张显达 zxd blog
  文章分类
前端 162 后端 178 软件设计 22 软件工具 14 数据库 9 编程之道 9 人工智能 182 推荐工具 10 AI安全 7 Java 146 工具链 2 技术快报 6 工具 1 云计算 2 软件开发 2 前端技术 2 网络安全 150 物联网 147 可持续科技 1 量子计算 147 增强现实/虚拟现实 1 软件工程 147 消费电子 1 数字治理 147 Python 142 python 4 最新AI开发工具推荐 119 java 7 AI 工具链 4 科技深潮 1
安全左移终于长到编码当下了,但没有运行时上下文的左移仍然不够 安全左移终于长到编码当下了,但没有运行时上下文的左移仍然不够
导语:2026 年 5 月上旬,安全领域有一组值得一起看的官方更新。5 月 5 日,GitHub 宣布 Secret scanning with GitHub MCP server 正式 GA,同时 Dependency scanning
2026-05-10 网络安全
MCP Supply Chain Cybersecurity CodeQL AppSec
把漏洞和泄密检查前移到提交前,AppSec 终于开始长到开发桌面上 把漏洞和泄密检查前移到提交前,AppSec 终于开始长到开发桌面上
导语:到 2026 年 5 月 5 日,网络安全领域里最值得工程团队动手试的一批更新,都指向同一件事:应用安全的起点正在前移。GitHub 在这一天宣布,Secret scanning with GitHub MCP Server 正式 G
2026-05-05 网络安全
MCP Secret Scanning Cybersecurity Dependabot
把你的净化函数教给扫描器,安全团队终于能少看一点误报了 把你的净化函数教给扫描器,安全团队终于能少看一点误报了
导语:2026 年 4 月 21 日这一天,安全团队最值得留意的更新,不是又爆了哪个漏洞,而是 GitHub 在 4 月 21 日给 CodeQL 的 models-as-data 补上了对 sanitizers 和 validators
2026-04-21 网络安全
Cybersecurity CodeQL SAST AppSec
供应链安全开始告别“长久有效的凭据”:OIDC 上组织级后该怎么重构私有制品访问 供应链安全开始告别“长久有效的凭据”:OIDC 上组织级后该怎么重构私有制品访问
导语:截至 2026 年 4 月 20 日,应用安全和供应链安全领域里最有操作价值的一组更新,来自 GitHub 在 4 月 14 日补上的组织级 OIDC support for Dependabot and code scanning,
2026-04-20 网络安全
Cybersecurity Dependabot OIDC Code Scanning
Agent 真正进仓库以后,安全边界得跟着前移:防火墙、runner 和签名提交要一起上 Agent 真正进仓库以后,安全边界得跟着前移:防火墙、runner 和签名提交要一起上
导语:截至 2026 年 4 月 6 日,网络安全里最值得组织认真看的一组更新,来自 GitHub 在 4 月 3 日围绕 Copilot cloud agent 连续补上的三块控制面:组织级 runner controls、组织级 age
2026-04-06 网络安全
Copilot Agent Cybersecurity Firewall
一次补 4 条 Node 版本线还不够:3 月安全发布后该怎么把运行时加固做实 一次补 4 条 Node 版本线还不够:3 月安全发布后该怎么把运行时加固做实
导语:截至 2026 年 3 月 31 日,网络安全领域里最值得后端团队反复看的一份材料,还是 Node.js 在 2026-03-24 发布的安全版本说明。它一次性覆盖 20.x、22.x、24.x、25.x 四条版本线,修掉 2 个高危
2026-03-31 网络安全
TLS Cybersecurity Node.js Runtime Security
Node 3 月安全发布暴露了什么短板:TLS、Permission Model 与 HTTP/2 的补丁流程要重写 Node 3 月安全发布暴露了什么短板:TLS、Permission Model 与 HTTP/2 的补丁流程要重写
导语:截至 2026 年 3 月 30 日,网络安全里最值得工程团队警觉的一份材料,不是新的威胁情报,而是 Node.js 在 3 月 24 日发布的安全版本说明。它一次性覆盖了 20.x、22.x、24.x、25.x 四条线,修掉 2 个
2026-03-30 网络安全
TLS Cybersecurity Node.js HTTP2
凭证暴露响应必须从“人工通知”升级到“批量撤销”:Credential Revocation API 扩展后的实战流程 凭证暴露响应必须从“人工通知”升级到“批量撤销”:Credential Revocation API 扩展后的实战流程
导语:截至 2026 年 3 月 29 日,网络安全领域最有操作价值的一条更新,来自 GitHub 3 月 26 日对 Credential revocation API 的扩展。这个接口现在不仅支持传统 PAT,还支持 OAuth app
2026-03-29 网络安全
Cybersecurity Token GitHub Security Revocation
安全左移开始拼反馈速度:CodeQL 增量分析加速后,PR 安全门禁应如何重构 安全左移开始拼反馈速度:CodeQL 增量分析加速后,PR 安全门禁应如何重构
导语:截至 2026 年 3 月 24 日,GitHub 在安全侧最值得注意的更新,不是新增了一个“更强”的扫描器,而是继续压缩了 PR 安全反馈时间。当天发布的 Faster incremental analysis with CodeQ
2026-03-24 网络安全
DevSecOps Secret Scanning Cybersecurity CodeQL
安全策略开始平台化:从恶意依赖到代码质量策略,企业要把门禁写进系统 安全策略开始平台化:从恶意依赖到代码质量策略,企业要把门禁写进系统
导语:截至 2026 年 3 月 23 日,安全团队最值得重视的变化,是安全控制点正在被平台化。3 月 17 日 Dependabot 开始检测 npm 恶意版本,3 月 18 日代理执行可以接入 validation tools,而更早的
2026-03-23 网络安全
Cybersecurity Dependabot Code Quality Policy
1 / 15