的融合策略，导致了很多算子无法融合，从而影响了最终量化引擎 的性能。在这一节中，我们以 YOLOv6s_repopt 为例，展示一种定位具体瓶颈的图 优化方法。在量化实践中，图优化是一个很实用的手段，我们可以依法炮制，提升模 型的 QPS。 算法 < 27 表 5 PTQ 和 QAT 模型的 QPS 对比 3.1.1 性能分析 首先，我们利用 nsys 工具 [5] 对 QAT INT8 子图采样是 GNN 模型训练的性能瓶颈之一。我们发现在某些业务图中，子图采样的 耗时甚至占训练整体的 80% 以上。我们分别针对静态图和动态图，设计实现了多种 高效的邻居节点采样算法。主要的优化手段包括： ● 随机数发生器：相比于通信加密等应用，图上的采样对于随机数发生器的“随 机性”并没有苛刻的要求。我们适当放松了对随机性的要求，设计实现了更快 速的随机数发生器，可以直接应用在有放回和无放回的采样操作中。 在日常业务优化中我们也发现，如果说要找到一种形式化的建模语言能够准确、完整 的翻译出我们的业务场景，那么呈现出来的建模语言就是“图”。 图 2 信息表示的发展历程 因此，我们期待通过图技术手段，实现外卖场景下的场景建模。以下我们将从图算法 探索和具体工程实践落地两大方面，阐述我们在图技术场景建模上的尝试及经验。 2. 图技术的场景化探索 外卖场景化是指基于用户 - 商家 / 商品完整交互信息（<

基础层是结构优化，它直接决定了配送系统效率的上限。这种基础结构的优 化，周期比较长，频率比较低，包括配送网络规划、运力结构规划等等。 2. 中间层是市场调节，相对来说是中短期的，主要通过定价或者营销手段，使 供需达到一个相对理想的平衡状态。 3. 再上层是实时匹配，通过调度做实时的资源最优匹配。 实时匹配的频率是最 高的，决策的周期也最短。 智能配送系统架构 62 > 美团 2020 技术年货 如何预估、未来时段会进哪些结构的订单、对业务指标和效率指标产生怎样 的影响……可能会觉得这是一个典型的强化学习场景，但它的难点在于决策 空间太大，甚至可以认为是无限大的。目前我们的思路，是通过其它的建模 转换手段进行解决。 3. 配送业务的随机因素多。比如商家的出餐时间，也许是很长时间内都无法解 决的随机性。就连历史每一个已完成订单，商家出餐时间的真值都很难获得， 因为人为点击的数据并不能保证准确和完整。商家出餐时刻不确定，这个随 名字——Turing， 中文名称为图灵平台，虽然有点“胆大包天”，但是也算是对我们团队的一种鞭策。 1）首先在获取数据阶段，支持在线和离线两个层面的处理，分别通过采样、过滤、 归一化、标准化等手段生产实时和离线特征，并推送到在线的特征库，供线上服务 使用。 2）模型训练阶段，支持分类、回归、聚类、深度学习等多种模型，并支持自定义 Loss 损失函数。 82 > 美团 2020 技术年货

们的程序变得非常的灵活。 Panic和Recover Panic和Recover Go没有像Java那样的异常机制，它不能抛出异常，而是使用了panic和recover机制。一定要记住，你应当把它作为 最后的手段来使用，也就是说，你的代码中应当没有，或者很少有panic的东西。这是个强大的工具，请明智地使用 它。那么，我们应该如何使用它呢？ Panic 是一个内建函数，可以中断原有的控制流程，进入一 防止多次递交表单 下一节: 小结 113 4.6 小结 4.6 小结 这一章里面我们学习了Go如何处理表单信息，我们通过用户登陆、上传文件的例子展示了Go处理form表单信息及上传 文件的手段。但是在处理表单过程中我们需要验证用户输入的信息，考虑到网站安全的重要性，数据过滤就显得相当 重要了，因此后面的章节中专门写了一个小节来讲解了不同方面的数据过滤，顺带讲一下Go对字符串的正则处理。 session启动后，我们设置了一个值，用于记录生成sessionID的时间。通过判断每次请求是否过期(这里设置了60秒) 定期生成新的ID，这样使得攻击者获取有效sessionID的机会大大降低。 上面两个手段的组合可以在实践中消除session劫持的风险，一方面， 由于sessionID频繁改变，使攻击者难有机会 获取有效的sessionID；另一方面，因为sessionID只能在cookie中传递，然

正则表达式不适合用于构建WAF 感性认识—误报和漏报难以平衡 尝试寻找有理证明 WAF自身安全 正则表达式 计算复杂度 正则表达式DDOS攻击 非Regex DOS WAF防御能力 正则表达式DDOS攻击 提出一种正则表达式的DDOS攻击： 正则表达式的最坏时间复杂度大于等 于?(?2 )，该正则表达式可被DDOS 攻击 输入长度 (K) PCRE/PHP(ms) 问题： • 模型滞后性：领域知识注入导致。 • 修复响应：出现漏报，在线上如何修复。 基于统计的机器学习WAF—个人总结 线上化困难 • 准确率 • 应用变更 WAF运营手段 • WAF安全水位 • WAF瓶颈 • payload的变化 Part 3 如何构建未来的WAF 基于深度学习构建WAF 思路：用深度学习的模型代替语义检测中的词法分析、语法分析。

使用较新版本的Python3。Python2中可改用raw_input。 小心类型溢出 应对： 使用较新版本的Python3，而不使用发行版OS自带的旧版Python。 捕获并处理溢出错误，可以减少风险。在重要的位置做好防御式 编程，检查好入参的类型与合法的上下限。 >>> range(100**100) Traceback (most recent call last): File "", line 1 SELECT * FROM accounts WHERE uid = '' or '1'='1' 应对： 对外部输入进行完善的检查、过滤、转义操作后，再进行执行。 参考资料：“驹说码事”《注入的原理与防御措施》 https://mp.weixin.qq.com/s/Zd81qlcWJi4H1AD9WzPX7w 小心 PyPI 依赖包 不要以为 Star 多的包就不存在漏洞； 更不要以为 PyPI bin/cvekey.cgi?keyword=python； 12. 定期关注 OWASP https://www.owasp.org/ 的安全报告，并依此排查所负 责代码中是否存在相关缺陷； 13. 多重防御，安全的编码 + 安全的系统配置 + 充分的测试 + 安全的操作规 范。 THANK YOU 事故出于麻痹 安全来于警惕 代码千万行，安全第一行； 编码不安全，老板两行泪！

很难 快速支持新业务的路由需求。 无论是Nginx if指令，还是AB框架，要么需要reload重新加载才能生效，要么无法支持某些业务场景下的 分流需求，所以都很难作为解决公司级分流框架的有效手段。针对它们所存在的不足，Oceanus开发了一 套应用级、高可扩展的动态分流框架，不仅动态支持各种业务场景的分流需求，而且保证了请求转发的性 能，下文将阐述我们如何解决分流机制的几个核心问题。 随着整个中国互联网下半场的到来，用户红利所剩无几，原来粗放式的发展模式已经行不通，企业的发展 越来越趋向于精耕细作。美团的价值观提倡以客户为中心，面对海量的用户行为数据，如何利用好这些数 据，并通过技术手段发挥出数据的价值，提高用户的使用体验，是我们技术团队未来工作的重点。 大众点评在精细化运营层面进行了很多深度的思考，我们根据用户在App内的操作行为的频次和周期等数 据，给用户划分了不同的生命周 丰富 的渲染模板供前端工程师选择。 后端优化 后端优化 后端优化的思路相对比较比较通用，和境外业务的特点关系性并不大，文中的前言部分“影响性能的因 素”章节有简单描述，本文将不对各种后端优化手段做详细介绍, 只挑几件我们做过的事情做下简单介 绍： 境外业务性能优化实践 - 美团技术团队 1. 硬件升级 硬件问题对性能的影响不容忽视，早期的时候，我们的一个DB集群经常有慢SQL报警，业务排查下来发

直接 泪崩… 8. 办公区断网，所有线上依赖环境都无法访问了，得，今天啥也 干不了了，回家洗洗睡吧…. … ….. ……… 1 2 3 解决之道：通过技术手段，降低系统对外部的依赖，而“MOCK”，是最 有效的手段。 分布式服务框架mock能力构建 应用 服务容器（Consumer） Filter Chain 将mock能力内置到分布式服务框架中 开发mock能力过滤 1.22 com.company.modelB.* 192.168.1.33 com.company.modelC.* 192.168.1.44 应用服务契约测试 契约测试 通过mock手段可以解决外部不可控因素对本地调测的影响，如果真实的外 部服务改变了，我们的mock数据也要随之改变，但 问题是： 我们如何及时感知到服务接口/逻辑发生变化了？ 解决方法：契约测试 通过将契约 调测方法论 个人开发环境 Mock+直连调测+线上服务 集成测试环境 Mock+线上服务 图例 项目初始 项目进行中 项目终结 mock 直连调测 线上服务 项目各个阶段灵活组合使用各调测手段 总结 介绍了分布式环境下开发调测所遇到的各种效率问题 分布式环境下工程效率提升的应对之道 远程应用服务采用服务mock+直连调测 通过契约测试保障mock数据及协议的可靠性 分布式消息服务的mock实践

保 护。 5.2. 联盟链概念分析 61 FISCO BCOS Documentation, 发布 v2.9.0 物理隔离 这个概念主要用于隐私保护领域，“物理隔离”是避免隐私数据泄露的彻底手段，物理隔离指只有共享数 据的参与者在网络通信层互通，不参与共享数据的参与者在网络互相都不能通信，不交换哪怕一个字节 的数据。 相对而言的是逻辑隔离，参与者可以接收到和自己无关的数据，但数据本身带上权限控制或加密保护， 平台上提供支持监管的功能，避免区块链系 统游离于法律法规以及行业规则之外，成为洗钱、非法融资或犯罪交易的载体。 审计功能主要用于满足区块链系统的审计内控、责任鉴定和事件追溯等要求，需要以有效的技术手段， 配合业务所属的行业标准进行精确的审计管理。 监管者可以做为节点接入到区块链系统里，或者通过接口和区块链系统进行交互，监管者可同步到所有 的数据进行审计分析，跟踪全局的业务流程，如发现异常，可以向区块链发出具备监管权限的指令，对 本 巨大，严重削弱了区块链的使用体验。 现有区块链的实际场景中对私钥管理的有效工具依旧缺位。私钥管理普遍存在难度大、学习成本高、用 户体验差等问题。 私钥管理组件提供了一系列丰富而独立的私钥管理手段，用户可根据自己的需求选择合适的方案。 私钥生成：用户可以使用助记词方式生成。一方面，助记词由单词构成，相对容易记忆，减少了记忆和 表达的难度。另一方面，如果为不同的场景使用独立的私钥，会增加记忆的成本和丢失的风险，此时可

FISCO BCOS Documentation, 发 发 发布 布 布 v2.7.2 物 物 物理 理 理隔 隔 隔离 离 离 这个概念主要用于隐私保护领域，“物理隔离”是避免隐私数据泄露的彻底手段，物理隔离指只有共享数 据的参与者在网络通信层互通，不参与共享数据的参与者在网络互相都不能通信，不交换哪怕一个字节 的数据。 相对而言的是逻辑隔离，参与者可以接收到和自己无关的数据，但数据本身带上权限控制或加密保护， 平台上提供支持监管的功能，避免区块链系 统游离于法律法规以及行业规则之外，成为洗钱、非法融资或犯罪交易的载体。 审计功能主要用于满足区块链系统的审计内控、责任鉴定和事件追溯等要求，需要以有效的技术手段， 配合业务所属的行业标准进行精确的审计管理。 监管者可以做为节点接入到区块链系统里，或者通过接口和区块链系统进行交互，监管者可同步到所有 的数据进行审计分析，跟踪全局的业务流程，如发现异常，可以向区块链发出具备监管权限的指令，对 于保管，管理成本巨大，严重削弱了区块链的使用体验。 现 现 现有区块链的实际场景中对私钥管理的有效工具依旧缺位。私钥管理普遍存在难度大、学习成本高、用 户体验差等问题。 私钥管理组件提供了一系列丰富而独立的私钥管理手段，用户可根据自己的需求选择合适的方案。 私 私 私钥 钥 钥生 生 生成 成 成：用户可以使用助记词方式生成。一方面，助记词由单词构成，相对容易记忆，减少了记忆和 表达的难度。另一方面，如果为不同