@dabaibai 这些都是骗车费的。

公安部备案并不需要安全员培训。

以前苹果是可以无限退款的，并非只有一次，只要理由合理，就可以提出退款申请。初审是电脑审，审完后人工确认一次结果。后来被人玩坏了，一买东西就申请退款，但是游戏里并没有没收对应的东西。所以现在苹果一个游戏基本只能退款一次，但是不到账的这个问题，应该是联系腾讯的，你要退款肯定只能 apple 这边处理，但是充值未到账就只能腾讯补发。

那个...
其实我觉得二楼总结的很对...

只要 openssl 更新后，重新 make 下 Nginx，protocol 加上 TLSv1.3 就可以了...不会很难找资料吧.....
不过 QQ 群肯定问不到人的。


还有，想问问有多少浏览器支持？
我觉得有个很尬的地方就是浏览器的支持，
之前有个合作单位的技术科找我们，非要我们把他们的系统改为 http2，
然后我们帮忙弄证书，改配置，终于弄好了，一周后他们说更换了 http2 加载快了很多。
两周后我们到他们现场开会，发现他们用的都是 IE8.0............

第一、你怎么知道这次的 rm -rf 是不是不小心输入。
第二、备份快照只是主要是针对硬件故障，并非人为操作。
第三、假设你开发一个新的文件系统，增加操作审核功能，用户 rm -rf 后文件系统标记起来，需要人工审核后才真正执行。然后客户可能也会找你和你说我审核错了，怎么恢复。
所以最后其实这个本来就是属于人为操作上的问题，你能做的最多只是提醒。

@Asice 我不是大佬啊，也不是说话不腰疼，很多时候做和不做是态度上的问题，做的好和做不好是能力上的问题。
如果一开始态度就有问题那这个锅自己怎么都要背上地。

当然你可以看看我上面说到，我上家公司用的是 linux,里面的一堆软件都没进行 review，这不是我自己打自己脸。
我们是 1 年前开始收到省下发的通报，其中我们手上负责的 GOV 站点和系统基本都是因为 JQUERY 某个版本的问题导致，
还有所有系统都因为用了一个第三方的日历插件所以被通报存在漏洞。当时我（一来我是做开发，二来这些都是上一任留下的）被 boss 抓着跑去各个局解释道歉。就是那次起，我们才开始对常用的那 12 个开源库进行 review。后续的开发也是只用这 12 个。

@orangeade CHROME 彩蛋在断网时候弹出，按空格就开始。但如果你的公司里，命令禁止了在办公电脑里安装任何游戏，那你觉得 chrome 的彩蛋是炸弹吗？
很多时候对待问题是看自己在哪个角度看待而已，心态放好点，起码这次的彩蛋出发点是好的，做法则可圈可点。
但这件事，责任真的 100%归根到作者身上吗？自己身上就没一点责任吗？

@openbsd 现在这家公司都是 windows 系列，以前的话都是用 rhel5.2 + mysqld + asterisk + httpd + oracle + PHP 5.2
不过老实说，以上的软件当时确实是没进行过任何 review，毕竟个人能力是大伤。
那时候基本都是用旧版本，估计下都是用当年稳定版本前 1 年的稳定版本，然后通过 changelog 来修复 bug，最后做个镜像。

@flowfire 在很多时候，安全比什么都重要吧？有些时间是能节省，但可能日后需要付出更大的代价去补救回之前节省的时间。而且你不会经常变换着这些开源软件来用吧？常用的就那么几个，对于那么几个 review 的时间还是有吧？
我觉得最恐怖的就是“用一个我也不知道他是怎么实现的代码”来实现我需要的功能

@shintendo
对了，你说的“如果我们谈论的是代码 bug，我认同伸手党没有资格喷，但现在我们谈论的是蓄意投毒，这是完全不同的性质。”
投毒 的定义是该谁去定义呢？
或者换句很无赖的话，你去银行取钱取了假钞，然后你没当场发现，事后才发现我居然拿了假钞，银行会为此负责吗？估计银行只会说句取出的时候为什么自己不认真验下？都走了才说是假币。（当然我知道性质不一样）

你说的前面我赞成，而后面我觉得需要分情况。
如果作者在开源产品里投入了挖矿代码，或者投放恶意代码，这个时候你用“投毒”的这个词我觉得形容的非常正确。
但是如果作者只是想学习 google 在 chrome 置入彩蛋的行为，出发点并没有任何恶意，并且事后作者也表明了歉意，我觉得这并不是什么蓄意投毒吧？

再换句话来说，既然是那么重要的项目，自己没进行审核，最有出事了，自己真的就没有一点错吗？难道 100%的责任都是开源者吗？

再这里我需要在次声明，第一我不是阿里的，也不是字节的，更加不认识开源的作者或贡献者，也从未用过 antdesign,
你有兴趣可以看我上面的评论，
我从头到尾想表达的就是：
“为什么大部分人在出现问题的时候第一时间想到的是别人的不足，而从不在自己身上找原因？”

@shintendo

某区的一个 ZHENGXIE 提案系统,ZHENGXIE 履职管理系统,一个 B2B&B2C 旅游的平台,一个人才招聘的网站.....
------------------------------------------------------------------------------------------------
前端开源库用到
jquery 1.91
layui 2.2.3(内部代码一部分进行重写)

后端开源库用到
HTMLPurifier 4.9.3
PHPExcel 1.8.0
PHPMailer
PHP QR Code 1.1.4

开发工具使用 notepad++

环境部署：IIS、SqlServer ->另外这部分不需要我负责
------------------------------------------------------------------------------------------------
前端和后端使用的开源库已经进行过 review，
因为涉及 GOV 项目（特别 17 年中旬时候，JQuery 某个版本被通报存在 XSS 注入漏洞），
那时候开始基本项目涉及所有的“第三方代码” 都需要进行 review，确认没问题才能开始使用。

@woodensail 是不是炸弹危险不危险这个我不清楚，但我只清楚如果你做为一个项目的负责人，这个项目所用的任何第三方产品，都必须审核后才能使用吧？并不是说我觉得你是坏人所以我才检查你，而是我不能错过任何一个发现坏人的机会，因为要对客户负责。

另外我的观点不针对任何人，和开不开源无关。
我只是想表达，
为什么大部分人在出现问题的时候第一时间想到的是别人的不足，
而从不在自己身上找原因？

我双 11 的时候就是推荐了良心云给一张私单的老板，本来打算叫他抢个 2C4G5M 的机器，哪知道他们非要上负载，要双机，宁愿给多点钱也不能让业务停下来，然后我直接给链接他们买，4C4G5M*2，LBS 外网负载，CFS 存储，TDSQL 数据库，订单金额 3W 多，实际金额 1.1W 左右吧，他们还很感谢帮他们省了那么多钱，然后腾讯云给的提成就有 2400 左右，扣除税收到手 2000，不过到现在还没发，哈哈。。所以到时候你们如果做推荐的，建议用阿里的推广吧，阿里的返款速度比较快，不像腾讯云的拖 2 个月才发

@hl8664 音响工程、弱电、安防方面的安装技术--这些我们这街边的电脑店或者电工都会接了这些私单的。

@ldlywt 不会吧，不过可能和工作环境有关，我推单都推了几单了。我们这不大不小的公司，很多时候技术上的问答都需要技术直接面对客户解答。
然后离职的同事偶尔也会找下问你有没时间做私单。
客户偶尔也会问问能不能私人形式做，
再或者就是同为技术的做不过来飞单也有啊。
渠道其实很多，也不需要什么特别的交际。

@kuro1 几个被炒了是因为这个彩蛋的原因？还是归根到底是因为自己没对使用的开源代码进行审查的原因？
其实我想表达的就是为什么出了问题，第一时间想到的是别人的错误，而不是想想自己又没犯错？

我没用这个框架，所以没被坑，
但即使出现了这个，我觉得影响也不会太大吧？
开源的精神不是应该是学习和共享吗？
如果是伸手党，或美其名为“信任”的人，自己拉回去懒得再看代码，自己何尝不也是没对客户负责？
当然如果你觉得这个彩蛋对你的项目影响那么大，项目那么重要，那为何自己该做的不做充足，反而站在道德最高点去骂街呢？

可以靠技术赚钱
第一、拒绝加班，然后开始做私单，基本 2 年以上的程序员自己都有自己的客户资源了，只是看你接不接。（流水化工作的当我没说）。
第二、去阿里或者腾讯注册个推广账号。
第三、在做私单的时候，变相询问下客户是否有需要购买云服务器，然后推荐下安防产品，和负载产品给客户，这个时候客户只要没有这方面资源（一般客户都没这些资源所以才找你做程序的），他们都会帮你购买，然后各种儒羊毛操作，在客户角度想对来说是省钱了，而且自己也有一笔收入。
第四、如果以上都没有资源做，那可以和团队合作下找客户资源，最后最后最不建议的就是自己做站，除非你能持之以恒保证能有一大堆精力丢进去，也做好了 0 回报的准备。

@jininij 那是 mysql.cnf 里面设置的，默认好像 1000 字符截断，你可以通过修改 cnf 文件，或者通过 set session 的方式来改变这个参数。