体育广角镜丨业余也能打奥运中国击剑期待破局

中新网客户端北京12月9日电(记者 岳川) 素雅干练的服装、灵动迅捷的脚步、英姿飒爽的攻防,还有长剑在手的气魄。

击剑,被称为“格斗中的芭蕾” 资料图 中新社记者 侯宇 摄

中国击剑协会事业发展部部长王雷介绍,在奥运会的所有设项中,持器械进行身体格斗的,击剑是独一份。这种虚拟场景的还原在现实生活中绝无仅有,孩子很难有机会接触到类似对抗。

提升安全的更广泛计划

由于相同的原因,和薛飞一起开始学击剑的孩子中,现在只剩下他一个。这四年来,他周围的小伙伴换了一批又一批。坚持下来的孩子,他们的家长也都和薛周一样,付出了许多。

在 LGTM.com 上搜索要研究的开源项目,然后导入项目页面;

“首先是装备。击剑运动比较费鞋,几个月就得换,便宜的几百、贵的上千,剑也差不多这个价格。还有保护服和头盔,虽然也有几百块的,但好一点都得四位数,甚至大几千。孩子又正是长身体的时候,有时装备虽然没坏,但大小不合适了,也得换。”

据《华尔街日报》报道,美国心脏协会称,目前,心脏病仍然是美国的头号死亡原因,癌症紧随其后。(完)

除了新推出的安全实验室外,GitHub 还推出了“GitHub 安全公告数据库”,用于收集平台上能找到的所有安全公告,可以为大家追踪在 GitHub 托管项目中找到的安全漏洞问题提供更大的便利空间。

不少人认为,击剑是一项持械格斗运动,看上去非常危险。但薛周之所以在诸般项目中愿意让孩子选择击剑,恰恰是因为它相对安全。在他看来,相比足球、篮球等运动,击剑的身体冲撞很少,训练、比赛又都要佩戴护具,因此损伤的可能性要小很多。

粗略一算,一年下来花费接近十万。而且钱只是一方面,父母搭上的精力和时间更无从计算。

凡此种种,都为了一个目标。中国击剑运动,等待着破局的时刻。(部分受访者为化名)(完)

卡里米指出,过去五年来,伊朗外交部一直在致力于签证签发的多样性。例如,健康签证价格减半,投资签证免费,对于拥有外国配偶的伊朗妇女,入境签证价格减免三分之二等。

如果需要在本地编写和运行查询,可以通过安装 Visual Studio Code 的 CodeQL 扩展而实现。

击剑,被称为“格斗中的芭蕾”。在奥运会所有设项中,持器械进行身体格斗的独此一份。虽被看作是小众运动的代名词,但击剑正愈发受到青睐。

像薛飞这样的孩子,国内还有不少。中国击剑协会提供的数据显示,中国大众击剑近两年保持着快速发展的势头。截止2018年12月,中国击剑协会在册的团体会员数量达到639家,其中专业组织团体会员共576家,相对之前一年同比增长近60%。与此同时,个人会员(包括运动员、教练、裁判等)注册量也增长了28%,人数达34416人,而全国击剑爱好者约为30万人。

报告的第一作者、亚特兰大美国癌症协会研究员丽贝卡·西格尔认为,很大程度上,美国人癌症总体死亡率下降是因为肺癌死亡人数下降了。

如果你想挑战漏洞搜索技能并快速学习 Semmle CodeQL,可以尝试完成给出的任务,即通过使用 CodeQL 来找到 jQuery 插件的变体——这些变体会使客户机暴露于未记录的 XSS(跨站点脚本)漏洞。

CodeQL“捕获标志”挑战

今年十岁的薛飞就是业余爱好者之一。据其父薛周介绍,孩子练习击剑的契机很偶然,剑馆去学校招生,彼时刚上一年级的他在试课后很是喜欢,就练了起来。现在薛飞已经是五年级的学生,他一周要上四到五节击剑课,一次两小时。

最后,GitHub 还更新了 Token Scanning 自有服务。它能够扫描用户项目中不慎在源代码中遗留的 API 密钥和令牌。该服务此前能够为 20 种服务检测 API 令牌,而新版本能够检测的格式又增加四个厂商:GoCardless、HashiCorp、Postman 和腾讯云。

为解除家长们的担忧,中国击剑协会做了很多努力,也采取了不少措施,希望能够把“好苗子”留住。在王雷看来,击剑运动的普及,需要自上而下的推动。

王雷认为,击剑这种有别于其他项目的显著特点,有助于培养孩子勇毅果敢的性格。而在陈涛看来,击剑不只重视礼节,它是一项需要注意力时刻保持集中的运动,因为对手的剑尖正随时威胁着你。

对于孩子练习击剑的开销,薛周算了一笔账。

小学课业尚不繁重,孩子下课时间相对有保证;但初中学业压力陡增,难免需要取舍。五年级的薛飞,眼瞅着也将面临这道坎。

另外,最近 GitHub 还成为授权的 CVE 编号发布机构,即它能够为漏洞发布 CVE 编号。这一功能已经增加至“安全建议”服务功能中。漏洞修复后,项目所有人就可以发布安全公告,而 GitHub 将向所有使用原来维护人员的代码的易受攻击版本的上游项目所有人;但在发布安全公告前,项目所有人同时可以直接向 GitHub 请求并收到 CVE 编号。

LGTM 平台界面,直接编写需要查询的代码

近日,伊朗伊斯法罕省文化遗产、手工艺品和旅游局局长安拉雅丽接受伊通社采访时表示,“今年来访的外国游客人数相对增加,伊斯法罕市采取了新的手段和方法来吸引外国游客以扩大新的市场”。

因此,在整个查找过程中,你需要使用分步指南编写查询,从而查找引导中未安全实现的 jQuery 插件。完成后将答案发送至 ctf@github.com 则可获得获奖机会。GitHub 将选出 2019 年 12 月 31 日前收到的两个最佳 CodeQL 查询获得大奖;还将选择 10 个额外的 CodeQL 查询来赢得其它奖品。

“比赛时没有旁人指导,需要自己控制情绪,通过观察作出判断,这也是对自主意识的培养。而追求胜利与成功的渴望,对孩子今后的成长也有帮助。”陈涛如是说。

安装 CodeQL 扩展后,具体操作步骤为:

通过右键单击查询并选择“运行查询”来运行查询;

“我们也一直在与相关部门磋商,希望让击剑项目进入全国大学生运动会。如果能够设项,就会吸引更多有影响力的高校开展,进而影响各地的中学与小学,这个链条就能逐渐衔接到一起。反之如果大学不开展,即便中学练得再好,也很难推进。”

她说,20世纪90年代起美国吸烟人数有所减少、近年来癌症筛查不断普及、靶向治疗和免疫疗法等医学技术的进步,使美国人肺癌死亡率下降。

“出去打比赛至少需要一个家长跟着,全得自费。来回路费、住宿等花销加起来,出门一趟就得四五千块打底。像我们一年出去五六趟,这费用就不少了。为了准备比赛,除了大班课外还会上私教课,这又是一笔开销。”

这是指攻击者使用 web 应用程序向其他最终用户发送恶意代码(通常是以浏览器端脚本的形式);而这些恶意脚本可以访问浏览器保留并与该站点一起使用的任何 cookie、会话标记或其他敏感信息。

家长们的担忧不难理解。虽然整体数据向好,但击剑运动在国内的发展过程中仍面临不少问题,青少年选手年龄断层就是其中之一——小升初、初升高的年龄段断档严重,12岁时参与人数骤减,到16岁时基本呈断崖式下降。

将所下载的和项目本身的 CodeQL 数据库添加到 VS 代码中,实现对这些指令的使用;

“我们希望通过打通向上的参赛路径,抬高业余选手的天花板,让那些有天赋的希望之星,能够有机会参加更多高水平的赛事,甚至奥运会都是有可能的。”王雷如是说。

记者从某击剑教学机构了解到,其课程在设置上以配合学校时间为主,更多集中于平日晚间或周末。培训费用虽因班类不同而有所区别,但价格基本在每年一万多元。

CodeQL 可以帮助我们跨代码库发现漏洞;允许我们像查询数据一样查询代码、编写查询以查找漏洞的所有变体,并将其永久消除;共享该查询结果以帮助其他人消除漏洞。

当了解发现有漏洞的模式后,我们就能在整个代码库中查找出类似的情况。在下面的示例中,我们使用了内置的 CodeQL 库对不安全的反序列化模式进行编码,以进行数据流和污点跟踪。

孩子喜欢、又有成绩,薛周就带他一直练着。可以后究竟如何,薛周现在心里也没谱。一方面毕竟投入了这么多,他对孩子自然有所期待;可另一方面又怕走专业荒废了学业,把未来的路走窄了。

迁出要分析的代码库的版本。该目录应已准备好建立,并已安装所有依赖项。

当然,除了代表荣誉的 CVE 之外,Github 也发起了奖金机制,使用 CodeQL 进行挖掘新漏洞的安全研究员可以最高获得 2500 美元的赏金;如果编写的 CodeQL 查询代码质量够高,甚至还能被授予 3000 美元的奖励。

几乎所有家庭都面临一个相同的问题:在孩子升学时,是否还要坚持练习击剑。不少家长态度相近——如果向上的通道能够打通,对孩子未来会有所帮助,继续练习击剑并无不可;如若不然,可能还是要以学业为重。

根据 OSI 批准的开源许可证相关规定,我们可以为符合条件的任何项目创建 CodeQL 数据库。

不仅如此,若干年前,业余选手如果想参加类似全国锦标赛、全国冠军赛等赛事,基本上是没有途径的。但现在,许多专业比赛都已经向业余选手敞开了大门。通过全国俱乐部联赛累积积分,如果业余选手达到相应赛事的准入资格,就可以报名参赛,甚至国内级别最高的全国锦标赛也包含在其中。

但需要注意的是,GitHub CodeQL 只能用于在 OSI 批准的开源许可下发布的代码库,或者用于执行学术研究。它不能用于自动化分析、持续集成或持续交付,无论是作为正常软件工程过程的一部分还是其他。

而 Bootstrap 则是一个广泛使用 jQuery 插件机制的流行库;但是 Bootstrap 中的 jQuery 插件过去是以一种不安全的方式实现,这可能会使 Bootstrap 的用户容易受到跨站点脚本(XSS)攻击。

QL 还支持递归和聚合,这允许我们可以使用简单的语法编写复杂的递归查询并直接使用函数库,比如:count,sum 和 average。

其中,QL 是查询语言,也是 CodeQL 的基础,专用于分析代码。这是一种逻辑编程语言,因此它由逻辑公式组成。QL 使用公共逻辑连接词(如 and,or,和 not)、量词(如 forall 和 exists)、以及其他重要的逻辑概念。查询语句示例如下(实现将 null 添加到集合):

这份报告预测,到2020年,美国将出现180万新癌症病例和60万癌症死亡病例。

几年练下来,如今薛飞已是全国同年龄段孩子中的佼佼者。国内的业余击剑赛事,规模最大、水平最高的当属全国俱乐部联赛。在今年少年组的比赛中,薛飞取得了很拔尖的成绩。当然,这与他家庭的投入也有密切的联系。

因此,使用 CodeQL 编写的查询可以发现漏洞及重要安全漏洞的变体。而除了 GitHub 平台外,CodeQL 也已经应用于其它平台的漏洞代码扫描活动中,如 Mozilla。

这个“上”,指的是大学。从首届世界大学生运动会开始,击剑就是竞赛项目之一。但在国内,情况却有差异。

除此之外,协会也在为破局探索着其他途径,其中一个突破点就是运动员技术等级标准。在新修订的办法中,中国击剑协会把全国俱乐部联赛以及部分校园比赛都纳入到了这个评级体系里。而在过去,至少要全国少年锦标赛一级的赛事才能参与运动员技术等级评定。

即便如此,报告显示,2017年间,肺癌死亡人数仍高于乳腺癌、前列腺癌、结直肠癌和脑癌的总和。

这其中,击剑运动在江苏、上海、北京、广东、山东、浙江等地开展得更好。去年末的数据中,上述地区的击剑俱乐部数量环比继续增长,但全国占比不升反降,这反映出其他省份的击剑普及水平得到了一定程度的提高。

他补充说,伊朗目前已经在发放电子签证,签证办理时间也在缩短。

不止于国内赛事,像世青赛、世少赛这样的国际比赛也是如此。达到相应标准的业余选手都可以参加选拔,有机会入选最终名单。国内业余选手代表国家打国际比赛,这在击剑圈已不算罕见。

他补充说:“在签证简化方面,我们将与其他国家(开展)谈判”,并表示会努力实现免签。

在生成 CodeQL 数据库之前,您需要:

具体而言,jQuery 是一个非常流行的、但很旧的开源 JavaScript 库,旨在简化 HTML 文档遍历和操作、事件处理、动画和 Ajax 等工作。截至 2019 年 5 月,jQuery 在 1000 万最受欢迎网站中的使用率为 73%。jQuery 库支持模块化插件,世界各地的开发人员已经实现了数千个插件,无缝地扩展了 jQuery 的功能。

2. 查询代码并查找漏洞

CodeQL 是 GitHub 刚推出的一款新开源工具。这是一款语义代码分析引擎,旨在查找大量代码中同一漏洞的不同版本。

对于近两年来有不少孩子开始尝试击剑,从事教学工作的陈涛有切实的感受。在他看来,击剑训练其实并不像大家所想的那样枯燥,例如锻炼孩子的判断、反应、专项(腿部力量)等能力,很多时候是通过打鸭子、毛毛虫、拔河等小游戏实现的。不过他也坦言,由于击剑运动基本功比较难练,孩子如果不喜欢的话很难坚持。