Java 9在9月21日正式发布，同时Oracle宣布将Java新版本的发布周期调整为每半年一次。目前，Java新版本的开发也已正式进入轨道。就已公开的消息来看，下一个版本的Java预计会在2018年3月发布，版本号将会是18.3，已经规划加入的特性包括JEP 286和296。

根据reddit站点上的讨论，首先更新的是JEP 296，Valhalla预计很快也会加入进来。OpenJDK的主页面则显示，已确定要在18.3版本实现的是JEP 286和296。

JEP 296主要是将JDK仓库群（JDK Repository Forest）合并为一个仓库，旨在降低管理大量仓库群的成本。根据InfoQ之前的报道，该仓库群的合并已经完成。这些软件仓库是在OpenJDK发展史上历次分裂生成的，在OpenJDK 9及以前的版本中将会继续存在。在这次合并操作之前，OpenJDK曾分裂为多个不同的Mercurial软件仓库群，这导致了许多问题，例如不能以原子方式对多个软件仓库应用漏洞修复（Bug Fixes）。在OpenJDK合并完成后，只会有一个软件仓库，并复制在三个开发线上。为了简化仓库的管理，JDK中还创建了用于在合并和未合并版本间移动更改的工具。

JEP 286提议在Java中引入局部变量的类型推断，该JEP在2016年提出，InfoQ曾经报道过该JEP的概况和相关的开发者调查结果。该JEP旨在减少编写Java代码相关的仪式性的内容，提升开发人员的体验，同时还要保证Java语言的静态性。它会减少开发人员在声明局部变量时，没有必要的变量类型声明。如果该JEP实现的话，在声明局部变量的时候，就可以采用类似如下的方式:

var list = new ArrayList();  // infers ArrayList
var stream = list.stream();          // infers Stream

这种语句只能用于带有初始化器（initializer）的局部变量、增强的for-loop中的索引以及传统for-loop中声明的局部变量。它不能用于方法声明、构造函数声明、方法返回值、字段、catch语句以及其他类型的变量声明中。

关于局部变量的类型推断，不管是JVM体系中的语言还是其他语言都提供了一定形式的支持，比如C++（auto）、C#（var）、Scala（var/val）以及Go（通过:=进行声明）。至于该使用var作为关键字，还是使用let或类似于C/C++中的auto作为关键字，之前曾经有过一个面向开发者的调查。大约84%的回答表明定义可变内容的变量用关键字var是恰当的，只有百分之几的回答者建议使用auto更合适。根据Java语言架构师Brian Goetz介绍，该功能应该使用关键词var。

关于该特性的用法，在reddit上有一些讨论。有人表示，即便在支持“auto”语法的语言中，该特性使用的也比较少，因为有些人希望一眼就能看出变量的类型是什么。也有人认为，var有它的适用空间，在小的代码块中，直接用它实例化对象是可以的。如果是作为方法返回值的话，还是希望明确声明类型，Java的类型推断并不支持方法返回值，这一点倒不必担心。如果函数或代码块比较长的话，就不建议使用var了并要考虑适时进行代码的重写。时间和经验将会让我们更加明确应该在何时使用新功能，就像Optional刚出现时，也是耗费了一些时间才明确其推荐适用场景。

Valhalla项目中包含了一些有趣的JEP，包括值类型(Value Type)、针对原始类型实现泛型功能、增强的volatile等，外界很期待这些内容最终也能添加到新版本中。

2017慧都十四周年狂欢搞事情！砸金蛋100%抽现金红包、满额豪送iPhone X、iPhone 8、DevExpress汉化免费送、团队升级培训套包劲省10万元......更多惊喜等您来探索！

PAGER

新控件

• 导航到所需页面的选项。
• 导航到上一个/下一个/最后/第一页的选项。
• 支持本地化。
• 支持手机。

统计图表

StackingSplineArea和100％StackingSplineArea系列

数据标签饱和度

多种样条类型

数据管理器

Web API批量编辑

可查询的数据操作

图表

支持标尺

标签拖动限制选项

DOCIO

内容控件

• 创建一个类似表单的用户界面。
• 防止用户编辑内容控件的内容。
• 将内容绑定到XML数据。

Word转换PDF增强功能

• DocIO现在可以在Azure网站中将Word文档转换为PDF。
• DocIO现在可以将具有旋转图像的Word文档转换为原始格式的PDF格式。
• DocIO现在可以将镜像边距的Word文档转换为原始格式的PDF格式。

文件管理器

根文件夹配置

甘特图

工作周

验证任务栏编辑

表格

支持页面大小下拉

看板

状态显示/隐藏选项

PDF

压缩现有的PDF文档

标记PDF

PDF查看器

手写签名

枢轴网格

按需加载（关系数据库）

分页（关系数据库）

按日期分组类型（关系数据库）

按日期类型排序（关系数据库）

演示

支持插入列

PDF和图像转换增强功能

丰富的文本编辑

拼写检查器

时间表

在线添加/编辑预约

拼写检查

拼写检查同步请求

错误词建议

电子表格

支持不连续范围的图表

树型网格

文字换行

按需加载

 

命令列

 

打印

编辑模板

列优先

TREEMAP

文字溢出

XLSIO

过滤器功能增强

• XlsIO现在允许用户通过文本、数字、单元格颜色和字体颜色对过滤的数据进行排序。
• 提供基于自定义文本过滤器过滤数据的功能。

 Dynamic Web TWAIN v13.1最新版下载>>>

• ImageGear .NET v22.2在以下功能领域添加了一组新的简化示例，支持Visual Studio 2010和Visual Studio 2015：
  ▪ 注解
  ▪ 转换
  ▪ 图像处理和清理
  ▪ 元数据
  ▪ 医疗/ DICOM
  ▪ OCR
  ▪ PDF Security（以及如何“PDF Security”的新部分）
  ▪ 扫描
  ▪ 查看
• 所有原始示例仍然可用。
• 进一步完善了“如何使用...”的内容，您可以更容易找到所需的内容。

• 在ImageGear for .NET v22.2中为32位和64位版本添加的修复程序如下：
• 001-00-014589：修复了打开DOCX文件时System.ArgumentOutOfRange出现异常的问题。
• 001-00-014384：修复了PageView KeyDown事件在WPF中没有触发的问题。
• 001-00-013726：PDF页面在SVG中可以正确地呈现。
• 001-00-013973：修复了使用WPF缩略图/向量样本调整图像大小时出现的问题。
• 001-00-013734：修复了矢量样本中的问题，其中FIT_TO_HEIGHT在调整大小时会导致空白屏幕。
• 001-00-012898：添加文档用以阐明如何处理识别对象。
• 001-00-012099：添加文档用以阐明如何将识别组件添加到Web项目中。
• 001-00-012265：修复了阻止用户将ImGearARTRectangle边框设置为0的问题。
• 001-00-014586：修复了光栅化绘图算法，在加载某些Word文档时不会出现NullReferenceException。

基于浏览器的客户端图像浏览器Prizm ActiveX Viewer在线订购专享8折！

今年5月的WannaCry（勒索软件）已经让大家尝尽苦头也让网络安全系统管理员的颜面尽扫。目前来说，安全专家们仍然无法预料WannaCry（勒索软件）将会出现何种变种。对于拥有专门的安全专家的大公司来说，网络安全最起码还有个基本的保障，但对个人用户来说，就只能靠自己来进行防护了。

在这里为大家提供6条加强你的网络环境的建议，这6条建议对组织和个人用户来说，都非常有用，且易于操作。

密码重用的常见原因是Windows工作站和服务器上的本地管理员帐户，这些密码通常通过组策略设置为公用值，或者在构建系统映像时设置为标准值。因此，在一台机器上发现本地管理员密码的攻击者就可以利用这些值访问网络上的所有计算机。

在2015年年中，微软发布了一个解决这个该问题的工具，即本地管理员密码解决方案（LAPS）。此方案是将本地管理员密码存储在LDAP上，作为计算机账户的一个机密属性，配合GPO，实现自动定期修改密码、设置密码长度、强度等，更重要是该方案可以将该密码作为计算机帐户属性存储在Active Directory中。该属性“ms-Mcs-AdmPwd”可以通过ACL锁定，以确保只有经过批准的用户，如控制台和系统管理员可以查看密码。 LAPS还包括一个PowerShell模块和一个后台客户端，LAPS UI，以简化管理和检索过程。

可以提供Microsoft LAPS UI Thick Client来支持可能需要访问本地管理员帐户的人员

LAPS实现起来非常快速简单，只需要要求系统管理员创建一个定义密码策略和本地帐户名称的GPO来管理，可以直接将单个文件AdmPwd.dll添加到Windows上。

攻击者对具有漏洞的账户进行控制一样可以获得该设备的管理权限，比如用户有时会为了某种访问的需要，进行一些临时访问，但在访问完毕后，用户有时会忘了对这些访问进行删除或监控，以至于被黑客利用。根据我们的经验，很少有用户会把这些临时访问权限进行删除。

敏感帐户，如具有管理员权限的帐户应与普通账户，如员工的账户在查看电子邮件和浏览网页时进行帐户区分。如果用户帐户被恶意软件或网络钓鱼进行了攻击，或者在密码已被泄密的情况下，帐户区分将有助于防止对管理员的权限造成进一步损坏。

具有域管理员或企业管理员资格的帐户应受到高度限制，比如只能用于登录域控制器，具有这些权限的帐户不应再在其他系统上进行登录了。在此，我们建议大家可以基于不同的管理功能来为每个账户设置不同的权限的管理账户，比如 “工作站管理”和“服务器管理”组，这样每个管理员就不具有访问整个域的权限了，这将有助于对整个域的权限保护。

许多攻击包括WannaCry的基本攻击机制，都是针对未修补的系统。所以，不管你的网络是否对外开放，都应该定期更新操作系统和应用程序。虽然这个建议属于老生常谈，但从另一个侧面也说明了该建议的重要性。许多攻击就是利用未修复的漏洞和未更新的系统来大做文章。

对于Windows系统来说，利用Windows Server进行更新服务简单而高效。利用WSUS部署更新程序时，WSUS易于设置，可以设置为自动或手动方式。而利用第三方软件来管理更新就有点不靠谱了，比如一些商业插件就允许WSUS从其他供应商那里修补软件。还有一些比较小众的工具，像Ninite这样的第三方更新工具，既不是自动配置的，也不是免费使用的，但它允许用户从其列表中选择支持的应用程序和运行没有完全选定的应用程序。 Flexera的企业软件检查器和Microsoft的系统中心配置管理器（SCCM）等工具也可以帮助管理第三方应用程序的修补。

Windows Server Update Services向导允许管理员选择要管理的更新类型

使用WSUS，管理员可以自动批准补丁到质量检查环境，或手动批准并分配它们

Verizon发布的《2016年数据泄露调查报告》显示“63%的已确认的数据泄露事件均涉及到密码口令(password)的丢失、密码口令安全性过低或默认密码未

更改”，所以这个建议是非常重要的。当用户在首次使用设备时，应该先对默认的出厂密码进行修改，如果没有设置密码的要先设置密码，但往往人们会忽

略这些关键的保护手段。攻击者就是利用这些疏忽来进行攻击的，因为一般的出厂默认密码都可以在网络上查到。攻击者可以利用网络设备，如交换机和接

入点上的默认密码来重定向流量，执行中间人攻击，或对网络基础设施执行拒绝服务攻击。

更糟糕的是，内部系统所利用的Web控制台在包含敏感业务数据或系统配置的应用程序中通常使用的都是默认密码。攻击者利用网络钓鱼和常见的恶意软

件的攻击向量就可以绕过安全防护，并且有时候真正的威胁是来自内部人员的恶意行为，所以借着 “内部”这个借口来放松对密码的管理，这个观念是非

常错误的。正确的做法应该是，审核所有登录密码，并进行必要的修改和设置。现在，许多设备和服务都支持双因素身份验证， 建议大家尽量开启。

只是用Google搜索出来的一些默认密码列表 

链路本地组播名称解析（LLMNR）和NetBIOS名称服务（NBT-NS）都可以导致在启用时快速对域名进行攻击。这些协议最常用在初始DNS查找失败时查找所请求的主机，并且会在默认情况下启用。在大多数网络中，由于DNS的存在，所以LLMNR和NetBIOS名称解析根本就没有必要再用了。当对无法找到的主机发出请求时，例如尝试访问 dc-01的用户打算输入 dc01，LLMNR和NBT-NS就会发送广播，寻找该主机。这时攻击者就会通过侦听LLMNR和NetBIOS广播，伪装成用户（客户端）要访问的目标设备，从而让用户乖乖交出相应的登陆凭证。在接受连接后，攻击者可以使用Responder.py或Metasploit等工具将请求转发到执行身份验证过程的流氓服务（如SMB TCP：137）。 在身份验证过程中，用户会向流氓服务器发送用于身份认证的NTLMv2哈希值，这个哈希值将被保存到磁盘中，之后就可以使用像Hashcat或John Ripper（TJR）这样的工具在线下破解，或直接用于 pass-the-hash攻击。

由于这些服务通常不是必需的，因此最简单的措施是完全禁用它们。大家可以顺着计算机配置 – >策略 – >管理模板 – >网络 – > DNS客户端 – >关闭组播名称解析来修改组策略，禁用LLMNR。

禁用NetBIOS名称解析并不是一件简单的事情，因为我们必须在每个网络适配器中手动禁用“启用TCP / IP NetBIOS”选项，或者运行包含以下wmic命令的脚本：

wico nicconfig其中TcpipNetbiosOptions = 0调用SetTcpipNetbios 2
wmic nicconfig其中TcpipNetbiosOptions = 1调用SetTcpipNetbios 2
不过要注意的是，虽然这些服务通常不是必需的，但一些过去的老软件仍然可以依靠NetBIOS名称解析来正常运行。在运行GPO之前，请务必测试以下禁用这些服务会对你的运行环境有哪些影响。

如果你登陆过https://www.shodan.io这个网站，你一定会被其中所曝光的敏感漏洞和服务而震惊。与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“...。

Shodan所搜集到的信息是极其惊人的。凡是链接到互联网的红绿灯、安全摄像头、家庭自动化设备以及加热系统等等都会被轻易的搜索到。Shodan的使用者曾发现过一个水上公园的控制系统，一个加油站，甚至一个酒店的葡萄酒冷却器。而网站的研究者也曾使用Shodan定位到了核电站的指挥和控制系统及一个粒子回旋加速器。

Shodan真正值得注意的能力就是能找到几乎所有和互联网相关联的东西。而Shodan真正的可怕之处就是这些设备几乎都没有安装安全防御措施，其可以随意进入。

所以如果没有必要就不要把你的设备连接到互联网，不过要知道网络上有哪些型号的设备已经被攻击了，建议大家尝试使用端口扫描之王——nmap进行扫描，端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关)，但是端口扫描不但可以为黑客所利用，同时端口扫描还是网络安全工作者的必备的利器，通过对端口的扫描，了解网站中出现的漏洞以及端口的开放情况。比如，像“nmap -sV -Pn -top-ports 10000 1.2.3.4/24”这样的简单扫描可以让我们快速了解攻击者可能看到的内容，利用Shodan和Censys.io这样的工具就可以做到自动搜索这些内容。

你知道你设备在网络上的运行状态吗？例如，你是否运行了IPv6，更重要的是，该运行状态是你打开的还是黑客打开的？ SMBv1是否在你的环境中启用了一个设备？当你对这些运行情况有一个清晰地了解之后，请考虑一下你是否有必要禁用这些监控服务。

阅读原文>>>

案例研究日期：2017年3月

经营行业：汽车工程

成立：1998

网站：new.abb.com/uk

LightningChart解决方案：Various

高性能的控制系统

Dynamotive是ABB集团的一员，是一个主要部署在汽车行业的高性能实时控制系统的高档品牌供应商。Dynamotive为主要汽车制造商及其遍布欧洲、美国和亚洲的供应商提供测试设备和工具软件。

LightningChart®提供真正无与伦比的性能

Dynamotive使用LightningChart从控制系统实时提供数据。他们在LightningChart周围建立了一个解决方案，可以同时并且持续地以多个采样率显示和记录数据。采样率从1Hz到50 kHz不等，屏幕刷新率可以调节高达50 Hz，为用户提供了关于控制过程决策所需的信息。

当被问及LightningChart的最佳优势时，Poole先生给出答复：“LightningChart的最佳功能是性能，性能和性能。”

示例：表示运行节气门循环的图像

快速和容易实现

LightningChart给予Dynamotive的主要优点是使他们能够快速开发可靠和高性能的实时数据。“除了使用LightningChart为我们的控制系统实现高性能实时数据趋势，我们可以在两周内构建一个驱动程序辅助应用程序（使车辆的驾驶员能够遵循道路简档），早期的实施需要几个月 需要尝试并获得体面的图形性能，但与LightningChart的优异性能是给定的。”软件开发经理Poole如是介绍。

Dynamotive团队并没有真的必须使用技术支持。 安德鲁·普尔（Andrew Poole）：“我们是LightningChart的早期使用者，当时有一些来自Arction创始人的电子邮件让我们犹豫了，但之后，我们需要做的大部分工作都很容易实现，这是因为拥有了直接和结构合理的API。”

观看视频，了解LightningChart如何整合到Dynamotive开发的汽车遥测软件中：

TMS Diagram Studio是一款功能强大的图表控件，专为您的应用程序添加示意图和流程图表。

TMS Diagram Studio点击下载>>>

• 改进：更改handle检测的顺序。
• 修复：预览/打印错误。
• 修复：TDiagramButtons控件显示所有类别，而不考虑DiagramCategories属性的值。

• 新增：支持RAD Studio 10.2 Tokyo

• 修复：RoundRect块在使用GDI或GDIPlus/Direct2D时显示不同
• 修复：使用Direct2D导出到位图不包含背景图像

• 修复：链接不与块一起移动

• 新增：TCustomDiagramBlock.CornerRadius属性，用于在使用圆弧形状时对圆角进行微调
• 改进：在一次性清除或删除许多图表对象时提高性能
• 修复：预览位图横向定位
• 修复：移动具有线路的组将导致组成员错位
• 修复：图形工具栏在设计时的高度不正确

• 修复：C ++ Builder 2007标题未正确生成。

更新内容：

• Vintasoft.Twain.Web.WcfServices程序集可以在ASP.NET应用程序的服务器端使用，并允许创建一个用于从扫描程序中采集图像的WCF服务。
• 可以在ASP.NET MVC应用程序的服务器端使用Vintasoft.twain.Web.ApiController组件，并允许创建一个用于从扫描仪中进行图像采集的Web控制器。
• 用JavaScript编写的Vintasoft.Twain.js文件可以在ASP.NET应用程序的客户端使用，包括类和枚举，这简化了扫描仪的图像采集功能。

• VintasoftWebTwainService - 新的控制台演示应用程序，演示了如何创建一个本地自我托管的Web服务来管理扫描仪。该Web服务是基于Web API控制器的。
• AspNetMvcTwainDemos - 新的ASP.NET MVC演示应用程序，演示了如何从扫描仪中获取图像，处理所获取的图像，将获取的图像保存到本地文件或上传到HTTP（S）服务器上。该演示可以在任何浏览器（Chrome、Firefox、Edge、Internet Explorer、Opera）中使用，并使用本地Web服务与扫描仪进行通信。该演示使用了在VintasoftWebTwainService演示应用程序中实现的本地Web服务。
• VintasoftWcfTwainService - 新的控制台演示应用程序，演示了如何创建一个本地的自我托管的Web服务来管理扫描仪。该Web服务是基于WCF服务的。
• AspNetTwainDemos - 新的ASP.NET WebForms演示应用程序，演示了如何从扫描仪中获取图像，处理获取的图像，将获取的图像保存到本地文件或上传到HTTP（S）服务器上。该演示可以在任何浏览器（Chrome、Firefox、Edge、Internet Explorer、Opera）中使用，并使用本地Web服务与扫描仪进行通信。该演示使用了在VintasoftWcfTwainService演示应用程序中实现的本地Web服务。