https://xiejiayun.github.io/tags/%E8%BD%AF%E4%BB%B6%E4%BE%9B%E5%BA%94%E9%93%BE/Recent content in 软件供应链 on Jiayun's BlogHugozh-cnMon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/toolchain-wars-go-fuzz-rust-llm-bambu-2026/Mon, 18 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/toolchain-wars-go-fuzz-rust-llm-bambu-2026/<blockquote> <p>📌 <strong>前沿科技 · 开源治理深度 | Open Source Governance Deep Dive</strong></p> <p>这一周（2026-05-11 → 05-18），开源世界三件大事，发生在三个完全不同的栈层：</p> <ul> <li><strong>2026-05-12</strong>：<a href="https://blog.trailofbits.com/2026/05/12/go-fuzzing-was-missing-half-the-toolkit.-we-forked-the-toolchain-to-fix-it./">Trail of Bits 宣布 fork Go 工具链</a> — 因为 Go 团队 8 年来对原生 fuzzing 的功能请求&quot;礼貌性忽视&quot;</li> <li><strong>2026-05-15</strong>：<a href="https://lists.sr.ht/~drewdevault/">Drew DeVault 在 rust-lang/rust 仓库提议禁止 LLM 生成代码</a> — 引爆 Rust 社区数百条讨论</li> <li><strong>2026-05-17</strong>：<a href="https://www.tomshardware.com/">Josef Prusa 公开指控 Bambu Lab 用『不可审计的网络黑盒』违反 AGPL</a> — 涉及全球出货量 #2 的 FDM 3D 打印机厂商</li> </ul> <p>这三件事单独看，分别是「测试工具」「贡献政策」「许可证执法」三个不同领域的新闻。<strong>串起来看，它们都是『开源治理在 AI 时代失效』的具体表现 — 而且失效的方向各不相同。</strong></p>https://xiejiayun.github.io/post/trusting-trust-modern-supply-chain-2026/Fri, 01 May 2026 00:00:00 +0000https://xiejiayun.github.io/post/trusting-trust-modern-supply-chain-2026/<h2 id="1984--2026一个被引用了四十年的演讲终于被认真复刻">1984 → 2026：一个被引用了四十年的演讲，终于被认真复刻</h2> <p>Ken Thompson 在 1984 年图灵奖演讲 <em>Reflections on Trusting Trust</em> 里描述过一个让所有 CS 学生既兴奋又困惑的构造：<strong>一个被植入后门的编译器，能在编译自身时把后门继承下去，因此源码里看不到任何痕迹</strong>。这是个思想实验，过去四十年被引用过无数次，但<strong>真正动手把它在现代工具链上跑一遍</strong>的工程师并不多。</p>