SupplyChainSecurity on Tony Bai

SupplyChainSecurity on Tony Baihttps://tonybai.com/tags/supplychainsecurity/Recent content in SupplyChainSecurity on Tony BaiHugozh-cn2004-2026 Tony Bai. 版权所有.Thu, 04 Jun 2026 00:00:00 +0800开源维护者的困境https://tonybai.com/2026/06/04/the-maintainers-dilemma/Thu, 04 Jun 2026 00:00:00 +0800https://tonybai.com/2026/06/04/the-maintainers-dilemma/本文永久链接 – https://tonybai.com/2026/06/04/the-maintainers-dilemma 大家好，我是Tony Bai。开源软件的繁荣建立在一种隐形的“社会契约”之上：贡献者贡献智慧，维护者投入精力审核。然而，当维护者面对成百上千个待处理的拉取请求（PR）而精疲力竭时，这个契约正滑向崩塌。 AI 的介入似乎提供了一线生机，但也带来了一个灵魂拷问：如果代码是 ...从 Go 迁移到 Rusthttps://tonybai.com/2026/05/27/migrate-go-to-rust/Wed, 27 May 2026 00:00:00 +0800https://tonybai.com/2026/05/27/migrate-go-to-rust/本文永久链接 – https://tonybai.com/2026/05/27/migrate-go-to-rust 大家好，我是Tony Bai。在现代后端系统编程领域，Go 和 Rust 无疑是最耀眼的两大双子星。它们都拥有静态类型、编译型、单二进制文件分发等优异特性。然而，这两门语言在底层的设计哲学、运行时权衡以及开发者体验上，走向了截然不同的方向。 Matthias Endler（Cor...谁说 Rust 在中国火了？扒开 2025 全年数据，我看到了令人尴尬的真相https://tonybai.com/2026/05/12/the-embarrassing-truth-about-rust-adoption-in-china/Tue, 12 May 2026 00:00:00 +0800https://tonybai.com/2026/05/12/the-embarrassing-truth-about-rust-adoption-in-china/本文永久链接 – https://tonybai.com/2026/05/12/the-embarrassing-truth-about-rust-adoption-in-china 大家好，我是Tony Bai。如果只看国内的公众号和社交媒体，你可能会觉得 Rust 在中国IT技术圈已经很火了：大厂在重构核心链路和重写数据工程的基础设施、创业者在搞 Web 3.0和AI 原生开发、甚至连刚毕业...Bun 创始人带头“叛逃”：放弃 Zig，用 AI 把项目重写成 Rust？https://tonybai.com/2026/05/08/bun-founder-abandons-zig-for-rust-ai-rewrite/Fri, 08 May 2026 00:00:00 +0800https://tonybai.com/2026/05/08/bun-founder-abandons-zig-for-rust-ai-rewrite/本文永久链接 – https://tonybai.com/2026/05/08/bun-founder-abandons-zig-for-rust-ai-rewrite 大家好，我是Tony Bai。在过去的两年里，Bun 以其闪电般的速度，成为了前端世界挑战 Node.js 霸权的“重量级选手”。而它成功的秘诀之一，就是其创始人 Jarred Sumner 极其激进、甚至有些“偏执”的技术选...“我们想用 Rust 重写的次数是：零”：云平台 Render 靠“无聊”的 Go 撑起了千亿流量https://tonybai.com/2026/04/27/render-why-we-wont-rewrite-in-rust-the-power-of-boring-go/Mon, 27 Apr 2026 00:00:00 +0800https://tonybai.com/2026/04/27/render-why-we-wont-rewrite-in-rust-the-power-of-boring-go/本文永久链接 – https://tonybai.com/2026/04/27/render-why-we-wont-rewrite-in-rust-the-power-of-boring-go 大家好，我是Tony Bai。在技术圈的鄙视链里，Go 和 Rust 这对“欢喜冤家”的战争，似乎从未停歇。一方是追求极致简洁、被誉为“云原生时代的 C 语言”的 Go；另一方则是以内存安全、性能屠榜...为什么人人爱 Rust，但 RedMonk 榜单却给它泼了一盆冷水？https://tonybai.com/2026/04/25/rust-popularity-vs-redmonk-ranking-reality-check/Sat, 25 Apr 2026 00:00:00 +0800https://tonybai.com/2026/04/25/rust-popularity-vs-redmonk-ranking-reality-check/本文永久链接 – https://tonybai.com/2026/04/25/rust-popularity-vs-redmonk-ranking-reality-check 大家好，我是Tony Bai。在过去几年的技术圈，Rust 是当之无愧的“流量之王”。它连续多年在 Stack Overflow 开发者调研中蝉联“最受喜爱的语言”；它是 Linux 内核 30 年来引入的唯一非 C ...从“开源英雄”到“社区公敌”，Ollama 到底做错了什么？https://tonybai.com/2026/04/18/ollama-from-open-source-hero-to-community-enemy/Sat, 18 Apr 2026 00:00:00 +0800https://tonybai.com/2026/04/18/ollama-from-open-source-hero-to-community-enemy/本文永久链接 – https://tonybai.com/2026/04/18/ollama-from-open-source-hero-to-community-enemy 大家好，我是Tony Bai。两年前，在本地大模型的蛮荒时代，Ollama 曾如一道神光，照亮了无数普通开发者的探索之路。凭借那句魔咒般的 ollama run llama3，它以一种近乎“降维打击”的优雅，将普通人与本...别搞“小而美”了！Rust 开发者请愿：求求标准库学学 Go 吧https://tonybai.com/2026/04/09/stop-being-small-and-beautiful-rust-petition-to-learn-from-go/Thu, 09 Apr 2026 00:00:00 +0800https://tonybai.com/2026/04/09/stop-being-small-and-beautiful-rust-petition-to-learn-from-go/本文永久链接 – https://tonybai.com/2026/04/09/stop-being-small-and-beautiful-rust-petition-to-learn-from-go 大家好，我是Tony Bai。如果你之前经常听 Go 社区最火的播客 GoTime(很遗憾，该播客2024年末因平台原因停播了)，你一定会熟悉每期节目最后的那个经典环节——“Unpopular ...你的 Go 报错信息正在“出卖”你！扒一扒大厂是如何做错误隔离与日志脱敏的https://tonybai.com/2026/03/21/best-practices-for-secure-error-handling-in-go/Sat, 21 Mar 2026 00:00:00 +0800https://tonybai.com/2026/03/21/best-practices-for-secure-error-handling-in-go/本文永久链接 – https://tonybai.com/2026/03/21/best-practices-for-secure-error-handling-in-go 大家好，我是Tony Bai。如果要在 Go 语言里选一句被敲击次数最多的代码，if err != nil { return err } 绝对毫无悬念地霸榜第一。初学 Go 时，我们总觉得这种显式的错误处理极其啰嗦。但随着...拉个 JSON 居然要装 5 个第三方库？终于明白 Go 的标准库到底有多“霸道”https://tonybai.com/2026/03/11/standard-library-is-part-of-the-go-success/Wed, 11 Mar 2026 00:00:00 +0800https://tonybai.com/2026/03/11/standard-library-is-part-of-the-go-success/本文永久链接 – https://tonybai.com/2026/03/11/standard-library-is-part-of-the-go-success 大家好，我是Tony Bai。在现代软件开发中，我们似乎已经患上了一种名为“依赖上瘾”的绝症。新建一个项目，你敲下的第一行命令大概率不是写业务逻辑，而是 npm install、cargo add 或者 pip install。我...拒绝无效告警！用 Govulncheck 构建高信噪比的 Go 安全扫描工作流https://tonybai.com/2026/02/25/govulncheck-high-signal-to-noise-ratio-security-workflow/Wed, 25 Feb 2026 00:00:00 +0800https://tonybai.com/2026/02/25/govulncheck-high-signal-to-noise-ratio-security-workflow/本文永久链接 – https://tonybai.com/2026/02/25/govulncheck-high-signal-to-noise-ratio-security-workflow 大家好，我是Tony Bai。在当今的软件开发流程中，持续集成/持续部署（CI/CD）和自动化的安全左移（Shift Left）已经成为行业共识。在这个大背景下，诸如 GitHub Dependabot ...别再轻信 GitHub 上的源码：为何我们需要全新的 Go 模块审查机制？https://tonybai.com/2026/02/20/why-we-need-new-go-module-review-mechanism/Fri, 20 Feb 2026 00:00:00 +0800https://tonybai.com/2026/02/20/why-we-need-new-go-module-review-mechanism/本文永久链接 – https://tonybai.com/2026/02/20/why-we-need-new-go-module-review-mechanism 大家好，我是Tony Bai。你以为你在 GitHub 上看到的代码，就是你的 Go 程序编译时使用的代码吗？答案可能令你背脊发凉。在 Go 语言的生态系统中，我们一直引以为傲的是其卓越的包管理和安全性。Go Checksum D...别再盯着 go.sum 看了：它不是你想象中的那个 Lockfilehttps://tonybai.com/2026/01/06/go-sum-is-not-a-lockfile/Tue, 06 Jan 2026 00:00:00 +0800https://tonybai.com/2026/01/06/go-sum-is-not-a-lockfile/别再盯着 go.sum 看了：它不是你想象中的那个 Lockfile - Tony Bai Tony Bai 一个程序员的心路历程 * Google Go语言编码风格规范 * Google Go语言编码风格规范：指南篇 * Google Go语言编码风格规范：决定篇 * Google Go语言编码风格规范：最佳实践篇 * Go语言第一课FAQ * Go语言进阶课FAQ * 关于我 * 我的技术专栏...