忙忙碌碌的2011马上就要过去了，往年都是早早的写好年终总结等着年底发布，今年最后两个小时了，终于可以开始动手写总结了。

先点开2010年B总结回顾一下，去年此时给今年定下的主题词发展在今年一年得到了非常彻底的贯彻和执行。2010年的那些未刷完的进度条，在2011年得到了大幅度的增长刷新。很开心，很欣慰！

2011年围脖织得多了，博客写得少了。以至于写不到140字就习惯性的来个EOF，切换到下一条思路。。。

好吧，还有1个小时了，不写文字细节了，用一组数据来做一个2011″微”总结吧。

1. 事业

从2011年初的第一个6000元合同项目，1个人做开始，一步一个台阶，五位数，六位数，七位数。我们一路走了上来！

从2011年初的2个学生开始，脚踏实地的团队建设+1次机会，我们做到了30+的硕士/博士和4名社招员工！

从2011年初借实验室工位开始，5月借助一个项目的机会和学院领导的支持，拥有了一个独立的校内实验室；8月在另一所学校附近开辟了一个新的空间；12月在CBD卫城，第1个社会化”战场”就位。

2011年能够实现2009年的B计划，必须要感谢所有帮助过我的人，感恩所有给予我机会的人，感激团队里共同努力和奋斗的每一员：老师、学生和同事！

2. 个人

“做自己喜欢的事情，做自己擅长的事情”，前者培养了自己的兴趣和做事的内在动力，让自己快乐！后者通过不断成事激励自己，增强自信。幸运的是，我同时做到了两者。

教书育人，传道授业，我所乐也！

敲敲代码，写写文档，亦我所乐也！

暇时8卦一下安全圈的那点娱乐事，捣鼓一下vim/mac/perl，玩玩PoC，忙时潜水、织围脖。

最后贴一下2011年最后3个月的工作日历表，3个月一共休息了15天。其中，11月休息了2天，12月休息了3天。

写到这里，2012已经来了，新的一年里我希望自己能够做到：坚持！

• 2010年B总结
• log@2010.8.8 Lunar 6.28
• 毕业了，感谢我的好友们
• 毕业了，感谢我的老师们
• 毕业了，感谢我的师兄师姐们
• 毕业了，感谢我的师弟师妹们
• 胡思乱想一篇
• 2009年A总结和2010年B计划
• 总结2008
• 总结2007

“灵创团队”是杨义先教授和钮心忻教授领导的由一批志同道合的教育家、科学家、企业家和自由职业者等组成的专注于教育、科研、成果转化和企业孵化的跨机构集体。北京灵创众和科技有限公司的创始人均博士毕业于灵创团队，我们对团队多年的培养心怀感恩，“灵创众和”脱胎于灵创团队实至名归。

“众”，顾名思义，三人成“众”，后指代“大家”，“许多人”的意思。2008年的北京奥运会开幕式上，“和”字的演变展示了中国自古以来一直追求的以和为贵，和谐和平的敦厚理论。甚至有人说，把中国五千年的文化用一个字表达的话，这个“和”字也许是再理想不过的选择。“众和”既表达了我们追求和谐、和平、和善、和气生财的理念，更重要的是要把“众和”理念作为公司发展的文化基石。

我们渴望“一唱百和”的发展目标，努力构建“和而不同”的团队，保持“心平气和”的行事作风，致力于创造“一团和气”的公司内外部发展环境。

1. 一唱百和

1953年哈佛大学曾经做过这样一个关于目标对人生结果影响的调查，一群智力、学历、环境、条件都相差无几的学生在走出校门之前，哈佛大学对他们进行了一次关于人生目标的调查。25年后，哈佛大学再次对这群学生进行了跟踪调查，结果是这样的：

从这个调查结果，我们可以看到设定一个清晰的奋斗目标，在个人成功的道路上所起到的重要作用。而目标明确之所以可以让人受益并助力获得成功，主要原因在于明确的目标带给人清晰的方向感，使人充分了解到自己每个行为的目的，并能够及时的将行为的结果和自己的目标进行比对，不断检讨和修正自己的行为。让人能够从忙乱中转移到自己的工作重点上，关注自己的行为结果，产生持久的动力，激发出人的潜能。对于团队来说，就是要将个人目标融入到团队目标中，个人目标统一于团队目标，达到“一唱百和”。

21世纪的前10年，我们经历了跌宕起伏、精彩不断、惊喜不停的互联网十年，这个期间诞生了一系列伟大的互联网公司：Google、阿里巴巴、百度、腾讯、新浪、网易等等。任何一个伟大的公司的开始，都离不开那一群默默无闻的创业者。Google的2位大神，百度七剑客，阿里巴巴十八罗汉，他们的共同点是什么？是的，高校基因！Larry Page和Sergey Brin均博士毕业于斯坦福大学，百度七剑客分别来自北大、清华、北邮等国内知名高校，阿里巴巴十八罗汉的领头人马云创办阿里巴巴之前是高校英语教师。

我们认为21世纪的下一个10年，移动互联网必将掀起一波又一波的“技术改变生活”的热潮。我们正在做的事情，和移动互联网紧密相关，解决最广大用户的最迫切需求是我们创业项目的出发点。

我们的项目已经得到了一些有识之士的资金投入认可！亲，如果你认同我们的背景，认可我们对大势的判断，自认英雄尚无用武之地，那你还在犹豫什么，赶快联系加入我们吧。

2. 和而不同

现代社会已经不再是个人英雄唱主角就能够主导竞争，并获得最后成功的时代了。越来越多矢志于成功的人士开始意识到团队在一个人成功的道路上所扮演的重要角色，凝聚力、团队精神得到了成功人士的普遍关注。拳头攥紧的力量之所以比一个巴掌的力量大得多，就是因为手上的全部力量都被凝聚到了拳心。“一个好汉三个帮，一个篱笆三个桩”说的也是同样的道理，都是在强调团队内部的凝聚力、团结对成功的重要影响。经常有人说，要想走的快，就一个人走；要想走的远，就一起走。

足球之所以能够成为世界第一体育运动，是因为有两个看似矛盾因素的支撑：团队配合和个人发挥。一方面，一支常胜的球队必然有着一个稳固的球队组成和统一的战术打法；另一方面，一支获胜的球队必然离不开获胜功臣的发挥。一支获胜的球队之所以能够成为一个常胜的球队，就是因为在多数场次的比赛中总能涌现出一个又一个的获胜功臣。在球场下，一个优秀球员的伤病和退役，会有一大批新的优秀球员崭露头角。在球场上，每一个球员都能坚定、统一的贯彻执行教练的技战术部署。就一场比赛而言，前锋射门得分固然是球队获胜的必要条件，但离开了防守队员的坚守城池，球队同样无法获得最终的比赛胜利。就一个赛季的联赛而言，战胜强队的比赛虽然可以鼓舞士气，但不能全力以赴的对待每一个对手、每一场比赛，球队同样无法加冕最终的冠军。

因此，一个优秀的团队必须是一个由“持有相同价值观、怀有共同目标、具有互补技能的人”所组成，所谓“和而不同”。在优秀团队中工作的成员是幸福的：相同的价值观是幸福的基础，共同目标是幸福的前提，互补技能是幸福的动力。而一个成功的团队必须是一个长期努力，坚持不懈的优秀团队。每一个团队成员为了共同目标的全力以赴，才是获得幸福的保障。

3. 心平气和

每个人都渴望成功，每个人都在乎成功。每个人都想取得一些成果，并且觉得自己的投入就应该获得这些的成果。罗贯中的《三国演义》一书中，诸葛亮设计上方谷火烧司马懿，可谓机关算尽，司马懿父子也已经是束手待毙，但怎料天降大雨救了司马懿父子。孔明最后也只得叹曰：“谋事在人，成事在天。不可强也！”。所以，与其投资于结果，我们不如投资于过程。不要只盯着结果，结果只应该是个指路灯，指引我们的正确方向，而我们应该心平气和、全力专注于整个过程。如果成功了，那很好，如果我们没有成功，仍然不坏，因为现在我们有了一个全新的起始模式。这样，我们才能感受到每天都是一种赐予。这个过程就像初学走路的婴儿，不管跌倒多少次，最终它能够自己走路而再也不会跌倒。如果母亲在最初只是不断专注于婴儿走路的结果，而不是这个充满跌倒的过程，婴儿最终是学不会走路的。

4. 一团和气

“是金子总会发光的，但金子本身是不能发光的。”不论是一个成功的个人，还是一个成功的团队，都离不开它所处的环境。我们无需讨论“环境决定论”或“机遇决定论”的对与错，至少谁也无法否认“环境”和“机遇”在成功的道路上所起到的关键作用。不管是决定性因素也好，催化剂作用也罢。一个好的环境，一次难得的机遇对于一个人，一个团队的成长一定是起到正面和积极作用的。假如没有机遇，纵使你有才华也得不到展现抱负的机会和舞台。常言道，成功者和失败者的区别就在于能否捉住机遇。所谓正人适时而动，英雄应运而生；快跑未必能赢，力战未必得胜。一个糟糕的大环境下，虽然也会“乱世出英雄”，但必定道路曲折。

人的成功不能只为自己一个人，要为身边的人谋福利，求改善，有帮助。公司的成功也是相同的，饮水思源，知恩图报。行业发展的大环境好了，个体公司才能从大环境中获得更多的机遇，得到更好的发展。只有一团和气的成功，才是有生命力的成功。

• [推荐]基于Windbg的一个漏洞可利用性分析插件
• SSH安全加固一二三
• 分享1个Linux命令lsof
• 当Nmap遇到ipod touch?
• zz一种新的带宽攻击方式
• 4道js面试题
• 一次聪明反被聪明误的注册表操作T_T
• [推荐]一个在线备份和文件同步的网站
• [源代码]onunload事件实践
• 推荐几个好玩且实用的Web App Tools

今天微博上看到一篇文章，叫做《你从未用过的 10 条 Linux 命令？》，原文也不长，转过来也不费事。

== 以下内容是转载，版权归原作者所有 ==
这 10 条 Linux 命令依次是：

pgrep：比如，你可以使用 pgrep -u root 来代替 ps -ef | egrep ‘^root ‘ | awk ‘{print $2}’，以便抓取属于 root 的 PID。

pstree：我觉得这个命令很酷，它可以直接列出进程树，或者换句话说是按照树状结构来列出进程。

bc：这个命令在我的系统中没有找到，可能需要安装。这是用来执行计算的一个命令，如使用它来开平方根。

split：这是一个很有用的命令，它可以将一个大文件分割成几个小的部分。比如：split -b 2m largefile LF_ 会将 largefile 分割成带有 LF 文件名前缀且大小为 2 MB 的小文件。

nl：能够显示行号的命令。在阅读脚本或代码时，这个命令应该非常有用。如：nl wireless.h | head。
mkfifo：作者说这是他最喜欢的命令。该命令使得其他命令能够通过一个命名的管道进行通信。嗯，听起来有点空洞。举例说明，先创建一个管道并写入内容： mkfifo ive-been-piped ls -al split/* | head > ive-been-piped

然后就可以读取了：head ive-been-piped。

ldd：其作用是输出指定文件依赖的动态链接库。比如，通过 ldd /usr/java/jre1.5.0_11/bin/java 可以了解哪些线程库链接到了 java 依赖（动态链接）了哪些库。（感谢 NetSnail 的指正。）

col：可以将 man 手册页保存为无格式的文本文件。如： PAGER=cat man less | col -b > less.txt

xmlwf：能够检测 XML 文档是否良好。比如： curl -s ‘http://bashcurescancer.com’ > bcc.html xmlwf bcc.html perl -i -pe ‘s@
@
@g’ bcc.html xmlwf bcc.html bcc.html:104:2: mismatched tag

lsof：列出打开的文件。如：通过 lsof | grep TCP 可以找到打开的端口。

== 以上内容是转载，版权归原作者所有 ==

关于lsof，网管员应该了解以下这个用法：
# 显示当前SSH的连接用户和源IP地址

$ sudo lsof -n | grep sshd | grep TCP | cut -c18-28,70-
root  TCP *:22 (LISTEN)
root  TCP *:22 (LISTEN)
root  TCP 1.2.3.4:22->6.7.8.9:2544 (ESTABLISHED)
huangwei  TCP 1.2.3.4:22->6.7.8.9:2544 (ESTABLISHED)
root  TCP 1.2.3.4:22->6.7.8.9:29340 (ESTABLISHED)
huangwei  TCP 1.2.3.4:22->6.7.8.9:29340 (ESTABLISHED)
root  TCP 1.2.3.4:22->6.7.8.9:33223 (ESTABLISHED)
huangwei  TCP 1.2.3.4:22->6.7.8.9:33223 (ESTABLISHED)
huangwei  TCP [::1]:cisco-sccp (LISTEN)
huangwei  TCP 127.0.0.1:cisco-sccp (LISTEN)
huangwei  TCP 1.2.3.4:40183->74.125.227.8:https (ESTABLISHED)
root  TCP 1.2.3.4:22->6.7.8.9:43698 (ESTABLISHED)
huangwei  TCP 1.2.3.4:22->6.7.8.9:43698 (ESTABLISHED)
root  TCP 1.2.3.4:22->6.7.8.9:44943 (ESTABLISHED)
huangwei  TCP 1.2.3.4:22->6.7.8.9:44943 (ESTABLISHED)
huangwei  TCP 1.2.3.4:38038->74.125.227.20:www (ESTABLISHED)

看看是谁在大量并发连接呢？

DDoS？网站管理员的噩梦！一条”简单”命令就能找出script kids？看过来：

$ sudo netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr
      8 192.168.0.218
      7 192.168.0.38
      6 192.168.0.14
      6 0.0.0.0
      2 192.168.0.166
      2 192.168.0.110
      2 192.168.0.10
      1 192.168.232.223
      1 192.168.0.70
      1 192.168.0.6
      1 192.168.0.50
      1 192.168.0.22
      1 192.168.0.210
      1 192.168.0.194

看看现在服务器打开了多少端口？看过来：

$ sudo lsof -i
COMMAND    PID     USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
mysqld    1190    mysql   10u  IPv4    5022      0t0  TCP localhost:mysql (LISTEN)
apache2   1347     root    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
svnserve  1759      svn    3u  IPv4    6612      0t0  TCP ooxx-vpn:svn (LISTEN)
sshd      2583     root    3r  IPv4 1194924      0t0  TCP 192.168.1.176:8822->192.168.2.223:40876 (ESTABLISHED)
sshd      2651 huangwei    3u  IPv4 1194924      0t0  TCP 192.168.1.176:8822->192.168.2.223:40876 (ESTABLISHED)
apache2   2714 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2715 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2722 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2722 www-data   11u  IPv4 1198941      0t0  TCP ooxx-vpn:www->192.168.0.50:4068 (ESTABLISHED)
apache2   2723 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2725 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2725 www-data   11u  IPv4 1198939      0t0  TCP ooxx-vpn:www->192.168.0.194:15397 (ESTABLISHED)
apache2   2734 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2809 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2809 www-data   11u  IPv4 1198940      0t0  TCP ooxx-vpn:www->192.168.0.218:1521 (ESTABLISHED)
apache2   2810 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2811 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2818 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2819 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2845 www-data    3u  IPv4    5327      0t0  TCP *:www (LISTEN)
apache2   2845 www-data   11u  IPv4 1198938      0t0  TCP ooxx-vpn:www->192.168.0.14:36802 (ESTABLISHED)
proftpd   7191      ftp    0u  IPv4   29954      0t0  TCP ooxx-vpn:ftp (LISTEN)
sshd      9720     root    3u  IPv4   47070      0t0  TCP *:8822 (LISTEN)
sshd      9720     root    4u  IPv6   47072      0t0  TCP *:8822 (LISTEN)
svnserve 11217      svn    4u  IPv4 1019658      0t0  TCP ooxx-vpn:svn->192.168.0.166:6211 (ESTABLISHED)
svnserve 11350      svn    4u  IPv4 1020389      0t0  TCP ooxx-vpn:svn->192.168.0.166:6286 (ESTABLISHED)
svnserve 12706      svn    4u  IPv4  627093      0t0  TCP ooxx-vpn:svn->192.168.0.22:1084 (ESTABLISHED)

看看本机上所有占用 TCP 80端口的应用程序

$ sudo lsof -i tcp:80

样例输出如下：

COMMAND   PID     USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
apache2  2827 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2827 www-data   11u  IPv4 2026780      0t0  TCP ooxx-vpn:www->192.168.0.22:14949 (ESTABLISHED)
apache2  2875 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2919 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2920 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2921 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2924 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2926 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2928 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2930 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2932 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2  2933 www-data    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)
apache2 26081     root    3u  IPv4 1609898      0t0  TCP *:www (LISTEN)

• [CodeSnippet]Perl抓包分析之DNS debug
• SSH安全加固一二三
• 简单几条命令检测DDoS攻击
• 破解合肥电信的ADSL猫上网限制
• [原创]BackTrack 2硬盘安装笔记
• [译]CERT Secure Coding Standard — C语言安全编程规范(5)
• [译]CERT Secure Coding Standard — C语言安全编程规范(4)
• [译]CERT Secure Coding Standard — C语言安全编程规范(3)
• [译]CERT Secure Coding Standard — C语言安全编程规范(2)
• [译]CERT Secure Coding Standard — C语言安全编程规范(1)

续上篇，本篇小白笔记是从一个程序员的角度谈谈我的使用经验，上手时间有限，难免有认识上的浅薄之处，欢迎老白们留言指正。

言归正传，我目前在Mac平台上的开发虽然是为了iOS，但本文的写作不是为iOS程序员量身订制。写作本文的主要动机是记录一下我是如何从Linux开发环境逐渐转变适应Mac开发环境的。所以，如果你也和我一样，刚从Linux平台转到Mac上，那么本文所记录的一些笔记应该就是为你准备的。

MacPorts

只要你最近一直在用Linux的主流发行版本（Ubuntu、Fedora、Debian、Gentoo等等），或者有过BSD使用经验，一定对*nix平台上的软件包管理机制不陌生。不管是Apt-get、rpm、pkg等等，对于普通用户的体验来说，都是一键安装（一条命令）软件，不用考虑不同软件之间复杂的依赖关系，也不用考虑去哪儿下载软件比较靠谱，更不用担心软件的自动更新问题。依托开源社区的强大支持，海量软件随用随装。

Mac作为BSD系统商业化的最成功代表，继承了BSD系统稳定、可靠的传统和特性，但没有经过调教的Mac OS X不是为程序员而定制的。这和乔帮主一贯的产品设计理念是分不开的：苹果的产品能够让一个小学二年级教育文化水平的人，无需说明书即可开始使用。程序员嘛，受教育文化水平肯定是要高于小学二年级教育文化水平的。所以，程序员需要控制台，用键盘的时间要多于用鼠标。非程序员，不需要控制台，最好连键盘都不要用到。

MacPorts可以看做是BSD系统上的ports机制在苹果系统上的移植版本，关于MacPorts的安装，如果你是用的Snow Leopard或者其他较新的苹果系统版本的话，官方网站上提供了直接可用的二进制dmg版本，下载双击安装即可。

下面重点介绍安装好MacPorts后的几个关键环节：

MacPorts改良

MacPorts的默认安装版本(1.9.2)有两个对于我来说非常不爽的“缺陷”：

1. 不支持多线程下载
2. 下载过程没有任何进度提示

经过一段时间的hack之后，我找到了上述两个问题的改良方法。

修改/opt/local/share/macports/Tcl/port1.0/portfetch.tcl，大约在489行（修改前请先备份原始文件，以避免修改出错！！）

新增：

set currentTTy [exec "tty"]

替换原489行代码（使用curl下载的代码片段）为以下代码

if  {![catch {system "/opt/local/bin/axel -n 10 -o  ${distpath}/${distfile}.TMP $file_url > $currentTTy"} result] && ![catch {file rename -force "${distpath}/${distfile}.TMP"  "${distpath}/${distfile}"} result]} {

上述代码使用axel，10线程并发下载。根据自己的网速情况，可以增加或减少并发线程数。只要下载速度还可以，就别设置太多并发下载线程了，为服务器节约点带宽给其他人用，呵呵。
看官看到这里请注意了，axel不是系统默认中就有的，正好可以先通过安装axel来体验一把给力的MacPorts。

MacPorts速成

以上述axel安装为例来体验MacPorts。
首先是更新MacPorts的本地软件列表

$ sudo port selfupdate

然后是在MacPorts中查找是否有axel这个软件

$ port search axel
axel @2.4 (net, www)
    A light Unix download accelerator

安装

$ sudo port install axel

MacPorts安装软件的过程可以简单分为：下载代码、编译代码、安装二进制程序、配置程序，实际的安装软件过程还包含代码依赖性问题的解决过程。
关于MacPorts的常用命令，我整理了一个列表，如下：

1. 更新port： port selfupdate
2. 升级port里面的所有软件包：port -d sync
3. 查询port里面是否有该软件：port search xxx
4. 用port安装某软件：port install xxx
5. 查看port里面的软件是否有升级：port outdated
6. 查看某个软件是否有升级：port outdated xxx
7. 升级某个软件： port upgrade xxx
8. 升级某个软件(不升级依赖软件)： port -n upgrade xxx
9. 升级所有能升级的软件： port upgrade installed
10. 禁用某个软件（但不删除）： port uninstall xxx
11. 彻底清除某个软件： port clean –all xxx
12. 查看某个软件的详细信息：port info xxx
13. 查看某款软件的备注信息：port notes xxx （例如启动dbus的方法：port notes dbus）
14. 查看软件在系统上安装了哪些文件：port contents xxx
15. 查看已安装的软件列表：port installed [xxx]
16. 查看软件的可选安装组件或编译参数：port variants xxx

以安装curl为例：

$ port variants curl
curl has the variants:
  ares: Add support for resolving names asynchronously
  gnutls: Allow secure connections using GNU TLS
    * conflicts with ssl
  gss: Support the Generic Security Service API
  openldap: Support performing Lightweight Directory Access Protocol queries with
            OpenLDAP
  sftp_scp: Add SFTP/SCP support via libssh2
  spnego: Enable SPNEGO authentication support
[+]ssl: Allow secure connections using OpenSSL
  universal: Build for multiple architectures

有[+]的选项表示非默认组件或编译参数，如果需要安装或启用则需要在安装时显式的指定，如：

$ sudo port install curl +ssl

MacPorts排错

命令行提示找不到通过MacPorts安装的程序？
默认情况下，通过MacPorts安装软件的根目录在/opt，而系统默认的环境变量没有包含这个目录下的可执行程序目录，所以为了一劳永逸，可以修改用户自己的环境变量，以便于程序的启动。

修改环境变量，将通过MacPorts安装的软件的默认搜索路径加到PATH中。和*nix一样，修改~/.bashrc即可。

export PATH=/opt/subversion/bin:/opt/local/bin:$PATH

通过MacPorts安装软件出现校验和错误的解决办法：官方链接

$ sudo port selfupdate
$ sudo port clean --dist 
$ sudo port install

Meld

关于Meld是什么，可以看我之前写的这篇文章：nautilus脚本应用实例之一：用meld比较选中的文件或文件夹。Meld之于程序员的意义是：源代码差异比较的神器，没有之一。

meld可以通过MacPorts直接安装，如果遇到安装meld后无法启动，命令行报错提示信息：
…
Dynamic session lookup supported but failed: launchd did not provide a socket path, verify that org.freedesktop.dbus-session.plist is loaded!
…

官方已经给出了解决办法：

$ sudo launchctl load -w /Library/LaunchDaemons/org.freedesktop.dbus-system.plist
$ launchctl load -w /Library/LaunchAgents/org.freedesktop.dbus-session.plist

执行完上面的两条语句之后就可以顺利启动meld了

后记

写完后我才发现，这一篇所谓程序员视角的小白笔记其实就是讲了MacPorts而已，只是顺带又推荐了meld这个神器，无它。但沉思片刻，似乎对于程序员来说，特别是有Linux背景的程序员来说，有了MacPorts，似乎不需要再多介绍什么了。头文件、库、编译工具、工具链，这些都可以通过MacPorts来安装，一切还和之前一样，没太多不同。

不过MacPorts由于是基于源代码的包管理机制，所以在编译一些“大”软件的时候，耗费的时间有些长。今天在更新boost的时候，我看了一下时间，差不多得有1个小时吧。如果想试试基于二进制可执行文件的包管理机制，可以试试Fink，我暂时还没用过。MacPorts目前可以满足我的所有需求了，唯一没有找到的一个开源软件就是MadEdit。Fink里似乎有MadEdit的源，改天再试试。

• 苹果小白的上手笔记(1)
• [译]CERT Secure Coding Standard — C语言安全编程规范(5)
• [译]CERT Secure Coding Standard — C语言安全编程规范(4)
• [译]CERT Secure Coding Standard — C语言安全编程规范(3)
• [译]CERT Secure Coding Standard — C语言安全编程规范(2)
• [译]CERT Secure Coding Standard — C语言安全编程规范(1)
• Linux C/C++编程FAQ系列 之四
• 4道js面试题
• 增强vim的js语法高亮和代码阅读能力
• Linux C/C++编程FAQ系列 之三

Last update: 2012-03-21

Macbook Pro入手整一周，上手笔记稍加整理了一下，发个水帖。这第一篇笔记侧重于我在一周的办公型日常使用中遇到的问题和解决方案，软件使用心得。

Windows用户必读

http://support.apple.com/kb/HT2514?viewlocale=zh_CN

Macbook的触摸板手势

http://support.apple.com/kb/ht3211?viewlocale=zh_CN

不会使用鼠标右键的一定要看看这个链接。

btw: 系统的这个设置界面做得太棒了，直接用视频来辅助说明设置项的作用和效果，一目了然。

Mac OS X的键盘快捷键

http://support.apple.com/kb/HT1343?viewlocale=zh_CN

我最常用的一些快捷键：

程序完全退出：Command+Q

关闭标签/“简单”退出（程序保留在Dock）：Command+W

新开标签页：Command+T

截图：Shift+Command+4

屏幕缩放：Control+两根手指划呀划（鼠标滚轮滚动）

用键盘重命名：回车

用键盘在Finder中打开程序/目录：Command+O

用键盘在Finder中打开上一级（父）目录：Command+上方向键

光标快速移动行首/行尾：Command+左键/右键

中文输入法

开启系统默认输入法：http://zhidao.baidu.com/question/106508545

推荐的第三方输入法：http://fit4.cn/mac

Office

如果你安装了Mac Office 2011英文版（话说迅雷上有cracked版本，我就不提供下载链接了），那么你很可能还需要去解决一下中文字体的问题。英文版自带的简体中文字体实在太少，没有这些字体，甚至连仿宋都没有。中文模板中的一些字体在我这里还会显示日文字体名。。。

这些Google大神都知道，问问他吧。

虚拟机

虽然有原生的ms office了，但是没有visio，所以虚拟机偶尔还要开一下。开源/免费的可以用经典的VirtualBox，VMware fusion是商业版的。当然Google大神也会告诉你去哪儿下载破解版的。。。

下载

在Mac版迅雷正式发布之前，Firefox+Downthemall应该是最佳的免费、多线程、支持端点续传的下载方案了。

sftp可以用filezilla，官网果断下载之。

IM

Adium在Mac OS上的意义基本和pidgin之于Linux，支持多种IM的集成，地位无须多解释了。QQ？我基本不用，偶尔WebQQ就能满足需求了。

淘宝玩家可以用Mac版的阿里旺旺，官方出品，品质有保障，功能逐渐完善中。

图片查看器

xee：如果你和我一样，对狮子自带的预览程序在查看图片文件夹时居然不能用键盘左右键控制上一张/下一张查看图片，试试这款软件吧:D

终端

自带的终端有2个严重让我不满的bug。第一，不支持256色。我以前的.vimrc需要修改，.bashrc需要修改。否则vim界面下会一闪一闪的。第二，命令行超长（典型情况是进入较深层次的目录）时如果调整终端窗口的大小会造成命令行提示符发疯似的重复多次。

现在改用iTerm2，免费，基本和gnome-terminal一致的用户体验了。

在此处打开终端/命令行

推荐两个我在用的app:

DTerm：App Store中就有，免费。可以方便的在Finder中激活一个命令行提示符，方便执行一些简单的终端命令（例如使用命令行解压缩文件）。

>cd to ..：正牌的“在此处/当前目录打开终端”

OpenTerminal：支持使用iTerm而不是系统自带的终端。

解压缩rar

Keka: 推荐保留在Dock中，需要解压缩文件时使用拖拽操作。把要解压缩的文件拖拽到图标上，不过有的时候在Finder中双击压缩文件也可以自动解压缩到当前目录。

强制退出应用程序

Option+Command+Esc

桌面工作效率提升

clinch：应用程序窗口贴边自适应最大化/只填满半屏，离边自适应屏幕大小缩放（共享版，定期弹出注册提示，但不影响使用，强烈推荐）；

下一篇笔记将从程序员的视角来记录一些心得和体会。

• 苹果小白的上手笔记(2)

update: 我发现国内的搜索引擎似乎都把“高级搜索”的链接从首页上移走了。看来确实是点击率太低，所以被废了。只有Google的首页上还保留着“高级搜索”的链接。百度的高级搜索功能可以通过在百度搜索框中输入“百度高级搜索”来访问，我猜是百度上下严格贯彻总裁“框计算”战略的行为吧，去除复杂且不常用功能？。

想写这个文章已经不是一天两天了，网上有很多关于Google搜索的奇技淫巧，安全界的淫才们甚至还发明了Google Hacking一词。我，作为一个深度搜索控，Google技术爱好者，“毁人不倦”的教育行业从业者之一，对搜索技术的崇拜是落实到了实际行动中的。多年搜索应用的使用经验告诉我，傻瓜和砖家的距离其实并不是万水千山，真的就只是一次搜索的距离。

等等，有看官看到此处，可能会有疑问：“为什么是搜索，不是搜索引擎呢？”

对头，我要说的确实是搜索，而不仅仅是搜索引擎。如果你到今天还在认为，搜索就等于搜索引擎，就约等于Google+百度，那你就out了。这篇文章就是要写给你看的。

首先，大家没有必要去羡慕嫉妒恨那些所谓精通Google搜索奇技淫巧的人，其实每一个人都可以在瞬间成为Google搜索的砖家。为什么呢？其实不管是Google，还是百度，或者其他任何搜索引擎门户，在首页上都明确的提供了“高级搜索”的链接，点击进去之后，你就成为高级搜索砖家了。只找pdf、doc？没问题。站内搜索？很简单。查相关网页，也有入口了。你还需要记忆类似site、filetype这样的搜索语法吗？用几次就都知道了吧。

其次，除了通用搜索引擎，用好垂直搜索是提升你搜索层次、档次的一个重要途径。比如，如果你要买技术书籍，特别是计算机类的图书，面对市场上成千上万种的计算机图书，你到底该买谁？你用Google来找推荐吗？不用这么麻烦，上豆瓣吧。看书评，找豆列，让大家帮助大家。读者用脚投票的结果，还是靠谱的。再比如，你在学习一门新语言，新技术，想找一个教学视频来看看。问Google？filetype:avi？不用这么麻烦，国内用户可以上优酷，会翻墻的用户可以上有土伯，既有网友的自制教学视频，也不乏一些培训、书籍、学校的教学视频。好了，举例就到此为止。我常用的一些垂直细分的搜索网站列一下：

• 找代码：Google CodeSearch、Koders.com
• 找推荐书：豆瓣网
• 找视频：优酷、youtube、土豆，太多了
• 找电子图书：新浪的ishare、CSDN等内容门户有很多“盗版”电子书。。。当然了，百度文库也是很重要一个的罪恶之源
• 找ppt: slideshare
• 鉴别网图：TinEye
• 找最新最新update：微博（新浪、腾讯，等等）、Google实时搜索（主要数据来源是推特）
• 找飞机票、火车票、旅游信息：酷讯、去哪儿、途牛，等等
• 其他，自己Google搜索：“垂直搜索”。

我常用的都已经列在上面了，按重要性程度依次递减。

再有，就是搜索关键词的质量！虽然搜索引擎现在越来越智能，越来越懂中文，但你也不能用“垃圾”关键词来虐搜索引擎的那个框。。。

什么样的关键词会被称为“垃圾”？简单来说，别人能搜到的结果，你搜不到，那你就是输入“垃圾”关键词了。

怎样提高搜索关键词的质量？我总结了几条还算不错的个人经验吧。

• “特征签名/模板信息”直接复制+粘贴，最典型的就是程序员遇到的编译器错误提示信息，系统管理员遇到的日志错误信息，等等。
• 总结一些重要的个人黄金关键词。比如我的一些最爱关键词：cheatsheet、tutorial、howto等等，之所以只列举英文关键词，可能和我个人的搜索习惯有吧。在我看来，计算机类的问题确实还是英文的搜索结果往往更贴近我的问题的答案。特别是这两年，stackoverflow.com这样的专业计算机类问答网站的出现，你会发现这是真正的广大程序员、IT人士的福音。
• 善于使用搜索引擎高级技巧中的一些信息精简功能。例如限制只搜索pdf、doc，限制搜索结果的时间范围，限制只搜索某个站点，等等。很多时候，不是没找到答案。而是答案太多了，无从下手。

最后，其实最重要了，搜索精华结果信息来源的“follow”。这句话怎么说呢？比如你查到一篇博客文章，解决了你的问题。你有没有想过，再看看这篇博客的其他文章？更进一步，看了之后，有没有意识到这个博客上的文章内容和你的研究方向/工作内容相关性较大？ok，为什么不订阅他的博客feed呢？我们不能因为解决了问题，就认为ok了。好文章不常有，好博主更是少有的哦。IT技术，日新月异，如果你不能保持自动更新，很快你就会成为奥特曼，再过一段时间，你面临的可能就是失业了。搜索引擎之所以能解决问题，并不是因为搜索技术有多强大，而是有千千万万的用户在贡献内容，奉献精华。内容为王！

现在虽然出现了很多优秀的社会化内容推荐和分享系统、应用，但在我兲朝，所有的UGC（用户产生内容）网站都很难长命。所以，该靠自己的时候，还是要靠自己。紧跟行业领袖，向业界的先进工作者学习是“傻瓜”成长的必由之路。

搜索技术是解决你眼前的问题，RSS订阅和阅读是解决你成长的问题。微博时代，又增加了follow学习之道。

总结一下，善用搜索包括了搜索前、搜索中、搜索后三个阶段的工作。

搜索前，要确定好“去哪儿搜”？

搜索中，要确定“搜什么关键词”？

搜索后，要确定“是否有必要保存信息来源”？

• 好习惯不是养出来的，是逼出来的

我承认这个标题是唬人的，但以下我要说的确实都是自己的真实成长案例。从这些自己的亲身经历中，我确实体会到了“好习惯不是养出来的，是逼出来的。”

案例一：及时洗衣服（坏习惯强迫）

上大学时，很多男生寝室总是“臭气”熏天，这“臭气”的来源嘛其实就是堆在某个角落的脏衣服、臭袜子，whatever。许多人也许会说，这是男生“懒”的表现。确实，我也懒过。一次偶然的“事故”，我的两个盆被摔坏了一个。懒得去再买一个盆，于是我养成了一个“坏”习惯：一个盆，既当脸盆，又当脚盆。不过，在养成坏习惯的同时，我很快发现我改掉了堆积脏衣服的“坏习惯”，养成了脏衣服即脱即洗的好习惯。为什么呢？只有一个盆呀！衣服堆盆里，不洗的话，早晨洗漱的时候特别麻烦。

于是，在不知不觉之中，我被自己的懒逼的“勤快”了起来，大学毕业前再也没有堆脏衣服的习惯了。毕业后嘛，由于某人勤快的给我买了个脏衣框，所以我就。。。

经验与教训：如果你特别想养成一个好习惯，最快见效的方法就是用另一个自己特别乐意的坏习惯来强迫你自己，让自己心甘情愿的“养成”好习惯！不过友情提醒一下，小心别人帮你帮你改了你的那个驱动力“坏习惯”，从而导致好不容易养成的好习惯瞬间付之东流。

案例二：早起（环境强迫）

很多人都有这种体会，如果是自己“要求”自己做一件事情的时候，如果这件事情对自己没啥好处的话，一般自己都会用各种理由来“搪塞”自己，推延磨蹭。但如果是你“主动答应”别人做的事情或者“上级指示”或者“硬性规定”，你却总能“硬着头皮”把事情扛下来。这就是为什么上班族每天能够早起挤公交、挤地铁，只为上班别迟到，别扣钱。大学生日晒三杆才睁眼，因为迟到、旷课没人罚，没人管。这就是环境强迫与不强迫你的差别。

我的早上准时起床经验就是：用两个闹铃，设置相同的闹铃时间，不同的铃音，分别放在我睡觉时伸手够不到的两个地方。这就算是自己给自己设置了一个强迫的早起环境吧。我不下床，就不能关掉闹铃，闹铃就会一直在那儿响啊响。再不关？老婆一脚就把我从床上踹起来了。下床关闹铃吧，关掉2个，我也差不多清醒了，想再睡个回笼觉都困难了。久而久之，我就习惯早上准时起床了。现在基本我醒的时间都能和闹铃同步，睡眠质量反而更高了。

案例三：每天记日志（虚荣心强迫）

很多人一定会觉得每天坚持写日志是一件很难的事情，因为稍不留神就会“忘了”写。以前我也是这么认为的，不过自从进了实验室之后，我开始发现，不记日志，每周写周报的时候特别痛苦。特别是明明自己一周干了很多事情，但如果没有日志的支持，写周报的时候经常会有所遗漏。明明是自己做了的事情，却没有“汇报”，总觉得自己很亏。于是开始坚持每天记日志，当然偶尔也会有当天遗忘记录的，但第二天一定会赶紧补上前一天的日志。渐渐的，我的周报内容越来越丰满，老板满意自然给你的脸色就好，你也就感觉“倍有面子”，而且坚持时间久了之后，经常翻翻以前的日志本身就会带来一种很自然的自我满足感。虽然现在我已经不需要给老板写周报了，但日志还是每天在记。不为别的，就是为了自己的这点“自我满足感”。

后记

这篇文章也是一篇拖了很久的草稿，之前写了个提纲，就放在草稿箱了。今天翻出来写完这个草稿，是有感于今天和老妈的一次聊天，谈到了家里的小字辈的一些所谓“坏习惯”，让我想到了自己的这些“好习惯”是如何被“逼”出来的，有必要给我的小弟小妹们分享一下。在我看来，好习惯确实不是靠“养”就能养出来的，你今天订了一个好习惯列表，坚持了三天，三个月，你就可以宣称“养成”了？你以为你是在玩“养成类”游戏了吧，还通关了呢。我自以为一个好习惯的“养成”一定是有一些因素“强迫”，被逼出来的。这就像喝水，吃饭一样。没人会说喝水，吃饭需要“养成”吧？因为不喝水，不吃饭你会死。你迫于生存必须喝水，吃饭，而且你能坚持一生。所以，要“养成”一个好习惯，就赶紧找一个“被逼”的理由吧。

后记的补充

我的文字水平有限，全是大白话，且无任何理论依据和方法论总结，我再分享几篇我看过的关于好习惯养成的好文，以飨读者。

• 褪墨：让我们“晒”习惯
• 褪墨：一个月培养一个好习惯
• 34个好习惯

• 善用搜索是从傻瓜到砖家的第一步

update:2011/03/30 今天看到一个让我深有同感，说出我心声的邮件：《千万不要写长邮件》。

最近因为工作的原因，我每天都要处理数量可观的邮件和简历。许多优秀的学生简历其实很漂亮，内容充实，过往表现可圈可点，但简历的精彩无法遮掩他/她邮件的丑陋“外表”。如果是一个“外貌”协会的会员来处理这个邮件，最可能执行的操作就是“批量已读”，甚至是“标记为垃圾邮件”。

一封邮件的“外表”都包括些什么呢？什么样的外表会让人眼前一亮，让人有继续阅读的兴趣呢？下面让我从写一封邮件的正常流程来逐步谈谈我的一些体会。

发件人（From）

很多人都会忽略这个细节，特别是对于那些使用Web Mail来发邮件的人来说，可能都没有意识到这个字段。举例来说，很多人使用QQ邮箱来发邮件，QQ邮箱会默认使用你的QQ昵称作为发件人的姓名。于是，有些人就杯具了。从一个老师的角度来说，如果我收到一封简历，发件人写的是 牛13 <10000@qq.com>，我一定会对发件人“轻看”一分的，不够专业。

收件人（To）

收件人肯定是需要发件人指定的，如果不明确收件人的完整、准确姓名，直接填写对方的邮箱地址最稳妥的。如果非要给收件人邮箱地址扣上个“帽子”，切记不要“张冠李戴”，没有人会喜欢自己的名字被别人乱写吧？

抄送（CC）

如果你的这封邮件需要多个人阅读，但并不是每个人都需要去实际处理这个邮件中所提到的事情，你只是需要“告知”其他收件人：“我和收件人之间有这封邮件通信的凭证，需要你知晓这件事情的存在性”。这就是抄送对象存在的意义。职场里有这样一个不成文的规定，抄送对象的重要性程度决定了这封邮件的重要性程度。试想，你如果在发送邮件时抄送我们敬爱的胡主席一份，那这封邮件的重要性是不是不言自明？

密送（BCC）

密送和抄送的唯一区别就是，密送的邮件地址不会被收件人“察觉”到。使用的概率相比较CC要小很多。

主题（Subject）

首先需要认识到的是主题一定不要留空，“无主题”邮件是随意的表现。上级给下级“无主题”邮件，不会有啥影响。可如果你是有事相求，“无主题”只会让收件人感到被藐视。

再有，主题的精髓是“精准、概要”，引起收件人注意。在这里最忌讳的是使用花里胡哨的主题，例如使用大量特殊符号堆砌，似乎本意也是吸引收件人注意，实则让人生厌。

如果收件人对主题的格式已有要求，务必严格遵守执行。因为，收件人很可能在处理邮件的客户端上使用了邮件过滤规则，自动对邮件进行分类。不符合格式要求的主题的下场就是被收件人“自动”忽略。

正文

我个人对邮件正文书写的最大体会可以总结为12个字：有礼有节、条理清楚、重点突出。

有礼有节：首次给对方发邮件或是正式场合邮件，一定要在邮件的一开始礼貌称呼，“你好/您好/你们好”总有一个适合你，但不要“您们好”，语法错误，读起来更别扭。礼貌招呼完，进入正文后，务求篇幅有节制。收件人级别越高，重要性程度越高的邮件，正文内容的篇幅越要务求简短。只有情书是越长越好的，正式邮件越短越好。当然了，前提一定是把事情交待清楚了。正文写完后，可以酌情使用“祝好！”、“致礼！”等表达感谢、祝愿的措辞，也算是贯彻了礼貌贯穿全文。

条理清楚：要想让邮件内容短小精炼，最好的办法就是采用列表的方法，1、2、3、4、5。。。一件一件，一条一条。每一条有一个短标题的话，表达效果更佳。看邮件，不是看小说。邮件内容不能像小说剧情那样跌宕起伏，峰回路转的。列表式邮件的另一个重要好处，就是方便收件人逐条回复。

重点突出：虽然邮件越短越好，但有时候确实需要多一些篇幅来说事情，那怎么办呢？我的建议是可以使用格式化，粗体、颜色、高亮背景等都是可选的突出重点的形式化方法。这里唯一需要注意的是，突出重点不能变成“水彩画”，适度原则必须严格执行。

签名

在Gmail出现之前，国内的很多免费邮箱都喜欢给你的发出邮件自动的加上一个“邮箱签名”。如果只是纯粹推广邮箱也就罢了，如果是一个“性病治疗”广告呢？这也许就是那时候收费邮箱存在的一个“市场价值”吧。

好了，现在的主流免费邮箱都不会打你的邮件签名的主意了，你的邮件签名终于可以你自己做主了，写些什么呢？我的建议是：姓名、单位、联系方式（手机）是最有意义的签名内容，中英文对照、格式化的签名可以为你的邮件多增加几分“职业感”。

附件

大小、格式、文件命名是附件的三要素。虽然现在主流免费邮箱的附件大小是越来越大，甚至还有个别邮件服务提供商的G级别附件的“噱头”，但在现实的正式邮件沟通场合中，5MB以内的邮件附件大小还是相对安全的传送标准，如果是简历之类的附件则是100KB以内为佳。如果要在Word之中插入图片，务必先对图片进行压缩处理，不要以为在Word中调整一下图片“大小”就ok了。

格式的通用性是附件需要考虑的，在不了解收件人的邮件处理终端配置时，尽可能用大众化的附件格式。例如，能用zip就不用rar，能用pdf就不用doc，能用txt就不用doc，等等。

文件命名也有讲究，可以参考本文中“主题”一节的说明。“新建文档.doc”是会被赤裸裸鄙视的。

自动回复

有些人喜欢设置邮件的自动回复，似乎本意是为了让人感觉到自己的勤奋。但假如你把本应该给你爱人的自动邮件回复设置成了全局自动邮件回复，你的老板因此收到了你的“情意绵绵”邮件回复会是怎样一种思想感情？

如果你非要使用邮件自动回复，我的建议一是使用过滤器，根据邮件规则有针对性的自动回复。建议二则是使用更通用的自动回复，并在邮件标题中标识本邮件是“自动回复”。例如这样的自动回复邮件正文是不会给你添麻烦的：您发来的信件已经收到，看完后我会及时回复。十分感谢！

反面案例

1. 发送超大附件
同学甲把自己的本科成绩单的扫描原件（BMP格式，8MB）试图通过邮件的方式发送到我的邮箱。我很理解这位同学的“坦诚”本意，但从邮件系统的可靠传输角度来看，这样做是很不明智的。至少，我的学校邮箱就对这封“大附件”邮件进行了“延迟”接收（发件日期和实际接收到的日期前后相差了10天！！）操作。

2. 让人莫名其明的邮件个性签名
同学乙用了一个美女头像作为自己的邮件个性签名。在邮件中使用个性签名很平常，但请务必确认你所发出的邮件签名要传递的是什么信息，是否和你的此次邮件通信相关。

3. 不完整邮件
这类邮件大约占到了所有保研咨询邮件的1/3。所谓不完整邮件包括没有在来信附上个人简历、没有在来信留下联系方式、没有说自己是谁（这点最汗。。。）。通常，对这类邮件我只能千篇一律的回复说“请补充完整个人信息/个人简历，blabla。。。”。你咨询保研/考研，怎么能不说明一下自己的基本情况呢？完整的个人基本信息是一个成功的“陶瓷”信的前提。

感兴趣的读者还可以移步我之前在北邮人论坛的这篇文章：[原创心得]保研/考研时联系导师的艺术和技术

• [原创Zotero系列教程之六]编写翻译器
• javascript动态生成页面元素心得[部分原创]
• Security In IE7 & IE8
• 推荐Web界面原型设计工具——Mockups
• 猪在笑的出处
• [译]CERT Secure Coding Standard — C语言安全编程规范(3)
• 灌水一篇
• Ubuntu中你可能不知道的一些有用的键盘快捷键
• [原创]vim字典文件自动提取工具
• 毕业了，感谢我的师弟师妹们

写在最后的话

规范很精彩，评论更精彩。很多建议和规则虽然本身写的有瑕疵，但是当你看了建议/规则页的评论之后，你会发现你并不是第一个提问的人。很多时候你的疑问和疑惑别人已经给你解答了。在我看来，CERT的这个C语言安全编程规范的最重要的意义不是告诉你怎样使用C语言编写一个“无漏洞”的系统，重要的是通过阅读这个规范，你会知道怎样使用C语言会编写出一个“有漏洞”的系统。和很多安全编程规范一样，《CERT Secure Coding Standard》不是要告诉你”What to do”，而是让你知道”What is bad”。

《CERT Secure Coding Standard》中有很多建议/规则都是面向“可移植”代码需求写的，对于确定性的运行在某一个专有平台上，没有代码可移植性需求的C程序员来说，要特别留意不同平台上的一些比较tricky的情况。虽然代码并不总是跨平台的，但程序员却有很大可能性跨平台的。一旦养成了某个平台上的一些“思维惯性”和“经验假设”，写出来的代码跑到另一个平台上时就会出现“可移植性”代码相关的安全漏洞了。

《CERT Secure Coding Standard》通篇都在引经据典，围绕C99、C1X、IEEE等等标准来提建议，定规则。一方面，可以看出建议和规则的制订者们非常重视科学的态度和权威的影响；另一方面，我在翻译的时候得到的一点小小的体会。看过RFC文档的人都知道，RFC标准里关于标准的需求强烈程度专门有一个RFC——RFC 2119来定义”MUST”, “MUST NOT”, “REQUIRED”, “SHALL”, “SHALL NOT”, “SHOULD”, “SHOULD NOT”, “RECOMMENDED”, “MAY”, 和”OPTIONAL”。通过使用不同的“情态动词”来让标准的阅读者更好的理解哪些是“强制要求”，哪些是“一般性要求”。虽然《CERT Secure Coding Standard》中很多规则/建议都只是使用Do not …来开头，实际上每一条规则/建议都有一个“打分”——Risk Assessment，我在翻译的时候没有把这些“打分”包含进来，主要还是blog排版的问题，谁让我从一开始用的是表格这种形式呢。如果每条规则/建议后面都附上“打分”，可能可读性会更强一些吧。这对我们在制订自己的编程规范时也是一个很好的学习范例，不仅可以通过“情态动词”这种方式，采用量化得分的形式也可以有效的提高标准的“可读性”。

原计划是在春节期间分5天连载完所有的译稿，计划赶不上变化，明天不能上网，索性今天就全部发布完结。我不是英语专业出身，也不通“信、达、雅”，我只是从一个C语言使用者的角度，尽可能用自己的话把建议和规则都说清楚。水平有限，欢迎拍砖。

49. 杂项

50. POSIX

• [译]CERT Secure Coding Standard — C语言安全编程规范(4)
• [译]CERT Secure Coding Standard — C语言安全编程规范(3)
• [译]CERT Secure Coding Standard — C语言安全编程规范(2)
• [译]CERT Secure Coding Standard — C语言安全编程规范(1)
• 2010 CWE TOP 25
• [推荐]基于Windbg的一个漏洞可利用性分析插件
• [原创]IP->DNS域名反查小工具
• 分享1个Linux命令lsof
• 苹果小白的上手笔记(2)
• 自己动手搭建缺陷Web App

11. 信号

12. 错误处理

规则/建议条目全称	例外	笔记 /备注/点评
ERR00-C. 采用和实现一个一致和全面的错误处理策略
ERR01-C. 使用ferror()而不是errno来检查文件流错误		errno仅仅在某些库函数调用出错返回错误代码并会设置errno位时才有意义，并非所有的文件流操作操作都会设置errno。ferror()则是针对特定文件流是否操作出错的检查。
ERR02-C. 避免“带内”(in-band)错误指示符	ERR02-EX1: 空指针是另一个in-band错误指示符的例子，但空指针不会引起任何副作用。 ERR02-EX2: 如果你能保证函数在执行过程中出错时绝不会继续执行(可以通过调用abort()或者longjmp()中断函数执行过程)，你的函数就可以返回in-band错误指示符。	所谓in-band，学过通信的都知道所谓“带内”信号和“带外”信号，in-band的含义就是所传递的信息会占用“正常”的传输通道资源。在C语言的标准库函数实现里大量的使用了in-band错误指示符，即函数的返回值在正常执行成功时会返回一些操作成功相关的变量值，函数执行出错时又利用返回值设置错误变量值。相当于函数的返回值在这里既是正常“返回结果”的传递通道，又是错误“返回结果”的传递通道。由于两种返回结果可能是不同的数据类型，因此函数在定义时可能会使用“兼容”数据类型，从而增加了函数调用者调用函数时的逻辑处理复杂度，可能会导致一些“二义性”或者“理解偏差”错误。
ERR03-C. 调用TR24731-1标准定义的系列函数时使用运行时约束条件处理函数		strcpy_s()就是TR24731-1定义的一个函数，所谓“运行时约束条件处理函数”就是指的调用set_constraint_handler_s()注册一个运行时约束条件违反处理函数。该条建议主要针对微软平台，*nix平台忽略该条建议应该问题不大。
ERR04-C. 选择一个合适的程序退出策略		C99标准提供了4种程序退出策略：exit()、从main()函数返回、_Exit()和abort()。这四个函数的退出时动作差别如下表总结所示： 函数名 关闭所有打开的流 flush所有的流缓冲 删除所有临时文件 调用atexit()注册的处理函数 程序退出状态 abort() 异常退出 _Exit() 正常退出 exit() 正常退出 从main()返回 正常退出
ERR05-C. 应用程序独立的代码应提供错误检测而不需强制错误处理		应用程序独立的代码包括： 编译器或操作系统提供 来自第三方库 自己开发的 应用程序专属代码在检测到错误时可以立刻进行错误处理，而应用程序独立的代码则无法在特定应用程序出错时提供相应的错误处理方法。但必须要能检测错误并向应用程序中的调用者报告错误。错误检测和报告方法包括： 返回值（特别是errno_t类型返回值） 一个地址参数 一个全局对象（例如errno） longjmp() 以上方法的组合
ERR06-C. 理解assert()和abort()的退出行为		assert()宏会在执行时被展开为一个void表达式，并且在表达式的值为false时，在标准错误输出上给出相关错误信息，然后调用abort()终止程序运行。由于调用了abort()，atexit()注册的退出清理函数不会被调用执行，因此建议在可能的条件下调用static_assert宏而不是运行时assert宏。
ERR07-C. 优先使用支持错误检测机制的函数		例如优先使用strtol()而不是atoi()。
ERR30-C. 调用可能会出错并设置errno的库函数前先将errno置0,并在该函数返回值表示出错时再检查errno
ERR31-C. 禁止重新定义errno		该条规则已经被DCL37-C. 不要使用预留实现的标识符和MSC38-C. 禁止访问会引起未定义行为的库对象或函数 代替
ERR32-C. 禁止依赖不确定的errno值
ERR33-C. 检测并处理错误

13. 应用程序编程接口

提示：本节的官方文档还处于“建设期”，故暂不提供翻译。

14. 并发

struct multi_threaded_flags {
  volatile unsigned int flag1 : 2;
  volatile unsigned int flag2 : 2;
};
 
union mtf_protect {
  struct multi_threaded_flags s;
  long padding;
};

    rand()
    getenv()
    strtok()
    strerror()
    asctime()
    ctime()

• [译]CERT Secure Coding Standard — C语言安全编程规范(5)
• [译]CERT Secure Coding Standard — C语言安全编程规范(3)
• [译]CERT Secure Coding Standard — C语言安全编程规范(2)
• [译]CERT Secure Coding Standard — C语言安全编程规范(1)
• 2010 CWE TOP 25
• [推荐]基于Windbg的一个漏洞可利用性分析插件
• [原创]IP->DNS域名反查小工具
• 分享1个Linux命令lsof
• 苹果小白的上手笔记(2)
• 自己动手搭建缺陷Web App