@boatrain1111 我作为一个过来者，认为他犯了初学者的毛病，指出来有什么问题？除此之外，我揣测了他什么？

个人是缺乏了解一些最佳实践，因此只能用最基本的功能。

1. 名校硕士校招
2. 大厂出身社招
3. 外包跳甲方，难而且收入不如 1,2

@CLMan 更正“不补充该领域的专业知识”，应该为“补充该领域的专业知识”
更正“看看其它语言是如何封装也是一个不错的思路”，应该为“了解其它语言是如何封装也很有帮助”

作为一个过来人，你犯了自学的通病：缺乏背景知识，然后钻牛角尖，后果是浪费大量时间成为了“计算机民科”。

一个学过数据结构与算法的人，除非他看了 PriorityQueue.toString()的文档说明，他根本不会调用`System.out.println(q1);`，因为在数据结构与算法里，堆实现的优先队列，其打印结果是未定义的。

很多喜欢吊"Java 源码袋子"的人也是这样，明明不懂，偏要分析来分析去搞得自己很懂的样子，就比如`java.util.concurrent`包，我敢说 99%的 Java 开发者都没看源码的必要。

正确的思路是跳出 Java 提供给你的封装，不补充该领域的专业知识，你这里就是“数据结构与算法”课程，再回头到具体的语言，看看其它语言是如何封装也是一个不错的思路。别一点领域知识都没有就去钻文档，钻源码，这样学习效率很低下，而且思维被 Java 的封装给局限了。

如果能预估最大容量，就是第 3 种写法。

go 的 slice 和 java 的 ArrayList 差不多，就是我们在数据结构与算法里面学到的基于数组实现的列表，基本的扩容策略是双倍扩容：每次 cap*2 ，摊还每次插入 O(1)。

所以第三种写法是在使用数组实现的列表时的常识，与具体语言无关。

按照编程的常识来：大多数语言都是放在文件的头部。

违背编程常识的 feature 发明，通常不是陷阱就是鸡肋，尽量避免使用。

AI 加持的民科吗，话说骗子行业会不会因为 AI 得到进化。

@lhx888 粗略的看了一下，npm 注册表镜像的安全性是远远不如 debian 镜像仓库：

- npm 使用 `npm audit`进行包的签名检查，使用私钥签名，公钥检查，但似乎没使用证书体系（有待确认）
- npm 注册表允许私有签名（有待确认），但镜像默认不提供公钥，所以审查失败
- 执行`npm install`会触发`npm audit`，但是审查错误信息会被静默掉（只有在日志级别为 verbose 显示），不影响安装流程，直接执行`npm audit`会正常显示审查错误信息
- npmmirrors 官方推荐全局安装`cnpm`替代`npm`

所以前面一大堆回复都没人查官方文档吗，还是周末大佬不是加班就出去玩了，v2 的平均技术在我眼中断崖式下跌。。。

楼主考虑的是代理 /镜像导致的中间人攻击问题，npm 使用的是类似 debian 之类的软件包签名来解决的：

Signing and verifying published packages protects against an attacker controlling a registry mirror or proxy where they attempt to intercept and tamper with the package tarball content.

链接：
https://docs.npmjs.com/about-registry-signatures
https://docs.npmjs.com/verifying-registry-signatures

要了解实现细节，比如默认是否验证签名，验证签名失败会怎么样（会不会依然允许安装，会不会被用户忽视），是否存在例外情况等等，需要读 npm 的源码，反正是开源的。

@flyqie t/872745

@CLMan 这个才是官方说明： https://jakarta.ee/blogs/javax-jakartaee-namespace-ecosystem-progress/。

@CLMan 那条链接不是官方说明，是官方 blog 里面发布的，至少是官方认可的。

@nothingistrue

“命名空间”有点要咬文嚼字了，况且，我搜了下相关新闻，很多都是用的命名空间。

就是 eclipse 的官方说明都是用的“namespace”术语： https://webtide.com/less-is-more-servlet-api/

无论如何都别把“Chrome 的密码同步”当作主要的密码同步工具，当成缓存还行。

因为清理历史数据会默认勾选清除密码，如果你不小心清除一次，你保存的密码全没了，远程也没有。

这软件架构就是这样，服务端提供的只是一个 UI ，由本地向 OpenAI API 地址发起请求的。

你要改成服务端请求，最简单的办法是搭建一个 api 代理，将其密钥放在代理的服务端，UI 层只需要根据你的需求进行小改。

文件没找到就是特殊字符的原因，先一个个测试是否哪些字符导致的问题，在想办法从程序上，还是从修改文件名上解决问题。

手机软件隔离太麻烦，物理隔离也确实受到运营商的影响，但去边疆用境外互联网卡会不会起反效果，你本来只是为了隐私安全，结果反而引起关注，带来不必要的麻烦？

和上面的一样，我手机基本当老人机用，国产软件爱看就看吧，爱监听就监听吧，就当一个普通、毫不起眼的老百姓。

我一般在电脑上翻墙，chrome 走全局代理，国内互联网开本地账户，实现账号隔离。任何需要代理的软件也是直接设置代理，从来不用 clash 之类的分流软件。

就算是编程随想也隐藏不了自己，我也没想过在国际互联网上干出什么名堂来，所以并没有追求很好的身份隐藏性，只是单纯的想做一个透明人，就像活在克鲁斯神话里面，避免引起神祇的任何一瞥。