文章 技术 The Delve Scandal: Fake SOC 2 Audits, Open-Source Code Theft, and Exit from Y Combinator - Captain Compliance 希望 Delve 能让客户(前阵子的 LiteLLM,今天的 ContextAI)知道,为了合规而合规,最终得到的都是虚假的安全,别为难 2B 厂商了。 Malicious Checkmarx Artifacts Found in Official KICS Docker … TeamPCP 团伙的近期第二起行动,也是安全工具自身被攻击了,上次是 Trivy。 Equity for Europeans | Armin Ronacher’s Thoughts and Writings equity 这个词确实有些难理解,在 beancount 中,我一直没有使用这个类别。 国内自建 Peer Relay 实现 Tailscale 加速:RTT 160ms → 30ms | 5km 用不上,看看也好。 Open source security at Astral Hardening GitHub Actions: Lessons from Recent Attacks | Wiz Blog One CI to rule them all: a guide for pragmatic pipelines 最近的一些安全事件,突然多了很多关于 CI/CD 的配置管理文章: 禁用 pull_request_target workflow_run ; 发布流程隔离在专用环境,需要两人以上 Approved 才可以执行; 使用不可变版本进行发布: 不可变版本 - GitHub 文档 发布环境不使用 cache,避免通过 cache 投毒; 依赖指明具体 hash,禁止依赖库第一时间升级; 启用 Action 白名单机制; 谨慎使用 secrets: inherit 显式声明权限: permissions: {} Wisdom from the ancients 现如今做 Agent Infra 与其重新造轮子,不如看看历史中有没有好用的轮子。有些很有意思的设计,其实在很早之前就已经存在了。这些宝藏可能因为过于晦涩,或者不太符合普通用户的人体工学,以至于…
No comments yet. Log in to reply on the Fediverse. Comments will appear here.