张显达 zxd blog
  文章分类
前端 158 后端 174 软件设计 22 软件工具 14 数据库 9 编程之道 9 人工智能 178 推荐工具 10 AI安全 7 Java 143 技术快报 6 工具链 2 工具 1 云计算 2 网络安全 146 前端技术 2 软件开发 2 物联网 143 可持续科技 1 量子计算 143 增强现实/虚拟现实 1 软件工程 143 消费电子 1 数字治理 143 Python 139 java 6 python 3 最新AI开发工具推荐 115 AI 工具链 4 科技深潮 1
Agent 真正进仓库以后,安全边界得跟着前移:防火墙、runner 和签名提交要一起上 Agent 真正进仓库以后,安全边界得跟着前移:防火墙、runner 和签名提交要一起上
导语:截至 2026 年 4 月 6 日,网络安全里最值得组织认真看的一组更新,来自 GitHub 在 4 月 3 日围绕 Copilot cloud agent 连续补上的三块控制面:组织级 runner controls、组织级 age
2026-04-06 网络安全
Copilot Agent Cybersecurity Firewall
一次补 4 条 Node 版本线还不够:3 月安全发布后该怎么把运行时加固做实 一次补 4 条 Node 版本线还不够:3 月安全发布后该怎么把运行时加固做实
导语:截至 2026 年 3 月 31 日,网络安全领域里最值得后端团队反复看的一份材料,还是 Node.js 在 2026-03-24 发布的安全版本说明。它一次性覆盖 20.x、22.x、24.x、25.x 四条版本线,修掉 2 个高危
2026-03-31 网络安全
TLS Cybersecurity Node.js Runtime Security
Node 3 月安全发布暴露了什么短板:TLS、Permission Model 与 HTTP/2 的补丁流程要重写 Node 3 月安全发布暴露了什么短板:TLS、Permission Model 与 HTTP/2 的补丁流程要重写
导语:截至 2026 年 3 月 30 日,网络安全里最值得工程团队警觉的一份材料,不是新的威胁情报,而是 Node.js 在 3 月 24 日发布的安全版本说明。它一次性覆盖了 20.x、22.x、24.x、25.x 四条线,修掉 2 个
2026-03-30 网络安全
TLS Cybersecurity Node.js HTTP2
凭证暴露响应必须从“人工通知”升级到“批量撤销”:Credential Revocation API 扩展后的实战流程 凭证暴露响应必须从“人工通知”升级到“批量撤销”:Credential Revocation API 扩展后的实战流程
导语:截至 2026 年 3 月 29 日,网络安全领域最有操作价值的一条更新,来自 GitHub 3 月 26 日对 Credential revocation API 的扩展。这个接口现在不仅支持传统 PAT,还支持 OAuth app
2026-03-29 网络安全
Cybersecurity Token GitHub Security Revocation
安全左移开始拼反馈速度:CodeQL 增量分析加速后,PR 安全门禁应如何重构 安全左移开始拼反馈速度:CodeQL 增量分析加速后,PR 安全门禁应如何重构
导语:截至 2026 年 3 月 24 日,GitHub 在安全侧最值得注意的更新,不是新增了一个“更强”的扫描器,而是继续压缩了 PR 安全反馈时间。当天发布的 Faster incremental analysis with CodeQ
2026-03-24 网络安全
DevSecOps Secret Scanning Cybersecurity CodeQL
安全策略开始平台化:从恶意依赖到代码质量策略,企业要把门禁写进系统 安全策略开始平台化:从恶意依赖到代码质量策略,企业要把门禁写进系统
导语:截至 2026 年 3 月 23 日,安全团队最值得重视的变化,是安全控制点正在被平台化。3 月 17 日 Dependabot 开始检测 npm 恶意版本,3 月 18 日代理执行可以接入 validation tools,而更早的
2026-03-23 网络安全
Cybersecurity Dependabot Code Quality Policy
代码安全开始讲“证据链”:依赖检测、执行验证和提交回放必须一起看 代码安全开始讲“证据链”:依赖检测、执行验证和提交回放必须一起看
导语:截至 2026 年 3 月 22 日,安全团队处理自动化代码变更时,已经不能只看单次扫描结果。最近几天的官方更新拼起来,其实构成了一条完整的证据链:Dependabot now detects malware in npm depen
2026-03-22 网络安全
Cybersecurity Dependabot Validation Session Logs
安全团队要把验证链前移到代理和依赖入口:从恶意包到提交追溯的闭环实践 安全团队要把验证链前移到代理和依赖入口:从恶意包到提交追溯的闭环实践
导语:截至 2026 年 3 月 20 日,安全团队面对的真正挑战已经不是“怎么多发现几个问题”,而是“怎么把问题拦在更早的入口”。3 月 17 日,GitHub Dependabot 开始检测 npm 依赖中的恶意版本;3 月 18 日,
2026-03-20 网络安全
Cybersecurity Dependabot Validation Session Logs
供应链安全进入细分阶段:npm恶意包告警与代理验证工具开始联动 供应链安全进入细分阶段:npm恶意包告警与代理验证工具开始联动
导语:截至 2026 年 3 月 19 日,安全团队正在进入一个更细分、也更贴近真实工程的阶段。3 月 17 日,Dependabot 开始检测 npm 依赖中的恶意版本;3 月 18 日,GitHub 又开放了 Configure Cop
2026-03-19 网络安全
Secret Scanning Cybersecurity CodeQL Dependabot
AI代理也要过安全门:秘密扫描、豁免策略与组织级安全配置的新做法 AI代理也要过安全门:秘密扫描、豁免策略与组织级安全配置的新做法
导语:截至 2026 年 3 月 17 日,安全团队面对的一个新现实是:AI coding agent 已经成为新的代码生产入口,因此它也必须成为新的安全治理入口。GitHub 当天发布了 Secret scanning in AI cod
2026-03-17 网络安全
MCP Secret Scanning Cybersecurity Push Protection
1 / 15