性保障机制之一。然而,前 Go 安全团队负责人、著名的密码学家 Filippo Valsorda 在最近的一篇文章中揭示了一个令人不安的真相:虽然 Go 的工具链是安全的,但我们人类审查代码的方式却存在巨大的安全漏洞。 ...
本文永久链接 – https://tonybai.com/2026/01/18/go-cryptography-principles 大家好,我是Tony Bai。 在软件工程领域,密码学(Cryptography)通常被视为“高危禁区”。大多数语言的建议都是“不要自己写密码学代码”,甚至“不要自己组合密码学原语”。 ...
别再盯着 go.sum 看了:它不是你想象中的那个 Lockfile - Tony Bai Tony Bai 一个程序员的心路历程 Google Go语言编码风格规范 Google Go语言编码风格规范:指南篇 Google Go语言编码风格规范:决定篇 Google Go语言编码风格规范:最佳实践篇 Go语言第一课FAQ ...
本文永久链接 – https://tonybai.com/2025/12/21/go-1-26-cryptographic-storm-vault-compliance-vs-go-security 大家好,我是Tony Bai。 近日,一个看似不起眼的 Go 语言issue,在社区引发了一场“地震级”的辩论。这场辩论的主角,一方是 Go 安全团队的灵魂人物 Filippo Valsorda,另一方则是开源安全巨头 Hashicorp Vault 的核心开发者。 ...
本文永久链接 – https://tonybai.com/2025/12/20/goroutine-bubble-universe-go-concurrency-new-dimension 大家好,我是Tony Bai。 goroutine 是 Go 并发模型的基石,我们习惯于将其视为一个个轻量、独立的执行单元。然而,近年来,Go 语言中出现了一种新的、微妙的并发概念,Go 核心团队的成员们亲切地称之为 “Goroutine 气泡” (Goroutine Bubbles)。 ...
本文永久链接 – https://tonybai.com/2025/11/22/the-2025-go-cryptography-state-of-the-union 大家好,我是Tony Bai。 2025 年 8 月,Go 官方密码学库核心维护者、Geomys 创始人 Filippo Valsorda 在 GopherCon US 上发表了备受瞩目的年度主题演讲 —— “The Go Cryptography State of the Union“。 ...
本文永久链接 – https://tonybai.com/2025/09/22/go-team-gave-up-on-features 大家好,我是Tony Bai。 在 GopherCon Europe 2025 的 Go 团队座谈会上,Michael Stapelberg(负责go protobuf)、Damien Neil(负责Go安全相关)、Michael Pratt(负责Go运行时和Go性能相关) 和 Jonathan Amsterdam(log/slog作者,负责Go工具相关) 四位核心成员与社区进行了一场坦诚的对话。他们不仅分享了诸如官方 MCP SDK、“裸金属”Go 等激动人心的进展,更以一种罕见的坦率,正面回应了社区长期以来关心的多个“老大难”问题——包括不可变类型、泛型错误处理和非 nil 指针。其中最引人注目的一句“我们放弃了”,几乎为 Go 语言在某些方向上的演进画上了句号。 ...
本文永久链接 – https://tonybai.com/2024/11/16/go-crypto-and-fips-140 在今年3月份,Microsoft Azure团队宣布开设Go开发人员博客,旨在向开发者通报Microsoft在Go领域的最新动态,包括如何在Azure上部署Go工作负载以及与Go编程相关的文章。 ...