张显达 zxd blog
  文章分类
前端 162 后端 178 软件设计 22 软件工具 14 数据库 9 编程之道 9 人工智能 182 推荐工具 10 AI安全 7 Java 146 工具链 2 技术快报 6 工具 1 云计算 2 软件开发 2 前端技术 2 网络安全 150 物联网 147 可持续科技 1 量子计算 147 增强现实/虚拟现实 1 软件工程 147 消费电子 1 数字治理 147 Python 142 python 4 最新AI开发工具推荐 119 java 7 AI 工具链 4 科技深潮 1
代码安全开始讲“证据链”:依赖检测、执行验证和提交回放必须一起看 代码安全开始讲“证据链”:依赖检测、执行验证和提交回放必须一起看
导语:截至 2026 年 3 月 22 日,安全团队处理自动化代码变更时,已经不能只看单次扫描结果。最近几天的官方更新拼起来,其实构成了一条完整的证据链:Dependabot now detects malware in npm depen
2026-03-22 网络安全
Cybersecurity Dependabot Validation Session Logs
安全团队要把验证链前移到代理和依赖入口:从恶意包到提交追溯的闭环实践 安全团队要把验证链前移到代理和依赖入口:从恶意包到提交追溯的闭环实践
导语:截至 2026 年 3 月 20 日,安全团队面对的真正挑战已经不是“怎么多发现几个问题”,而是“怎么把问题拦在更早的入口”。3 月 17 日,GitHub Dependabot 开始检测 npm 依赖中的恶意版本;3 月 18 日,
2026-03-20 网络安全
Cybersecurity Dependabot Validation Session Logs
供应链安全进入细分阶段:npm恶意包告警与代理验证工具开始联动 供应链安全进入细分阶段:npm恶意包告警与代理验证工具开始联动
导语:截至 2026 年 3 月 19 日,安全团队正在进入一个更细分、也更贴近真实工程的阶段。3 月 17 日,Dependabot 开始检测 npm 依赖中的恶意版本;3 月 18 日,GitHub 又开放了 Configure Cop
2026-03-19 网络安全
Secret Scanning Cybersecurity CodeQL Dependabot
AI代理也要过安全门:秘密扫描、豁免策略与组织级安全配置的新做法 AI代理也要过安全门:秘密扫描、豁免策略与组织级安全配置的新做法
导语:截至 2026 年 3 月 17 日,安全团队面对的一个新现实是:AI coding agent 已经成为新的代码生产入口,因此它也必须成为新的安全治理入口。GitHub 当天发布了 Secret scanning in AI cod
2026-03-17 网络安全
MCP Secret Scanning Cybersecurity Push Protection
安全左移进入精修阶段:CodeQL与密钥阻断如何形成双重门禁 安全左移进入精修阶段:CodeQL与密钥阻断如何形成双重门禁
导语:截至 2026 年 3 月 15 日,安全团队最不应该再做的事,是把代码安全和密钥安全拆成两条孤立流程。3 月 13 日,GitHub 发布 CodeQL 2.24.4,新增对 Python 中 Rust crates 使用关系的识别
2026-03-15 网络安全
DevSecOps Secret Scanning Cybersecurity CodeQL
密钥泄露治理进入自动阻断期:从告警堆积转向提交前防线 密钥泄露治理进入自动阻断期:从告警堆积转向提交前防线
导语:截至 2026 年 3 月 12 日,安全运营里最值得重视的变化,不是又新增了多少漏洞,而是“提交前防御”开始变得更实用。GitHub 在 2026 年 3 月 10 日更新了 Secret Scanning 模式,新增 28 个 s
2026-03-12 网络安全
DevSecOps Secret Scanning Cybersecurity CodeQL
漏洞修复不再靠月度节奏:面向被利用风险的日常化运营 漏洞修复不再靠月度节奏:面向被利用风险的日常化运营
导语:截至 2026 年 3 月 8 日,安全团队需要优先关注“已被利用风险”的快速闭环,而不是“漏洞总数统计”本身。OpenJDK 在 2026-01-20 披露了多项漏洞,Kubernetes v1.35.2 补丁涉及 Go 运行时 C
2026-03-08 网络安全
DevSecOps KEV Cybersecurity Vulnerability
漏洞情报到修复闭环:安全运营的优先级重排方法 漏洞情报到修复闭环:安全运营的优先级重排方法
导语:2026 年的安全运营已经不缺“漏洞数量”,真正缺的是“优先级纪律”。截至 3 月 6 日,多个官方渠道都在释放同一个信号:被真实利用的漏洞修复窗口在缩短。OpenJDK 在 2026 年 1 月 20 日披露了多项高危问题;Kube
2026-03-06 网络安全
DevSecOps KEV Vulnerability Management Cybersecurity
AI时代安全运营实务:漏洞优先级与接口防护的统一控制面 AI时代安全运营实务:漏洞优先级与接口防护的统一控制面
导语:2026 年的安全运营已经从“单线防御”转向“并行防御”。一方面,CISA KEV 持续更新真实被利用漏洞,企业必须优先修复正在被攻击的风险点;另一方面,模型 API 逐渐成为新的高频攻击入口,重放、越权、刷量和提示注入都在增加。如果
2026-03-05 网络安全
KEV API Security AI Security Cybersecurity
模型时代的安全双闭环:漏洞修复与接口防滥用协同 模型时代的安全双闭环:漏洞修复与接口防滥用协同
导语:安全团队在 2026 年面临的是双闭环压力:一条是传统漏洞闭环,另一条是模型接口闭环。CISA KEV 持续更新已被利用漏洞,要求“先修正在被打的洞”;与此同时,模型 API 的越权、重放、刷量和提示注入正成为真实生产风险。两条闭环若
2026-03-04 网络安全
KEV API Security AI Security Cybersecurity
2 / 15