一周热榜

对于传统和特别是新型的通用测试机（例如用于拉伸、压缩以及其他材料测试的设备），是否仍然需要类似于Android（用于移动设备）和ROS（用于机器人）的操作系统？如今，随着新型且廉价材料的不断试生产，各种入门级和中端的通用测试机几乎每周都在涌现，但其软件却显得平平无奇。

我维护几个开源项目，依赖管理变得令人不堪重负。<p>Dependabot 每周在我的代码库中打开 20-30 个拉取请求。大多数是小版本更新，但其中实际上隐藏着一些关键的安全问题。我发现自己要么选择忽略它们（这很危险），要么花费数小时进行分类（这不可持续）。<p>问题是：我没有一个好的信号来区分什么是紧急的，什么可以等待。<p>我尝试过的方法： - 跟踪 CVSS 分数 → 但“关键”并不意味着“在我的环境中可被利用” - 自动合并补丁版本 → 错过了一些重要的安全修复 - 手动审核所有内容 → 每周需要花费 5-10 小时<p>我最近发现了 CISA 的 KEV 目录（已知被利用的漏洞），它标记了在实际环境中被积极利用的 CVE。这似乎比单独使用 CVSS 更有效，但我很好奇：<p>1. 你是如何判断什么是真正紧急的？CVSS？EPSS？手动评估？<p>2. 你是否将“过时但不易受攻击”的依赖与“有 CVE”的依赖区别对待？<p>3. 对于使用 Dependabot/Renovate/Snyk 的人来说，你们的工作流程是怎样的？你们会审核每一个警报，还是找到了一个好的过滤系统？<p>我正在考虑构建一些工具来帮助解决这个问题（健康评分 + 基于利用的优先级排序），但我想确保我不是在解决我自己的奇怪问题。<p>你们有什么有效的方法吗？

我创建了 GitPulse 是为了帮助解决我遇到的问题：寻找适合初学者的代码库。<p>功能： • 200+ 精选的“适合初学者的问题” • 基于人工智能的难度预测器 • 智能代码库匹配 • 贡献者分析 • 代码库健康评分<p>在线访问：<a href="https:&#x2F;&#x2F;git-pulsee.vercel.app" rel="nofollow">https:&#x2F;&#x2F;git-pulsee.vercel.app</a>