📋 海外开源信息汇总(2026年03月22日)
🔴 重要新闻
Trivy 安全事件初步报告(原文:Initial Report on Trivy Security Incident)
- 摘要: 开源漏洞扫描器 Trivy 在 2026 年 3 月 19 日发生安全事件。版本 0.69.4 包含恶意代码,可能窃取 GitHub Secrets 中的凭证。trivy-action GitHub Action 和 trivy-setup 也受到影响。Apache 软件基金会已禁用所有先前允许的"验证创建者"操作,并正在调查是否有任何秘密和 Git 仓库被泄露。
- 作者: asfinfra
- 来源: https://news.apache.org/foundation/entry/initial-report-on-trivy-security-incident
Cargo 安全公告(原文:Security advisory for Cargo)
- 摘要: Rust 安全响应团队通报了 Cargo 使用的第三方 crate
tar 中的一个漏洞(CVE-2026-33056)。该漏洞允许恶意 crate 在构建过程中提取时修改文件系统上任意目录的权限。crates.io 已于 3 月 13 日部署更改防止上传利用此漏洞的 crate,并确认没有 crate 在利用此漏洞。Rust 1.94.1 将于 3 月 26 日发布,更新到修复版本的 tar crate。
- 作者: The Rust Security Response Team
- 来源: https://blog.rust-lang.org/2026/03/21/cve-2026-33056/
🤖 开源 AI
在 Kubernetes 上使用 Agent Sandbox 运行代理(原文:Running Agents on Kubernetes with Agent Sandbox)
- 摘要: Kubernetes SIG Apps 正在开发 Agent Sandbox 项目,为 AI 代理等单例、有状态工作负载提供声明式、标准化的 API。该项目引入了 Sandbox CRD,提供不受信任代码的强隔离、生命周期管理(支持挂起和快速恢复)以及稳定的网络身份。还包括 SandboxWarmPool 扩展,通过维护预配置的 Sandbox 池来消除冷启动。该项目是开源的,社区驱动的。
- 作者: 未知作者
- 来源: https://kubernetes.io/blog/2026/03/20/running-agents-on-kubernetes-with-agent-sandbox/
🌍 开源基础软件
宣布 Ingress2Gateway 1.0:通往 Gateway API 之路(原文:Announcing Ingress2Gateway 1.0: Your Path to Gateway API)
- 摘要: 随着 Ingress-NGINX 将于 2026 年 3 月退役,Kubernetes SIG Network 宣布发布 Ingress2Gateway 1.0,这是一个帮助团队从 Ingress 安全迁移到 Gateway API 的迁移助手。1.0 版本支持超过 30 个常见的 Ingress-NGINX 注解(CORS、后端 TLS、正则匹配、路径重写等),并提供全面的集成测试来验证行为等价性。该工具可以翻译 Ingress 资源/清单以及特定实现的注解到 Gateway API,同时警告无法翻译的配置并提供建议。
- 作者: 未知作者
- 来源: https://kubernetes.io/blog/2026/03/20/ingress2gateway-1-0-release/
🔬 编程语言
(无相关新闻)
💵 前端技术
(无相关新闻)
📰 开源生态
JavaOne 2026(原文:JavaOne 2026)
- 摘要: JavaOne 2026 是重启以来在湾区举办的第二届 JavaOne,现在是一个更小、更精品的会议。作者 Ivar Grimstad 自 1999 年以来几乎参加了所有版本的 JavaOne。今年他在 Mentoring Hub 主持了一个关于如何开始开源的指导会话。JavaOne 的走廊交流(hallway track)一如既往地精彩,是与 Java 社区 luminaries 见面的最佳场所。会议结束后的第二天,Java Community Executive Committee 在 Oracle 园区举行了年度两次的面对面会议之一。
- 作者: Ivar Grimstad
- 来源: https://blogs.eclipse.org/post/ivar-grimstad/javaone-2026
