📋 海外开源信息汇总（2026年03月27日）

🔴 重要新闻

防止成为下一个Trivy：如何让你的发布、标签和自动化抵御攻击（原文：Don’t become the next Trivy: how to make your releases, tags, and automation resistant to compromise）

• 摘要： 本文是对Trivy供应链攻击事件的回应第二部分，重点讨论了如何安全地发布软件，防止项目成为影响下游的上游事件。文章强调了启用不可变发布、保护版本标签、停止使用个人访问令牌进行发布自动化、默认发布来源证明、加强发布工作流程安全、审慎审查动作更新PR以及在凭证泄露发生前制定计划等关键安全措施。
• 作者： Mikaël Barbero
• 来源： Eclipse Foundation Blog

AI安全：防御提示注入和不安全操作（原文：AI security: Defending against prompt injection and unsafe actions）

• 摘要： 本文探讨了企业大型语言模型应用的主要安全风险：提示注入。文章解释了什么是提示注入及其工作原理，介绍了AI防护栏的三个层次：输入防护栏、输出防护栏和运行时防护栏。还讨论了RAG防御策略，以及可以帮助的安全架构，如双LLM生成器和批评者模型、能力调解等。
• 作者： 未知作者
• 来源： Red Hat Blog

2026年最佳CI/CD工具：数据实际显示了什么（原文：Best CI/CD Tools for 2026: What the Data Actually Shows）

• 摘要： 本文基于JetBrains的《2025年开发生态系统状况报告》，分析了2026年最广泛使用的CI/CD工具。文章指出GitHub Actions在个人项目中领先（39%），在组织中使用率为33%；Jenkins在组织中使用率为28%；GitLab CI为19%。文章还从六个维度评估了CI/CD工具：流水线配置、可扩展性和并行性、集成、安全和合规、开发者体验、可观察性和分析。
• 作者： Olga Bedrina
• 来源： The JetBrains Blog

🤖 开源 AI

使用Agent Skills进行AI辅助的Java应用程序开发（原文：AI-Assisted Java Application Development with Agent Skills）

• 摘要： 本文介绍了Agent Skills，这是Anthropic推出的开放标准，用于通过专业知识和工作流程扩展AI代理能力。文章解释了Agent Skills如何管理上下文，通过渐进式加载保持上下文最小化。还提供了一个案例研究，展示如何使用Spring Data JPA Agent Skill来实现分页功能，避免常见的N+1查询问题和内存分页问题。
• 作者： Siva Katamreddy
• 来源： The JetBrains Blog

中间件如何让你自定义Agent Harness（原文：How Middleware Lets You Customize Your Agent Harness）

• 摘要： 本文介绍了LangChain中的中间件概念，解释了中间件如何帮助构建代理，将LLM连接到其环境并让它执行操作。文章讨论了如何使用中间件来自定义代理harness，提供了更大的灵活性和控制力。
• 作者： Sydney Runkle
• 来源： LangChain Blog

如何为Deep Agents构建评估（原文：How we build evals for Deep Agents）

• 摘要： 本文讨论了如何为深度代理构建评估，指出最好的代理评估直接测量我们关心的代理行为。文章提供了构建有效评估的方法和最佳实践，帮助开发者确保代理按预期工作。
• 作者： LangChain Accounts
• 来源： LangChain Blog

🌍 开源基础软件

ClickHouse已就绪数据湖（原文：ClickHouse is data lake ready）

• 摘要： 本文宣布ClickHouse现在已就绪数据湖，可以直接查询Iceberg和Delta Lake文件中的数据，或通过任何供应商或开源目录进行查询。文章介绍了ClickHouse在过去两年中为实现这一目标所做的工程工作，包括对Parquet文件的快速处理、对开放表格式的支持，以及与目录的集成。还介绍了三种使用方式：直接在数据湖上查询、加载到ClickHouse原生存储引擎以加速查询、将结果写回开放格式。
• 作者： 未知作者
• 来源： ClickHouse Blog

更智能的ClickHouse自动缩放：双窗口方法（原文：Smarter Auto-Scaling for ClickHouse: The Two-Window Approach）

• 摘要： 本文讨论了ClickHouse的自动缩放策略，指出数据库资源的自动缩放需要仔细平衡：缩放太慢会导致性能下降；缩放太激进会导致持续波动。文章介绍了双窗口方法来解决这个问题，提供了更智能的自动缩放策略。
• 作者： 未知作者
• 来源： ClickHouse Blog

AIOps和MLOps变得简单：使用Red Hat Ansible自动化平台自动化Vertex AI（原文：AIOps and MLOps made simple: Automating Vertex AI with Red Hat Ansible Automation Platform）

• 摘要： 本文介绍了Red Hat Ansible认证内容集合现在为Google Cloud的Vertex AI平台提供原生支持，使得运营和数据科学团队可以管理AI服务的整个生命周期。文章介绍了关键功能，包括数据集管理、流水线自动化、模型治理、声明式部署、特征存储管理、向量搜索和索引等。还讨论了事件驱动自动化如何增强AIOps和MLOps。
• 作者： 未知作者
• 来源： Red Hat Blog

使用Red Hat OpenShift Virtualization在Google Cloud上现代化虚拟机（原文：Modernize virtual machines on Google Cloud with Red Hat OpenShift Virtualization）

• 摘要： 本文宣布Red Hat OpenShift Virtualization现在在OpenShift Dedicated上可用，帮助用户在Google Cloud上现代化虚拟机工作负载。文章讨论了如何将虚拟机与容器工作负载一起管理，提供了统一的平台。
• 作者： 未知作者
• 来源： Red Hat Blog

🔬 编程语言

基于IDE遥测数据的Java和Kotlin开发周期速度比较分析（原文：Comparative Analysis of Development Cycle Speed in Java and Kotlin Based on IDE Telemetry Data）

• 摘要： 本文基于约32万名IntelliJ IDEA开发者在20个月（2023年11月至2025年6月）的遥测数据，比较了Java和Kotlin的开发周期速度。研究发现，在控制了用户、项目、总体时间趋势和任务大小后，Kotlin项目的开发周期通常比类似的Java项目短约15-20%。主要模式不是一次性的大幅加速，而是随着时间推移的缓慢退化：随着项目成熟，未迁移的Java上下文的周期时间往往会增长，而Kotlin上下文的退化较少。
• 作者： Anton Yalyshev
• 来源： The JetBrains Blog

宣布Rust 1.94.1（原文：Announcing Rust 1.94.1）

• 摘要： Rust团队发布了Rust的新点版本1.94.1。本文介绍了1.94.1版本的内容，包括解决了1.94.0版本中引入的三个回归问题，以及一个安全修复。安全修复更新了tar到0.4.45版本，解决了CVE-2026-33055和CVE-2026-33056。
• 作者： The Rust Release Team
• 来源： Rust Blog

GoLand 2026.1发布（原文：GoLand 2026.1 Is Released）

• 摘要： GoLand 2026.1帮助用户保持Go代码现代化和工作流程高效。此版本引入了Go 1.26的引导式语法更新，使采用新语言改进变得更容易。还扩展了AI能力，支持额外的代理，并带来了几个生产力改进，包括Git worktrees支持和更流畅的编辑体验。
• 作者： Artem Pronichev
• 来源： The JetBrains Blog

CLion 2026.1来了（原文：CLion 2026.1 Is Here）

• 摘要： CLion 2026.1专注于稳定性和改进现有功能，同时也推出了一些令人兴奋的新功能。最值得注意的是，现在可以在AI聊天中直接使用更多代理，将CLion变成AI工具和工作流程的开放生态系统。主要更新包括通过Agent Client Protocol（ACP）支持GitHub Copilot、Cursor、Codex和其他代理，轻松打开自定义和VS Code项目，外部CMake项目的代码洞察功能，通过TCP连接到支持DAP的调试器，以及增强的Bazel支持。
• 作者： Oleg Zinovyev
• 来源： The JetBrains Blog

PhpStorm 2026.1现已发布（原文：PhpStorm 2026.1 is Now Out）

• 摘要： PhpStorm 2026.1带来了多项改进和新功能，帮助PHP开发者更高效地工作。文章介绍了此版本的主要更新，包括性能改进、新的代码洞察功能、增强的AI能力等。
• 作者： Hanna Yakush
• 来源： The JetBrains Blog

RubyMine 2026.1：AI聊天升级、新的代码洞察、稳定的远程开发等（原文：RubyMine 2026.1: AI Chat Upgrades, New Code Insight, Stable Remote Development, and More）

• 摘要： RubyMine 2026.1带来了多项改进，包括AI聊天升级、新的代码洞察功能、稳定的远程开发支持等。文章介绍了此版本的主要更新，帮助Ruby开发者更高效地工作。
• 作者： Alexey Varfolomeev
• 来源： The JetBrains Blog

📰 开源生态

Snyk开发者体验的5个原则（原文：The 5 Principles of Snyk’s Developer Experience）

• 摘要： 本文讨论了Snyk的开发者体验的5个原则。在AI驱动开发的时代，速度是新的基线。文章介绍了Snyk如何设计其开发者体验，以提高开发者的工作效率和满意度。
• 作者： 未知作者
• 来源： Snyk Blog

ClickHouse十大最佳实践技巧（原文：Top 10 best practices tips for ClickHouse）

• 摘要： 本文提供了ClickHouse的十大最佳实践技巧。ClickHouse是一个开源的列式数据库管理系统，专为大规模数据集上的实时分析查询而设计。文章分享了使用ClickHouse的最佳实践，帮助用户获得更好的性能和使用体验。
• 作者： 未知作者
• 来源： ClickHouse Blog

使用Serilog和ClickHouse在.NET中进行结构化日志记录（原文：Structured Logging in .NET with Serilog and ClickHouse）

• 摘要： 本文介绍了如何在.NET中使用Serilog和ClickHouse进行结构化日志记录。文章讨论了结构化日志记录的好处，以及如何将Serilog与ClickHouse集成，提供强大的日志分析能力。
• 作者： 未知作者
• 来源： ClickHouse Blog

更多可见性，更少猜测：ClickHouse Cloud的新监控功能（原文：More Visibility, Less Guesswork: ClickHouse Cloud’s New Monitoring Capabilities）

• 摘要： 本文介绍了ClickHouse Cloud的新监控功能，指出ClickHouse为用户提供了令人难以置信的控制权来优化数据库性能。新的监控功能提供了更多的可见性，帮助用户更好地理解和优化其数据库性能。
• 作者： 未知作者
• 来源： ClickHouse Blog