CI on 办公AI智能小助手

优化端到端流水线：Slack 如何将构建时间减半

Mon, 05 Jan 2026 00:50:41 +0800

优化端到端流水线 | Slack 工程博客

在 DevOps 和开发者体验 (DevXP) 的世界中，速度和效率对工程师的日常工作影响巨大。今天，我们将深入探讨 Slack 的 DevXP 团队如何利用现有工具来优化端到端 (E2E) 测试流水线。这降低了构建时间并减少了冗余流程，为 Slack 的工程师节省了时间和资源。

Azure开发者CLI实战：分层基础设施实现容器应用开发到生产的“一次构建，随处部署”

Sun, 04 Jan 2026 22:01:27 +0800

本文通过一个示例，介绍如何使用Azure Developer CLI v1.20.0的新增功能azd publish和分层基础设施（Alpha特性），在Azure容器应用（Azure Container Apps）中实现“一次构建，随处部署”的模式。你将学会如何将相同的容器化应用程序部署到多个环境，并实现适当的关注点分离。这是Azure Developer CLI系列的第三篇文章，建立在我们之前的探索之上：Azure应用服务和GitHub Actions、Azure DevOps管道。

Shai-Hulud 2.0：解析2025年最激进的NPM供应链攻击“第二次降临”

Sun, 04 Jan 2026 13:45:26 +0800

Shai-Hulud 2.0: Inside The Second Coming, the Most Aggressive NPM Supply Chain Attack of 2025

攻击者如何渗透npm生态系统，Check Point研究人员发现了什么，以及组织如何保护其开发流水线。

Shai-Hulud 2.0 活动（其运营者称之为“第二次降临”）是近年来观察到的最广泛、发展最迅速的npm供应链攻击之一。在2025年11月21日至23日期间，攻击者在短短几小时内就攻陷了数百个npm软件包和超过25，000个GitHub代码仓库。与安装后激活的传统恶意软件不同，该活动滥用了npm的preinstall生命周期脚本，使得恶意载荷能在安装完成前、甚至在安装失败时运行。

Azure Pipelines 代理镜像即将迎来重要更新：操作系统版本更迭与迁移指南

Sun, 04 Jan 2026 12:34:11 +0800

Azure Pipelines 代理镜像即将到来的更新

为确保 Azure Pipelines 中的托管代理运行在最安全、最新的环境中，我们会持续更新支持的镜像并逐步淘汰旧版本。在 2024 年 10 月，我们宣布支持 Ubuntu-24.04。不久后，我们计划将 ubuntu-latest 镜像映射到 Ubuntu-24.04。此外，macOS 15 Sequoia 和 Windows 2025 镜像也将在今年晚些时候正式推出。随着这些新版本的发布，我们将弃用 Ubuntu-20.04 和 Windows Server 2019 等旧镜像。请参考以下各小节了解单个镜像的详细更新信息。

利用分层基础设施实现Azure Container Apps从开发到生产的部署

Sun, 04 Jan 2026 08:24:02 +0800

Azure Developer CLI：Azure Container Apps从开发到生产的部署与分层基础设施

本指南将介绍如何使用Azure Developer CLI v1.20.0中的新功能——azd publish和分层基础设施——来实现Azure Container Apps的“一次构建，随处部署”模式。您将学习如何跨多个环境部署相同的容器化应用程序，同时保持适当的关注点分离。这是Azure Developer CLI系列的第三部分，基于我们之前的探索：

使用 GitHub Actions 将 Docker 镜像推送至 AWS ECR

Sat, 03 Jan 2026 21:42:56 +0800

GitHub Actions 能够通过同一 GitHub 仓库内的工作流，实现持续集成/持续部署（CI/CD）流程，以构建、测试和部署代码。GitHub Actions 可以构建镜像并将其推送到 AWS、Docker Hub 等云提供商。我们可以选择不同的操作系统平台（Windows 或 Linux）来运行工作流。

使用GitHub Actions将Docker镜像推送到AWS弹性容器仓库

Sat, 03 Jan 2026 13:21:44 +0800

如何使用GitHub Actions将Docker镜像推送至AWS弹性容器仓库

GitHub Actions使得CI/CD（持续集成/持续部署）流程能够在同一个GitHub仓库内通过工作流来构建、测试和部署代码。GitHub Actions可以构建镜像并将其推送到诸如AWS和Docker Hub等云服务提供商。我们可以选择不同的操作系统平台（Windows或Linux）来运行工作流。本文将演示如何利用GitHub Actions来简化构建和部署过程，从而将Docker镜像推送到AWS弹性容器仓库。

lychee链接检查Composite Action中发现的代码注入漏洞剖析

Sat, 03 Jan 2026 05:17:54 +0800

lychee链接检查操作受组合操作中的任意代码注入影响 · CVE-2024-48908

漏洞严重性：中等 GitHub已审核 发布日期：2025年8月28日 所属仓库：lycheeverse/lychee-action 最后更新：2025年8月28日

GitHub Action安全漏洞：.git目录泄露与凭证保护不足

Fri, 02 Jan 2026 05:38:17 +0800

漏洞详情

包: actions 受影响仓库: BoldestDungeon/steam-workshop-deploy (GitHub Actions) / m00nl1ght-dev/steam-workshop-deploy (GitHub Actions)

受影响版本:

BoldestDungeon/steam-workshop-deploy: < 2.0.0
m00nl1ght-dev/steam-workshop-deploy: < 4

已修复版本:

BoldestDungeon/steam-workshop-deploy: 2.0.0
m00nl1ght-dev/steam-workshop-deploy: 4

描述

摘要

steam-workshop-deploy GitHub Action 在打包部署内容时不会排除 .git 目录，且未提供内置方法来执行此操作。如果目标目录中存在 .git 文件夹（例如，由于本地 Git 仓库、自定义项目结构或通过 actions/checkout 工作流），该文件夹会被静默包含在输出包中。这会导致敏感的仓库元数据以及潜在的凭据（包括嵌入在 .git/config 中的 GitHub 个人访问令牌）泄露。

软件供应链安全终极指南：风险、威胁与缓解策略

Thu, 01 Jan 2026 21:02:03 +0800

软件供应链安全终极指南：风险、威胁与缓解策略

2025年7月，一个每周下载量超过2800万次的核心npm软件包遭到入侵，数百万个项目及开发环境面临风险。本文将指导您如何提升软件供应链安全态势，避免类似命运。

部署安全之道：Slack如何通过自动化与指标将变更影响降低90%

Thu, 01 Jan 2026 08:55:25 +0800

部署安全：减少变更对客户的影响

Slack 工程团队 | 2025年10月7日

2023年中，我们发现了提升系统可靠性的机会。到了2025年1月，因故障导致的客户影响时长已从峰值下降了90%，并且持续呈下降趋势。这就是Slack“部署安全计划”一年半以来的成果：我们改进了部署方式，提升了安全文化，并持续满足业务变化的速率。

强化供应链安全：应对下一波恶意软件攻击的技术指南

Thu, 01 Jan 2026 00:41:05 +0800

强化供应链安全：为下一波恶意软件攻击做好准备

开源生态系统持续面临有组织、自适应的供应链威胁，这些威胁通过受损的凭证和恶意的包生命周期脚本传播。最近的例子是多波次的Shai-Hulud攻击活动。

Kaltura如何通过AWS CodeBuild托管Runner加速CI/CD流水线

Wed, 31 Dec 2025 01:05:43 +0800

如何借助AWS CodeBuild托管的Runner加速CI/CD

本文由Kaltura高级平台工程师Adi Ziv撰写，并得到了AWS的协作。

作为领先的AI视频体验云和企业通信技术提供商，Kaltura通过将GitHub Actions runner迁移到AWS CodeBuild托管服务，彻底改造了其CI/CD基础设施。这次迁移使DevOps运维开销降低了90%，构建队列时间加快了66%，基础设施成本削减了60%。最重要的是，这次迁移在支持Kaltura庞大规模的同时取得了这些成果：覆盖1000多个代码仓库、100多种不同类型的工作流，以及跨多个开发团队每日1300多次构建。

Tue, 30 Dec 2025 11:46:18 +0800

漏洞详情

包： actions / broadinstitute/cromwell (GitHub Actions)

受影响版本：

= 87, < 90

已修复版本： 90

描述

概要

BROADBOT_GITHUB_TOKEN

详情

      - name: Check for ScalaFmt Comment
        id: check-comment
        run: |

            echo "::set-output name=comment-triggered::true"
          else
            echo "::set-output name=comment-triggered::false"
          fi

在这种情况下，有可能泄露 GITHUB_TOKEN 和 BROADBOT_GITHUB_TOKEN 密钥。

Azure Pipelines 代理镜像更新详解：Ubuntu、Windows 与 macOS 版本演进

Tue, 30 Dec 2025 00:51:38 +0800

为确保 Azure Pipelines 中的托管代理在最新且安全的环境中运行，我们将持续更新支持的镜像并逐步淘汰旧版本。我们于 2024 年 10 月宣布了对 Ubuntu-24.04 的支持。很快，我们计划将 ubuntu-latest 镜像映射到 Ubuntu-24.04。此外，macOS 15 Sequoia 和 Windows 2025 镜像也将在今年晚些时候全面可用。伴随这些新版本的发布，我们将弃用 Ubuntu-20.04 和 Windows Server 2019 等旧镜像。关于各镜像的详细更新，请参阅以下子章节。

Mon, 29 Dec 2025 09:25:08 +0800

漏洞详情

包名称: actions (broadinstitute/cromwell 的 GitHub Actions) 受影响版本: >=87, <90 已修复版本: 90 严重等级: 严重 (CVSS 评分 9.1)

描述

概要

详情

- name: Check for ScalaFmt Comment
  id: check-comment
  run: |

      echo "::set-output name=comment-triggered::true"
    else
      echo "::set-output name=comment-triggered::false"
    fi

在这种情况下，可以窃取 GITHUB_TOKEN 和 BROADBOT_GITHUB_TOKEN 密钥。

IBM Concert容器构建漏洞：敏感信息明文存储风险剖析

Mon, 29 Dec 2025 04:53:46 +0800

CVE-2025-36154：IBM Concert中CWE-313文件或磁盘明文存储漏洞

严重性：中等类型：漏洞

CVE-2025-36154 IBM Concert 1.0.0 至 2.1.0 版本在递归 Docker 构建过程中以明文形式存储敏感信息，本地用户可能获取这些信息。

CVE-2025-68162：JetBrains TeamCity 中的CWE-829漏洞技术解析与缓解方案

Sun, 28 Dec 2025 23:30:17 +0800

技术摘要

CVE-2025-68162是JetBrains TeamCity（一款流行的持续集成和持续部署服务器）中发现的漏洞，具体影响2025.11之前的版本。该问题源于Maven嵌入器组件，它不适当地允许通过项目配置文件加载扩展。此行为对应于CWE-829，即包含不受信任的代码或扩展，可能危及构建过程的完整性。拥有已认证高级权限的攻击者可以通过远程方式（网络向量）利用此漏洞，无需用户交互，通过操纵项目配置来加载恶意的Maven扩展。虽然CVSS评分较低（2.7），反映了对机密性和可用性的有限影响，但构建的完整性可能受到破坏，可能导致恶意代码被引入软件制品中。截至目前，尚无公开漏洞利用或主动利用的报告。该漏洞在使用TeamCity自动化软件构建和部署的环境中尤其相关，因为它可能促进供应链攻击或在构建管道内进行未经授权的代码执行。缺少补丁链接表明修复措施包括升级到JetBrains指出的已修复版本2025.11或更高版本。组织还应审查并收紧项目配置管理周围的权限，以防止未经授权的更改。

BlazeMeter Jenkins插件存在授权缺失漏洞CVE-2025-13472深度解析

Sun, 14 Dec 2025 17:25:28 +0800

BlazeMeter Jenkins 插件存在对可用资源的授权缺失问题 · CVE-2025-13472 · GitHub 安全公告数据库

漏洞详情

包管理器： Maven 受影响的包： com.blazemeter.plugins:BlazeMeterJenkinsPlugin

受影响版本： < 4.27 已修复版本： 4.27

漏洞描述

在 BlazeMeter Jenkins 插件 4.27 版本中实施了一项修复，旨在仅允许拥有特定权限的用户查看可用资源列表，例如凭据ID、bzm工作空间和bzm项目ID。在此修复之前，任何人都可以在Jenkins用户界面的下拉列表中看到此列表。

深入解析JetBrains TeamCity路径泄露漏洞：CVE-2025-67739技术分析与修复指南

Sun, 14 Dec 2025 05:55:42 +0800

漏洞概述

CVE-2025-67739 是JetBrains TeamCity持续集成和持续部署（CI/CD）服务器中发现的一个安全漏洞[citation:1]。该漏洞影响 2025.11.2之前的所有版本。其根本原因是对仓库URL的验证存在缺陷，被归类为 CWE-939（数据查询逻辑中特殊元素的不恰当中和）[citation:1]。

为AI智能体重构软件供应链：从持续集成到持续智能

Wed, 10 Dec 2025 11:07:10 +0800

重新思考智能体的软件供应链

近期一项MIT研究报告指出，仅有约5%的生成式AI应用正在创造真实、可衡量的商业价值。在我看来，这并非雄心壮志的失败。恰恰相反，大多数团队都在积极进行实验。问题在于，我们用来交付软件的基础系统尚未适应AI的本质。

部署安全实践：Slack如何通过技术革新降低变更对客户的影响

Wed, 10 Dec 2025 10:01:01 +0800

部署安全：降低变更对客户的影响

2023年中期，我们发现了一些提升可靠性的机会。快进到2025年1月，客户受影响时长已从峰值减少了90%，并持续呈下降趋势。Slack的“部署安全”项目已开展一年半，它改进了我们的部署方式，提升了安全文化，并保持了满足业务需求的变更速度。

使用 GitHub Actions 流水线自动化部署 FastAPI

Wed, 10 Dec 2025 05:55:24 +0800

使用 GitHub Actions 流水线自动化部署 FastAPI

手动部署 FastAPI 应用很快就会变得繁琐。你需要 SSH 到服务器、拉取最新代码、重启服务，并祈祷一切正常。也许你会记得先运行测试，也许不会。只要漏掉一个环境变量或跳过一项测试，你的 API 就可能宕机。用户会收到 500 错误，而你则需要手忙脚乱地重新 SSH 进去修复。

Dependabot更新作业现支持自定义标签，实现更精细的Actions运行器控制

Tue, 09 Dec 2025 00:21:12 +0800

Dependabot更新作业现支持在组织级别配置自定义标签，以实现更精细的Actions运行器控制

Dependabot更新作业现在可以使用自定义标签来定向特定的自托管和大型GitHub托管的Actions运行器。此前，Dependabot需要固定的 dependabot 标签。此项变更为您提供了更精细的控制能力，改善了在限定使用单一标签（例如某些基于Kubernetes的运行器控制器）环境中的治理，并允许您通过在组织级别为运行器设置自定义标签来基于安全或性能分割工作负载。

Slack部署安全工程：如何通过自动化将变更影响降低90%

Mon, 08 Dec 2025 12:57:52 +0800

部署安全：减少变更对客户的影响

2023年中，我们发现了提升系统可靠性的机会。时间快进到2025年1月，客户影响时长已从峰值降低了90%，并且持续呈下降趋势。我们在Slack实施“部署安全计划”已有一年半，该计划旨在改进我们的部署方式，提升安全文化，并保持变革速度以满足业务需求。

重构面向智能体的软件供应链：从持续集成到持续智能

Sat, 06 Dec 2025 23:19:49 +0800

重新思考面向智能体的软件供应链

近日，一项MIT研究报告指出，大约只有5%的生成式AI应用创造了真实、可衡量的商业价值。在我看来，这并非雄心壮志的失败。恰恰相反，大多数团队都在积极地进行实验。问题在于，我们用来交付软件的底层系统尚未适应AI的真正本质。

使用GitHub Actions将Docker镜像推送至AWS ECR的完整指南

Sat, 06 Dec 2025 20:57:16 +0800

使用GitHub Actions将Docker镜像推送至AWS Elastic Container Repository

GitHub Actions能够在同一个GitHub仓库内通过工作流实现CI/CD（持续集成/持续部署）过程，以构建、测试和部署代码。GitHub Actions可以构建镜像并将其推送到AWS和Docker Hub等云提供商。我们可以选择不同的操作系统平台（Windows或Linux）来运行工作流。

PyPI发布GitHub Action存在表达式注入漏洞，或导致任意代码执行

Thu, 04 Dec 2025 16:32:40 +0800

漏洞详情

摘要

gh-action-pypi-publish 在某些上下文中使用了 GitHub Actions 的表达式扩展（即 ${{ ... }}），而这些上下文可能受到攻击者的控制。根据调用 gh-action-pypi-publish 所使用的触发事件，这可能允许攻击者在调用 gh-action-pypi-publish 的工作流步骤上下文中执行任意代码。

GitLab紧急补丁修复CI/CD凭证窃取与未认证DoS攻击漏洞

Thu, 04 Dec 2025 06:17:07 +0800

GitLab补丁：修复CI/CD凭证窃取与未认证DoS攻击

GitLab今日发布了影响其社区版和企业版的重要安全更新。此次更新修复了多个高危漏洞，范围从未认证的拒绝服务攻击到CI/CD管道内的权限提升。

使用GitHub Actions将Docker镜像推送至AWS弹性容器仓库

Wed, 03 Dec 2025 23:49:58 +0800

如何使用GitHub Actions将Docker镜像推送至AWS弹性容器仓库（ECR）

GitHub Actions支持CI/CD（持续集成/持续部署）流程，可以在GitHub仓库内通过工作流构建、测试和部署代码。GitHub Actions可以构建镜像并将其推送到云服务商（如AWS和Docker Hub）。我们可以选择不同的操作系统平台（Windows或Linux）来运行工作流。

优化构建性能：Slack如何利用Bazel与软件工程原则重塑构建流水线

Wed, 03 Dec 2025 21:23:39 +0800

构建更优软件以更好地构建软件

我们管理着负责交付Quip和Slack Canvas后端的构建流水线。一年前，我们正在追寻令人兴奋的想法，以帮助工程师更快地交付更好的代码。但我们面临一个巨大的问题：构建耗时60分钟。构建速度如此之慢，导致整个流水线敏捷性下降，反馈到工程师那里也过晚。

重新思考智能体时代的软件供应链

Thu, 27 Nov 2025 10:18:36 +0800

重新思考智能体的软件供应链

最近的MIT研究报告显示，只有约5%的生成式AI应用正在创造真实、可衡量的商业价值。在我看来，这不是雄心的失败。大多数团队都在积极进行实验。问题在于我们用来交付软件的基础系统尚未适应AI的实际特性。

系统可靠性工程实践：从故障中构建韧性架构

Thu, 27 Nov 2025 08:08:53 +0800

系统可靠性：从被动应对到主动设计

当10月份的大规模AWS中断导致Signal、Snapchat、ChatGPT、Zoom、Lyft、Slack、Reddit、麦当劳、美联航甚至Duolingo等全球服务瘫痪时，这暴露了云优先运营的脆弱性。在当今云优先的世界中，任何系统都可能发生故障。随着企业将业务分布到全球云平台上，问题不再是"系统是否会故障"，而是"它们能多快恢复以及系统设计得有多智能"。

GitHub Actions供应链攻击：CVE-2025-30066漏洞分析与修复指南

Wed, 26 Nov 2025 06:21:48 +0800

CVE-2025-30066：tj-actions/changed-files供应链攻击分析

漏洞概述

tj-actions/changed-files 在45.0.7及之前版本存在高危漏洞，允许远程攻击者通过读取Actions日志发现敏感机密信息。该漏洞已被评定为高危级别，CVSS评分为8.6。

使用Azure DevOps Pipelines实现从开发到生产的无缝部署

Wed, 26 Nov 2025 04:05:19 +0800

环境特定的基础设施

基础设施方法与之前GitHub Actions实现完全相同。它使用带单个envType参数的条件性Bicep部署，驱动环境特定的资源配置。相同的Bicep模板在两个CI/CD平台上都能无缝工作。

从流水线变量迁移到流水线输入：提升CI/CD安全性的完整指南

Thu, 20 Nov 2025 22:20:30 +0800

从流水线变量迁移到流水线输入

为更好的安全性迁移

流水线变量长期以来一直是运行时自定义 GitLab CI/CD 流水线的便捷方式。然而，随着 CI/CD 安全最佳实践的发展，我们认识到需要对流水线自定义进行更强的控制。无限制的流水线变量允许任何具有流水线触发权限的用户在没有验证或类型检查的情况下覆盖值。

Azure Pipelines代理镜像即将更新：Ubuntu、Windows和macOS全面升级

Thu, 20 Nov 2025 06:11:59 +0800

Ubuntu

Ubuntu 24.04

自去年10月起，Ubuntu-24.04 Pipelines镜像已可用。我们计划很快将ubuntu-latest镜像映射到Ubuntu-24.04。此更改后，所有使用ubuntu-latest镜像的作业将在ubuntu-24.04上运行，而不是ubuntu-22.04。请注意，某些工具在Ubuntu-24.04镜像上不再可用。

Mozilla CI日志意外暴露微软x-apikey安全事件分析

Wed, 19 Nov 2025 03:17:51 +0800

报告 #3243860 - 微软 `x-apikey` 在Mozilla CI公共日志中暴露

摘要

在公开可访问的Mozilla持续集成（CI）日志中发现了一个微软遥测API密钥（x-apikey）。该密钥出现在自动化Firefox测试期间发送到微软遥测端点的HTTP POST请求中，并通过mitmproxy日志被捕获。

GitHub Actions供应链攻击：CVE-2025-30066漏洞分析与修复指南

Wed, 19 Nov 2025 02:27:42 +0800

CVE-2025-30066：tj-actions/changed-files供应链攻击分析

漏洞概述

tj-actions/changed-files GitHub Action在45.0.7及之前版本存在严重供应链攻击漏洞，攻击者通过篡改多个版本标签指向恶意提交，导致CI/CD机密信息在工作流日志中暴露。该漏洞在2025年3月14日至15日期间活跃，已影响超过23,000个代码仓库。

恶意npm包潜入GitHub Actions构建链的技术分析

Sun, 16 Nov 2025 11:18:22 +0800

恶意npm包潜入GitHub Actions构建过程

攻击概述

一个名为“@acitons/artifact”的恶意npm包被发现仿冒合法的“@actions/artifact”模块，直接针对GitHub Actions工作流中的CI/CD流水线。

Azure Pipelines 代理镜像更新指南：Ubuntu、Windows与macOS全面升级

Wed, 12 Nov 2025 06:22:46 +0800

Azure Pipelines 代理镜像即将更新

为确保Azure Pipelines托管代理在最新、最安全的环境中运行，我们将持续更新支持的镜像并逐步淘汰旧版本。2024年10月，我们宣布了对Ubuntu-24.04的支持。很快，我们计划将ubuntu-latest镜像映射至Ubuntu-24.04。此外，macOS 15 Sequoia和Windows 2025镜像将于今年晚些时候全面可用。伴随这些新版本的发布，我们将弃用Ubuntu-20.04和Windows Server 2019等旧镜像。请参考以下各小节了解具体镜像的详细更新信息。

使用Playwright与Azure DevOps实现自动化UI测试的完整指南

Mon, 10 Nov 2025 16:25:56 +0800

介绍

现代Web应用程序需要一致、可靠的跨浏览器测试来确保质量。Playwright已迅速成为端到端自动化的领先工具，提供速度、灵活性以及对当今浏览器和框架的开箱即用支持。另一方面，Azure DevOps提供了微软强大的基于云的CI/CD解决方案。当两者结合时，它们为构建可靠、可扩展的自动化UI测试流水线奠定了强大基础。

GitHub Actions供应链攻击：CVE-2025-30066漏洞分析与修复指南

Sun, 09 Nov 2025 16:45:44 +0800

CVE-2025-30066：tj-actions changed-files供应链攻击分析

漏洞概述

tj-actions/changed-files 在45.0.7及之前版本存在高危漏洞，允许远程攻击者通过读取Actions日志发现敏感机密信息。该漏洞被评定为高危级别，CVSS评分为8.6。

统一CI/CD接口：战略性的DevOps加速方案

Sat, 08 Nov 2025 23:47:15 +0800

背景

技术正在快速发展，组织必须持续适应以保持竞争力。一个关键的演进领域是CI/CD（持续集成/持续部署）方法，它在加速软件交付中扮演着关键角色。各种CI/CD工具如Jenkins、Bamboo和Cloud Build提供了强大的功能，随着这些新平台的发布，团队通常会考虑迁移以提升效率、可扩展性和成本效益。

Slack端到端测试管道优化：构建时间减半的技术实践

Wed, 05 Nov 2025 22:30:41 +0800

在DevOps和开发体验（DevXP）领域，速度和效率对工程师的日常工作有着重大影响。今天，我们将深入探讨Slack的DevXP团队如何利用现有工具优化端到端（E2E）测试管道，降低构建时间并减少冗余流程，为Slack工程师节省时间和资源。

Slack如何优化端到端测试流水线：构建时间减半的技术实践

Wed, 05 Nov 2025 01:18:53 +0800

在 DevOps 和开发者体验（DevXP）领域，速度和效率对工程师的日常工作有着重大影响。今天，我们将深入探讨 Slack 的 DevXP 团队如何利用现有工具优化端到端（E2E）测试流水线。这一优化降低了构建时间，减少了冗余流程，为 Slack 的工程师节省了时间和资源。

演进黄金路径：实现无中断升级的技术实践

Fri, 31 Oct 2025 19:15:14 +0800

演进黄金路径：实现无中断升级

平台团队再次发布了新版本的黄金路径——更简洁的模板、更好的防护栏、更流畅的CI/CD。但刚推出不久，消息就开始涌入：“我的流水线坏了！”“新模块与我们的设置不兼容！”

Slack部署安全实践：如何通过自动化降低变更对客户的影响

Fri, 31 Oct 2025 17:29:50 +0800

部署安全：减少变更对客户的影响

2023年中，我们识别了提升可靠性的机会。到2025年1月，客户影响时间从峰值减少了90%并持续下降。经过一年半的部署安全计划，我们改进了部署方式，提升了安全文化，同时保持业务所需的变更速度。

CI/CD最佳实践与现代趋势深度解析

Mon, 27 Oct 2025 17:58:59 +0800

探索CI/CD最佳实践与现代趋势

CI/CD是现代软件开发的重要组成部分，如自动化、更高质量和更快的上市时间。然而，我们不应忘记安全性。

让我们从统计数据开始：持续集成、部署和交付是2024年和2025年IT投资的首要任务之一。确切地说，根据GitLab的2024年全球DevSecOps报告，它排名第8位（而安全性是最高优先级！）。然而，这并不应该令人惊讶，因为CI/CD实践为IT团队带来了很多好处——它有助于加速软件交付并更早地检测漏洞和错误。

在CI构建中验证OAS 3规范的技术实践

Sat, 25 Oct 2025 23:06:26 +0800

OAS 3 YAML文件是标准的核心。因此，我们必须始终保持其正确性，特别是在每个拉取请求中确保其有效性。不同标准在参考实现的合规性测试方面有不同级别，但有一点是相同的——我们希望作为持续集成的一部分，对每个拉取请求验证规范。本文描述了如何实现这一点。

使用Azure DevOps管道实现从开发到生产的无缝部署

Wed, 22 Oct 2025 22:27:24 +0800

Azure Developer CLI：通过Azure DevOps管道实现从开发到生产

基于我们之前关于使用GitHub Actions实现开发到生产推广的帖子，这篇后续文章演示了使用Azure DevOps管道的相同"一次构建，随处部署"模式。您将学习如何利用Azure DevOps YAML管道与Azure Developer CLI（azd）。这种方法确保跨环境的一致、可靠部署。

CI中的偶发故障排查：Python输出缓冲与Bash管道故障的意外交互

Wed, 22 Oct 2025 19:12:32 +0800

CI中的偶发故障：深入排查"Docker Compose服务不存在"错误

今天我在Materialize CI中分析了一个偶发性测试失败：

1
2
3

$ docker compose up -d --scale default=0 default
no such service: default
mzcompose: error: running docker compose failed (exit status 1)

过去一年中我见过这个错误一两次，但在我们的持续集成（CI）运行中极其罕见，且从未在本地发生。通常有更紧迫的产品问题需要调试，所以我从未深入研究。但上周我将大部分CI测试切换到Hetzner Cloud而不是AWS以节省成本，突然这个问题在CI中开始更频繁出现，因此我认为这必定与时间有关。

使用Azure DevOps Pipelines实现从开发到生产的无缝部署

Wed, 22 Oct 2025 07:02:14 +0800

Azure Developer CLI：使用Azure DevOps Pipelines实现从开发到生产部署

基于我们之前关于使用GitHub Actions实现开发到生产推广的帖子，这篇后续文章演示了使用Azure DevOps Pipelines的相同"一次构建，随处部署"模式。您将学习如何利用Azure DevOps YAML管道与Azure Developer CLI（azd）。这种方法确保跨环境的一致、可靠部署。

GitLab DAST 全面指南：动态应用安全测试实战

Sat, 18 Oct 2025 01:19:11 +0800

GitLab DAST 全面指南

现代企业完全依赖基于网络的平台进行客户互动、金融交易、数据处理和核心业务运营。随着数字化转型加速和远程或混合工作成为常态，Web应用程序的攻击面已大幅扩展，使其成为网络犯罪分子的主要目标。因此，保护Web应用程序变得比以往任何时候都更加关键。

使用Azure DevOps Pipelines实现从开发到生产的无缝部署

Sat, 18 Oct 2025 00:22:14 +0800

Azure Developer CLI: 使用Azure DevOps Pipelines实现从开发到生产部署

基于我们之前关于使用GitHub Actions实现开发到生产环境提升的博文，本篇后续文章演示了使用Azure DevOps Pipelines实现相同的"一次构建，随处部署"模式。您将学习如何利用Azure DevOps YAML流水线与Azure Developer CLI（azd）结合使用。这种方法确保跨环境的一致、可靠部署。

使用每运行身份保障CI/CD管道安全

Wed, 15 Oct 2025 07:13:30 +0800

使用每运行身份保障CI/CD管道安全

如果一个主体可以做任何事情，那么一个错误就可以毁掉一切。

我读过太多事故报告，其中"自动化用户"最终成为了攻击者最好的朋友。一个令牌。所有门禁。代码、制品、生产环境。

crates.io 开发更新：可信发布与动态图像生成

Tue, 14 Oct 2025 23:21:53 +0800

crates.io：开发更新

2025年7月11日 · Tobias Bieniek
代表 crates.io 团队

自2025年2月上次开发更新以来，我们持续对crates.io进行了重大改进。在这篇博客文章中，我们将向您介绍过去几个月中对crates.io所做的最新更改。

使用GitLab和Ansible构建网络感知CI/CD流水线实战指南

Tue, 14 Oct 2025 18:23:49 +0800

构建网络感知CI/CD流水线：GitLab与Ansible实战

自动化已成为企业网络管理的重要组成部分。无论网络采用何种自动化方式，其CI/CD流水线都应具备网络感知能力。

在网络感知CI/CD流水线中，意味着在推送新配置时需要检查现网关键配置。了解如何构建网络自动化需求以进行现网状态检查，有助于确保每个变更都经过验证且可回滚。Ansible剧本、Python或GoLang代码可以验证现网状态，并使用GitLab、Jenkins或GitHub Actions等工具执行。

使用GitLab和Ansible构建网络感知CI/CD流水线

Sat, 11 Oct 2025 11:37:26 +0800

如何用GitLab和Ansible构建网络感知CI/CD流水线

自动化正成为组织网络中常见的流程。无论网络使用何种类型的自动化，其CI/CD流水线都应该是网络感知的。

在网络感知的CI/CD流水线中，意味着在推送新配置时需要检查实时的关键配置。了解如何构建网络自动化需求以进行实时网络状态检查，有助于确保每个变更都经过验证且可逆。Ansible playbook、Python或GoLang代码可以验证实时网络状态，并使用GitLab、Jenkins或GitHub Actions等工具执行它们。

利用AI实现Jenkins到GitHub Actions的自动化迁移

Sat, 11 Oct 2025 07:34:40 +0800

在过去的几个月里，Slack的CI基础设施经历了激动人心的变革。由于开发人员对Jenkins的诸多不满（从安全问题、停机时间到普遍较差的用户体验），内部压力促使我们将大部分CI任务从Jenkins迁移到GitHub Actions。

一键部署：Azure Developer CLI实现从开发到生产的无缝衔接

Thu, 09 Oct 2025 13:17:17 +0800

环境特定基础设施

在跨环境部署应用程序时，会出现不同的要求：

组件	开发环境	生产环境
网络	公共访问	VNet集成 + 私有端点
存储	带限制的公共访问	仅私有端点
应用服务计划	B2 Basic	S1 Standard
安全	托管身份	增强网络隔离

我们可以使用基于环境变量自适应的一组Bicep文件，而不是为每个环境维护单独的基础设施模板或复杂的配置文件。这种方法在保持部署简单一致的同时消除了基础设施漂移。

使用WebSockets大幅提升GitLab CI状态更新效率

Wed, 08 Oct 2025 17:34:39 +0800

我们如何使用WebSockets大幅提升GitLab CI状态更新效率

我们刚刚将GitLab CI作业状态更新的API调用减少了92.56%——从每日4500万次调用降至340万次。用户现在可以即时看到作业状态变化，而不再需要等待长达半分钟。以下是我们的实现方法。

GitLab DAST 全面指南：动态应用安全测试实战

Tue, 07 Oct 2025 15:42:53 +0800

现代企业完全依赖基于网络的平台进行客户互动、金融交易、数据处理和核心业务运营。随着数字化转型加速和远程或混合工作成为常态，Web应用程序的攻击面急剧扩大，使其成为网络犯罪分子的主要目标。因此，保护Web应用程序的安全变得比以往任何时候都更加关键。

Azure开发者CLI：一键从开发到生产环境部署

Sun, 05 Oct 2025 17:47:52 +0800

环境特定基础设施

在跨环境部署应用程序时，会出现不同的需求：

组件	开发环境	生产环境
网络	公共访问	VNet集成 + 私有端点
存储	带限制的公共访问	仅私有端点
应用服务计划	B2基础版	S1标准版
安全性	托管身份	增强网络隔离

我们可以使用基于环境变量自适应的一组Bicep文件，而不是为每个环境维护单独的基础设施模板或复杂的配置文件。这种方法消除了基础设施漂移，同时保持部署简单一致。

Azure开发者CLI：一键从开发环境部署到生产环境

Sun, 05 Oct 2025 09:04:27 +0800

环境特定基础设施

在跨环境部署应用程序时，会出现不同的要求：

组件	开发环境	生产环境
网络	公共访问	VNet集成 + 私有端点
存储	带限制的公共访问	仅私有端点
应用服务计划	B2基础版	S1标准版
安全	托管身份	增强的网络隔离

GitLab如何革新嵌入式系统测试周期

Fri, 03 Oct 2025 13:44:44 +0800

GitLab如何革新嵌入式系统测试周期

嵌入式开发人员对这个循环非常熟悉：编写代码，等待数天或数周在硬件测试台上进行测试，发现错误，修复错误，然后再次等待。虚拟测试环境承诺提供更快的反馈，但大多数实现会带来新的问题，例如环境蔓延和成本上升。

一键部署：Azure Developer CLI实现从开发到生产的无缝衔接

Wed, 01 Oct 2025 23:25:10 +0800

Azure Developer CLI：一键从开发到生产

本文介绍了如何使用Azure Developer CLI（azd）实现"一次构建，到处部署"模式，该模式可配置环境特定的基础设施，并使用相同的构建工件将应用程序从开发环境推广到生产环境。您将学习如何使用条件化Bicep部署、环境变量注入、跨环境包保留以及从开发到生产的自动化CI/CD推广。

Slack如何将端到端流水线构建时间减半

Wed, 01 Oct 2025 15:11:08 +0800

在 DevOps 和开发体验（DevXP）领域，速度和效率对工程师的日常工作有着重大影响。今天，我们将深入探讨 Slack 的 DevXP 团队如何利用现有工具优化端到端（E2E）测试流水线。这一优化降低了构建时间，减少了冗余流程，为 Slack 的工程师节省了时间和资源。

Rails测试套件与CI时间减半优化实战

Tue, 30 Sep 2025 23:44:17 +0800

The Whop Chop：我们如何将Rails测试套件和CI时间减半

第一部分：性能分析与隐藏的日志问题

在修复缓慢的测试套件之前，必须了解时间实际消耗在哪里。猜测是浪费时间，性能分析至关重要。我们本次调查的主要工具是TestProf和强大的StackProf采样分析器。

使用WebSockets超级加速GitLab CI状态更新

Tue, 30 Sep 2025 17:46:04 +0800

使用WebSockets超级加速GitLab CI状态更新

我们刚刚将GitLab CI作业状态更新的API调用减少了92.56%——从每日4500万次降至340万次。用户现在可以即时看到作业状态变化，而无需等待长达半分钟。以下是我们的实现方法。

使用Azure DevOps流水线实现从开发到生产的无缝部署

Sun, 28 Sep 2025 22:45:06 +0800

Azure Developer CLI：通过Azure DevOps流水线实现从开发到生产

基于我们之前关于使用GitHub Actions实现开发到生产推广的帖子，这篇后续文章演示了使用Azure DevOps流水线实现相同的"一次构建，随处部署"模式。您将学习如何利用Azure DevOps YAML流水线与Azure Developer CLI（azd）。这种方法确保跨环境的一致、可靠部署。

用可追溯性锚定敏捷开发：从需求到结果的全链路追踪

Thu, 25 Sep 2025 22:02:00 +0800

敏捷是软件开发领域最广泛采用的项目管理方法之一，因为它使团队能够增量交付、快速适应变化，并优先考虑协作而非僵化流程。然而，敏捷快速变化的特性也暴露了其弱点之一：可追溯性。

漏洞赏金侦察：JavaScript泄露令牌、PII和CI/CD元数据

Tue, 23 Sep 2025 14:36:21 +0800

引言

我在随意浏览一个公共教育网站时，意外发现了一个包含敏感内部数据的JavaScript文件。起初我以为这只是个残留的调试脚本，但继续翻阅后情况变得愈发有趣（也令人担忧）。

可信发布：提升软件包安全性的新标杆

Mon, 22 Sep 2025 23:25:56 +0800

可信发布：提升软件包安全性的新标杆

在过去一年中，我们与Python软件包索引（PyPI）合作，引入了一种名为“可信发布”的新型安全身份验证方法。可信发布消除了对长期API令牌和密码的需求，降低了供应链攻击和凭证泄露的风险，同时简化了发布工作流程。PyPI上的关键软件包已经开始使用可信发布来使其发布过程更加安全。

7步指南：在组织内高效引入Semgrep代码安全扫描工具

Thu, 18 Sep 2025 16:19:28 +0800

如何向组织引入Semgrep - Trail of Bits博客

Semgrep是一款用于在30多种语言中查找错误和特定代码模式的静态分析工具，以其易用性、丰富的内置规则和轻松创建自定义规则的能力而脱颖而出。我们认为它是发现代码库中安全问题的必备自动化工具。既然Semgrep可以直接提高代码安全性，很容易说"直接用吧！“但这具体意味着什么？

7步指南：如何在组织中高效引入Semgrep静态代码分析工具

Thu, 18 Sep 2025 14:31:11 +0800

如何在组织中引入Semgrep - Trail of Bits博客

Semgrep是一款用于在30多种语言中查找错误和特定代码模式的静态分析工具，以其易用性、丰富的内置规则和轻松创建自定义规则的能力脱颖而出。我们认为它是发现代码库安全问题的必备自动化工具。既然Semgrep能直接提升代码安全性，很容易就会说"直接用吧！“但这具体意味着什么？

社区驱动的osquery分支osql：重塑开源终端管理工具生态

Thu, 18 Sep 2025 11:52:26 +0800

宣布社区导向的osquery分支项目osql - Trail of Bits博客

Mike Myers | 2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移至Facebook内部工具链。他们的目标是提升代码质量、增加测试覆盖度，并将项目转向更模块化的架构。但实际上，这些变更牺牲了对多种架构、操作系统以及众多开发者工具的支持——这些工具原本与开源C++社区首选的标准构建系统完美集成。

强化关键环境中的CI/CD管道安全：YouShallNotPass开源解决方案

Thu, 18 Sep 2025 11:19:30 +0800

YouShallNotPass! 强化关键环境中的CI/CD管道

引言

在Kudelski Security（KS），我们广泛使用自托管的GitLab实例来管理所有代码库，包括应用程序、云环境配置和用户管理。通过GitLab CI/CD，我们运行测试、构建和部署到各种环境，并通过API管理安全设备。

七步指南：如何在企业内高效引入Semgrep静态代码分析工具

Thu, 18 Sep 2025 09:43:06 +0800

如何向组织引入Semgrep - Trail of Bits博客

Semgrep是一款用于在30多种语言中查找错误和特定代码模式的静态分析工具，其突出优势在于易用性、丰富的内置规则以及轻松创建自定义规则的能力。我们认为它是发现代码库安全问题的必备自动化工具。虽然Semgrep能直接提升代码安全性，但如何有效实施需要系统规划。

CNCF 实现 Arm64 与 x86 平台构建平等性重大突破

Thu, 18 Sep 2025 07:24:00 +0800

CNCF 实现 Arm64 与 x86 平台构建平等性重大突破

挑战

为 Arm64 架构开发开源软件需要一个强大的 CI/CD 环境。然而，历史上 Arm64 和传统 x86 处理器架构的支持水平存在差距，Arm64 通常处于劣势。为多架构开发基础设施组件的开发者对其工作环境有以下期望：

持续集成之道：构建可靠高效的开发流水线

Thu, 18 Sep 2025 01:02:37 +0800

持续集成之道

现代软件开发中有一个不言而喻的真理：健壮的持续集成（CI）系统是必不可少的。但许多项目却饱受脆弱CI系统之苦，这些系统让开发人员感到沮丧，并严重阻碍了开发速度。为什么会这样？你能做些什么来避免常见的CI陷阱？

Homebrew安全审计：揭示包管理器与CI/CD中的潜在风险

Wed, 17 Sep 2025 19:36:46 +0800

我们对Homebrew的审计 - The Trail of Bits博客

William Woodruff
2024年7月30日
research-practice

这是一篇与Homebrew维护者联合发布的文章；请在此处阅读他们的公告！

去年夏天，我们对Homebrew进行了一次审计。审计范围包括Homebrew/brew本身（brew CLI的所在地），以及三个负责Homebrew操作中各种安全相关方面的相邻仓库：

初始访问行动第二部分：攻击性DevOps

Wed, 17 Sep 2025 10:47:11 +0800

初始访问行动第二部分：攻击性DevOps

挑战

正如本博客第一部分所述，成熟组织中的Windows终端防御技术栈对红队初始访问行动构成了挑战。在高度检测环境中实现初始访问成功，通常需要满足以下最低工件使用标准：

端到端软件供应链安全实践指南

Sat, 13 Sep 2025 14:57:59 +0800

端到端软件供应链安全实践指南

编辑注：本文是为DZone的《2025趋势报告：软件供应链安全——增强软件开发生命周期的信任与韧性》撰写并发表的文章。

软件供应链已迅速演变为关键漏洞点和恶意行为者的主要目标。随着2025年的进展，组织面临着日益复杂和动态变化的威胁环境。本文提供了一个实用的软件供应链安全检查清单，并阐明了零信任的关键作用。

专业级GitHub渗透指南：OSINT与CI/CD漏洞利用终极手册

Fri, 12 Sep 2025 16:42:41 +0800

GitHub不仅仅是代码托管平台——如果你知道在哪里（以及如何）寻找，它还是泄露密钥、脆弱工作流、暴露API和破损访问控制的宝库。本指南深入探讨各种攻击角度，结合OSINT、CI/CD滥用、配置错误和真实世界漏洞利用链，仅使用GitHub作为你的攻击面。

社区驱动的osquery分支osql：重塑开源终端管理工具

Thu, 11 Sep 2025 23:16:41 +0800

宣布社区导向的osquery分支：osql - The Trail of Bits博客

Mike Myers | 2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移至Facebook内部工具链。他们的本意是提升代码质量、增加测试并实现更模块化的架构。但实际改动牺牲了对多种架构、操作系统以及众多开发者工具的支持——这些工具原本与开源C++社区偏好的标准构建系统完美集成。

可信发布：提升软件包安全性的新标杆

Thu, 11 Sep 2025 04:31:59 +0800

可信发布：提升软件包安全性的新标杆

在过去一年中，我们与Python Package Index（PyPI）合作，引入了一种名为“可信发布”的新型安全认证方法。可信发布消除了对长期API令牌和密码的需求，降低了供应链攻击和凭据泄露的风险，同时简化了发布工作流程。PyPI上的关键包已经使用可信发布来使其发布过程更加安全。

社区驱动的osquery分支osql：开源监控工具的新篇章

Thu, 11 Sep 2025 03:41:45 +0800

宣布社区导向的osquery分支：osql - Trail of Bits博客

Mike Myers
2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移，并整合到Facebook内部工具链中。他们的意图是提升代码质量、实施额外测试，并将项目转向更模块化的架构。然而，这些变化牺牲了对多种架构、操作系统以及众多开发者工具的支持，这些工具仅与开源C++社区偏好的标准构建系统良好集成。

Homebrew安全审计：揭示包管理器与CI/CD的潜在风险

Thu, 11 Sep 2025 03:30:50 +0800

我们对Homebrew的审计 - The Trail of Bits博客

William Woodruff
2024年7月30日
研究实践

这是一篇与Homebrew维护者联合发布的文章；请在此处阅读他们的公告！

去年夏天，我们对Homebrew进行了一次审计。审计范围包括Homebrew/brew本身（brew CLI的所在地），以及三个负责Homebrew操作中各种安全相关方面的相邻仓库：

社区驱动的osquery分支osql：重塑开源终端管理工具

Thu, 11 Sep 2025 01:36:40 +0800

宣布社区导向的osquery分支：osql

Mike Myers | 2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移至Facebook内部工具链。他们的目标是提升代码质量、增加测试覆盖率，并使项目转向更模块化的架构。然而，这些变更牺牲了对多种架构、操作系统以及众多开发者工具的支持，这些工具原本与开源C++社区偏爱的标准构建系统无缝集成。

CNCF 推动 Arm64 与 x86 平台对等性突破：GitHub Actions 原生支持与微虚拟机革新

Tue, 09 Sep 2025 22:48:54 +0800

CNCF 触发 Arm64 与 x86 平台对等性突破

挑战

为 Arm64 架构开发开源软件需要强大的 CI/CD 环境。然而，历史上 Arm64 与传统 x86 处理器架构的支持水平存在差距，Arm64 通常处于劣势。多架构基础设施组件的开发者对其工作环境有以下期望：

揭秘Trail of Bits测试手册：高效利用静态与动态分析工具

Tue, 09 Sep 2025 01:43:47 +0800

宣布推出Trail of Bits测试手册

Trail of Bits很高兴宣布推出《测试手册》，这是开发者和安全专业人士从我们在Trail of Bits使用的静态和动态分析工具中获取最大价值的最短路径。

MLH生产工程实习经验分享：从手动部署到Docker容器化

Mon, 08 Sep 2025 16:33:41 +0800

背景

作为一名对全栈开发只有基础理解的大学生，我一直依赖Vercel或Netlify等托管平台来部署项目。虽然我一直对CI/CD的工作原理感到好奇，但学习的机会从未真正出现。至少直到最近才出现。7周前，我开始了今年夏季MLH生产工程实习项目的旅程，从那以后我学到了很多。

社区驱动的osquery分支osql：重塑开源端点监控工具生态

Mon, 08 Sep 2025 11:49:30 +0800

宣布社区导向的osquery分支：osql - The Trail of Bits博客

Mike Myers | 2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移至Facebook内部工具链。他们的本意是提升代码质量、增加测试覆盖率，并使项目转向更模块化的架构。但实际上，这些变更牺牲了对多种架构、操作系统以及与开源C++社区首选标准构建系统良好集成的开发者工具的支持。

OpenTelemetry与Ampere合作提升Arm64代码完整性的技术实践

Mon, 08 Sep 2025 09:03:48 +0800

OpenTelemetry如何通过与Ampere合作提升Arm64代码完整性

快照

挑战

软件开发者和IT管理者需要检测工具和指标来衡量软件行为。当开发者和DevOps专业人员假设软件将在单一硬件架构上运行时，可能会忽略特定架构的行为。基于Arm64的服务器（包括Ampere Altra处理器系列）相比x86提供性能改进和节能优势，但其底层架构是Arm64，在极低层级上与x86架构行为不同。

使用自定义CI/CD服务器自动化Node.js部署

Mon, 08 Sep 2025 03:54:12 +0800

使用自定义CI/CD服务器自动化Node.js部署

随着项目规模的增长，Node.js应用程序的管理和部署可能成为瓶颈。设计良好的持续集成和持续部署（CI/CD）流水线可以帮助减轻频繁更新的负担，简化依赖管理，并消除手动重启过程的需要，从而避免这些瓶颈。

CI/CD环境中的管道投毒攻击：技术解析与防御策略

Sun, 07 Sep 2025 22:22:42 +0800

背景

本研究并非旨在揭示新的发现或方法，而是遵循类似路径并验证该领域众多其他工作的发现，如OWASP基金会和Xygeni的研究。作者通过完成https://github.com/cider-security-research/cicd-goat靶场中关于特定攻击向量的实践，亲身体验了这一过程并得出了自己的结果和示例。完整资源列表可在博客文章末尾找到。

端到端保护软件供应链的实用步骤

Sun, 07 Sep 2025 20:10:52 +0800

端到端保护软件供应链的实用步骤

软件供应链已迅速演变为关键漏洞点和恶意行为者的主要目标。随着2025年的进展，组织面临着日益复杂和动态的威胁环境。本文提供了一个保护软件供应链的实用清单，并阐明了零信任的关键作用。

社区导向的osquery分支osql：重塑开源终端管理工具

Sat, 06 Sep 2025 23:00:15 +0800

宣布社区导向的osquery分支：osql

Mike Myers | 2019年4月18日
engineering-practice, osquery

数月来，Facebook一直在全面重构osquery代码库，将其从CMake等标准开发工具迁移至Facebook内部工具链。他们的本意是提升代码质量、增加测试并转向更模块化的架构。但实际变化导致了对多种架构、操作系统及开源C++社区常用开发工具的支持缺失。

持续集成的道与术：构建高可用CI系统的核心指南

Sat, 06 Sep 2025 22:34:44 +0800

持续集成的道与术

现代软件开发中有一个不争的事实：健壮的持续集成（CI）系统是必不可少的。但许多项目却饱受CI系统脆弱、令开发人员沮丧并严重阻碍开发速度的困扰。这是为什么？如何避免常见的CI陷阱？

OS400 Shell脚本中的全局IFS不安全修改导致命令注入与解析缺陷（CWE-78/CWE-20）

Sat, 06 Sep 2025 22:18:34 +0800

不安全全局IFS修改在OS400 Shell脚本中导致命令注入与解析缺陷（CWE-78/CWE-20）

在curl源代码仓库中，OS400初始化脚本（packages/OS400/make-incs.sh）修改了全局shell变量IFS（内部字段分隔符），而未进行局部作用域限制或恢复。这种模式使得用户和CI/CD系统在环境或调用者受到攻击者控制或不可信时，面临意外的解析、命令注入和逻辑错误风险。以这种方式改变进程范围环境变量的shell脚本容易受到权限提升和不可预测执行的影响，特别是在涉及用户输入或自动化工具的情况下。

CNCF 实现 Arm64 与 x86 平台对等的技术突破

Sat, 06 Sep 2025 20:53:24 +0800

CNCF 实现 Arm64 与 x86 平台对等的技术突破

快照

挑战

如何在组织中高效引入Semgrep静态代码分析工具

Sat, 06 Sep 2025 16:47:38 +0800

如何在组织中引入Semgrep - Trail of Bits博客

Semgrep是一款用于在30多种语言中查找错误和特定代码模式的静态分析工具，以其易用性、丰富的内置规则和轻松创建自定义规则的能力脱颖而出。我们认为它是发现代码库安全问题的必备自动化工具。既然Semgrep能直接提升代码安全性，很容易说"直接用吧！“但这具体意味着什么？

OpenTelemetry与Ampere合作提升Arm64代码完整性的技术实践

Sat, 06 Sep 2025 12:21:28 +0800

OpenTelemetry如何通过与Ampere合作提升Arm64代码完整性

快照

挑战

软件开发人员和IT经理需要检测工具和指标来衡量软件行为。当开发人员和DevOps专业人员假设软件将在单一硬件架构上运行时，可能会忽略特定架构的行为。基于Arm64的服务器（包括Ampere Altra处理器系列）相比x86提供性能改进和节能，但其底层架构是Arm64，在极低层级上与x86架构行为不同。

Jenkins中Maven项目的自动化构建与测试配置指南

Sat, 06 Sep 2025 06:16:18 +0800

如何为Maven项目配置Jenkins作业

Jenkins是一个广泛使用的自动化服务器，在现代软件开发中扮演重要角色。它通过自动化构建、测试和部署应用程序等任务，帮助团队简化持续集成和持续交付（CI/CD）流程。

Homebrew安全审计揭示的代码执行与CI/CD漏洞

Sat, 06 Sep 2025 05:57:09 +0800

我们对Homebrew的审计 - Trail of Bits博客

Trail of Bits博客
我们对Homebrew的审计
William Woodruff
2024年7月30日
research-practice

这是一篇与Homebrew维护者联合发布的文章；请在此处阅读他们的公告！

为AWS CodeBuild管道实施深度防御安全策略

Fri, 05 Sep 2025 20:44:15 +0800

为AWS CodeBuild管道实施深度防御安全策略

最近的安全研究强调了CI/CD管道配置的重要性，如AWS安全公告AWS-2025-016中所述。本文将现有指南和建议整合到一个指南中。

大规模CI/CD：应对Monorepo混乱的智能流水线

Thu, 04 Sep 2025 19:17:38 +0800

大规模CI/CD：应对Monorepo混乱的智能流水线

你是否曾看着一个大型Monorepo心想：“我到底该怎么搞CI/CD？“如果是这样，你并不孤单。我曾经也面临过这种情况——在无尽的服务、共享库和部署目标中摸索。最终，通过正确的技术和工具，CI/CD从怪物变成了机器。

利用GitHub Actions大型运行器加速工作流

Wed, 03 Sep 2025 22:30:36 +0800

如何使用GitHub Actions大型运行器加速工作流

要使用GitHub Actions中的大型运行器，请将工作流的runs-on键更新为您所需大型运行器的相应标签。大型运行器提供比标准运行器更多的CPU、RAM和磁盘空间，适用于GitHub Team或Enterprise Cloud计划的组织。以下是使用方法：

7步指南：在组织中高效引入Semgrep提升代码安全

Wed, 03 Sep 2025 21:57:43 +0800

如何向组织引入Semgrep - Trail of Bits博客

Semgrep是一款静态分析工具，支持30多种语言的bug检测和特定代码模式识别，以其易用性、丰富的内置规则和便捷的自定义规则功能脱颖而出。我们将其视为发现代码库安全问题的必备自动化工具。既然Semgrep能直接提升代码安全性，简单地说"就用它吧！“但具体该如何操作？

Homebrew安全审计：揭示包管理器与CI/CD的潜在风险

Wed, 03 Sep 2025 13:42:11 +0800

我们对Homebrew的审计 - The Trail of Bits博客

William Woodruff
2024年7月30日
研究实践

这是一篇与Homebrew维护者联合发布的文章；请在此处阅读他们的公告！

去年夏天，我们对Homebrew进行了一次审计。审计范围包括Homebrew/brew本身（brew CLI的所在地），以及三个负责Homebrew操作中各种安全相关方面的相邻仓库：

持续集成之道：构建可靠高效的开发流程

Tue, 02 Sep 2025 15:44:19 +0800

持续集成之道

现代软件开发中有一个不言而喻的真理：健全的持续集成（CI）系统是必不可少的。但许多项目却饱受脆弱CI系统之苦，这些系统让开发人员感到沮丧，并严重阻碍开发速度。为什么会这样？如何避免常见的CI陷阱？

通过强治理扩展功能标志：敏捷开发中的实践经验

Tue, 02 Sep 2025 12:56:59 +0800

通过强治理扩展功能标志

功能标志（Feature Flags）是一种允许开发人员在运行时控制特定功能或代码块执行的技术，无需重新部署应用程序。随着工程团队加速采用敏捷实践，功能标志已成为现代前端部署策略的基石。

Homebrew安全审计：揭示包管理器与CI/CD的潜在风险

Tue, 02 Sep 2025 04:27:10 +0800

我们对Homebrew的审计 - The Trail of Bits博客

William Woodruff
2024年7月30日
研究实践

这是一篇与Homebrew维护者联合发布的文章；请在此处阅读他们的公告！

去年夏天，我们对Homebrew进行了安全审计。审计范围包括Homebrew/brew本身（brew CLI的所在地），以及负责Homebrew操作中各种安全相关方面的三个相邻仓库：

零信任CI/CD：基于身份和策略的安全流水线

Mon, 01 Sep 2025 09:47:31 +0800

现代CI/CD流水线对于快速可靠的软件交付至关重要。但随着流水线自动化开发生命周期的更多阶段——从代码验证到生产部署——它们也成为主要攻击目标。

进攻性DevOps：利用GitLab CI/CD实现自动化恶意软件生成与防御规避

Mon, 01 Sep 2025 05:21:41 +0800

初始访问操作第二部分：进攻性DevOps

挑战

在成熟组织的Windows端点防御技术栈中，红队初始访问操作面临严峻挑战。为了在高度检测环境中成功实现初始访问，生成的软件工件需满足以下最低要求：

Trail of Bits发布测试手册：Semgrep静态分析工具实战指南

Mon, 18 Aug 2025 22:09:11 +0800

Trail of Bits测试手册发布公告

Trail of Bits很高兴宣布推出《测试手册》，这是开发者和安全专业人员从我们日常使用的静态/动态分析工具中获取最大价值的捷径。

深入探索RubyGems.org生态系统：自动化维护与CI实践

Tue, 12 Aug 2025 23:21:10 +0800

We ❤️ Ruby — 2025年3月：我们对RubyGems.org生态系统的首次深度探索

作者：simi
2025年8月12日 — 捷克，布拉格

在RubyElders.com，我们致力于维护Ruby生态健康——特别是那些被数百万用户使用但可能已无人维护的热门gem。我们构建了自动化系统来分析RubyGems.org的月度下载数据，筛选出快速增长的非企业级社区项目。

OpenTelemetry如何通过与Ampere合作提升Arm64代码完整性

Sun, 10 Aug 2025 05:33:26 +0800

OpenTelemetry如何通过与Ampere合作提升Arm64代码完整性

挑战

软件开发人员和IT管理者需要工具和指标来测量软件行为。当开发者和DevOps专业人员假设软件将在单一硬件架构上运行时，可能会忽略特定架构的行为。基于Arm64的服务器（包括Ampere Altra处理器系列）相比x86提供了性能改进和节能优势，但其底层架构是Arm64，在非常低的级别上与x86架构行为不同。

可信发布：软件包安全的新标杆——基于OpenID Connect的无密钥认证机制

Wed, 06 Aug 2025 02:39:11 +0800

可信发布：技术原理

可信发布本质上是一种新型认证机制，其核心创新在于无需预共享密钥。该技术基于OpenID Connect（OIDC）标准构建，利用OAuth2框架实现身份声明验证：

Trail of Bits发布《测试手册》——聚焦Semgrep静态分析工具与CI/CD优化

Sun, 03 Aug 2025 17:17:36 +0800

为什么编写《测试手册》？

在Trail of Bits，我们投入了大量时间研究、实验和优化各类静态与动态安全工具。实践中发现，现有文档虽然全面但过于庞杂。标准文档试图提供所有答案，而我们的《测试手册》只提供经过实战验证的最有效方案。

可信发布：软件包安全的新标杆——基于OpenID Connect的无密钥认证机制

Sun, 03 Aug 2025 16:44:35 +0800

可信发布：软件包安全的新标杆

作者：William Woodruff
日期：2023年5月23日

技术背景

过去一年，我们与Python包索引(PyPI)合作开发了名为"可信发布"的新型认证机制。该技术通过消除长期API令牌和密码的使用，在降低供应链攻击和凭证泄露风险的同时，简化了发布工作流。目前PyPI上关键软件包已采用该技术强化发布安全。

传统NLP与LLM结合解决业务问题

Mon, 01 Jan 0001 00:00:00 +0000

结合两大技术优势：从TF-IDF到Llama大语言模型

学习如何通过传统NLP技术与大语言模型的结合来解决"幻觉"问题并构建稳健的应用系统。本专题基于实际业务场景，当需要创建精准解决客户痛点的技术内容时，不再需要人工查阅数百条公开论坛帖子或客户投诉记录，而是融合以下两大技术路径：