每天早上7:30,为你摘取技术圈值得关注的3件事。今天是2026年4月9日,星期四。
01 技术预警|Linux内核bug致PostgreSQL性能暴跌50%,AWS工程师紧急上报
事件概述:AWS工程师Salvatore Dipietro近日向Linux内核邮件列表报告,Linux 7.0开发版内核导致PostgreSQL数据库吞吐量相比之前版本下降约49%(约一半),问题已追溯到内核抢占模式变更。
问题根源:回归测试定位到Linux 7.0的一项调度器变更——限制内核抢占模式为仅支持“完全抢占”和“惰性抢占”,移除了PREEMPT_NONE选项。这一变更导致PostgreSQL在Graviton4服务器上的用户态自旋锁等待时间大幅增加,吞吐量减半。
内核维护者回应:内核维护者Peter Zijlstra建议,解决问题的方案应是让PostgreSQL使用重启序列时间片扩展(RSEQ slice extension),该扩展已在Linux 7.0中上游支持。这意味着Linux 7.0稳定版不会回滚该变更,PostgreSQL可能需要修改代码来适应新内核。
DBA视角:Linux 7.0稳定版预计两周后发布,也是Ubuntu 26.04 LTS的内核版本。对于计划升级到新操作系统的PostgreSQL用户,需关注后续补丁和PG社区的适配进展。建议在生产环境升级前进行充分性能测试。
02 安全预警|npm惊现36个恶意包,针对Redis和PostgreSQL发起供应链攻击
事件概述:安全研究人员发现36个恶意npm包,伪装成Strapi CMS插件,利用Redis和PostgreSQL漏洞窃取凭证、安装后门、实现远程代码执行。这些包在13小时内被上传至npm registry。
攻击手法:恶意代码嵌入在postinstall脚本钩子中,执行npm install时会自动触发,无需用户交互。攻击链包含8个阶段:
Redis攻击:向本地Redis插入crontab条目,每分钟下载执行远程shell脚本,写入PHP webshell和Node.js反向shell
PostgreSQL攻击:通过硬编码凭证连接目标PostgreSQL数据库,查询Strapi特定表中的密钥信息
持久化:安装持久化后门,维持对prod-strapi主机的远程访问
凭据窃取:扫描环境变量、Strapi配置、Docker/Kubernetes密钥、加密钱包文件等
恶意包列表(部分):strapi-plugin-cron、strapi-plugin-database、strapi-plugin-server、strapi-plugin-monitor等。注意官方Strapi插件均在@strapi/作用域下。
DBA视角:供应链攻击正成为数据库安全的新威胁。DBA应关注开发依赖中的npm包安全,建议:
使用npm audit定期扫描依赖
建立CI/CD依赖审查流程
检查package.json中的非官方作用域包
03 国产数据库|金仓助力能源、政务、金融三线突破
近期国产数据库在多个核心领域取得关键突破:
能源领域:龙源电力174个风电场实时监控系统72小时内完成从Oracle到金仓的迁移,峰值并发1200+,主备切换时间稳定在2.3秒以内,系统已稳定运行。
政务领域:某省级政务云完成12个核心民生系统重构,实现“一网通办”高峰期QPS从2万提升至5.4万,存储压缩比1:4.5,MTTR从4小时缩短至8分钟,年度节省授权费约3500万元。
金融领域:某头部股份制银行核心交易系统完成Oracle迁移,QPS提升73%(1.2万→2.08万),RT降至35ms,存储成本降低58%,RTO从小时级压缩至45秒。
DBA视角:国产数据库已具备支撑核心系统能力,但迁移成功的关键在于工具链成熟度和原厂支持能力。建议在迁移前充分评估兼容性(尤其是存储过程、触发器、序列等复杂对象),并采用“双轨并行+灰度切换”策略保障业务连续性。
📌 本期结语:Linux内核变更对PG性能的影响值得持续关注,npm供应链攻击提醒DBA关注开发生态安全。国产数据库在能源、政务、金融领域的突破,为信创替代提供了可参考的实践路径。祝各位DBA今日工作顺利!
10个月宝宝每天需要喝多少奶粉?
