最新

我是一名基础设施架构师，三个月前开始使用人工智能助手编写代码。在使用Claude构建了几个系统后，我注意到一个模式：代码总是存在我从运维背景中能发现的安全问题，但由于我实际上不会写代码，因此无法自己修复这些问题。 我构建这个工具的原因是：我需要一种方式来验证AI生成的代码是否安全可用于生产。现有的工具要么需要上传到云端（涉及隐私问题），要么生成的输出过大，超出了AI的上下文窗口。TheAuditor解决了这两个问题——它完全离线运行，并将发现结果分块为65KB的段，以适应Claude/GPT-4的上下文限制。 我发现的情况是：在真实项目上测试时，TheAuditor始终能发现AI生成代码中的50到200多个漏洞。这些模式非常一致： - 使用f-strings而不是参数化的SQL查询 - 硬编码的秘密（JWT_SECRET = "secret"几乎出现在每个项目中） - 关键端点缺少身份验证 - 使用内存存储的速率限制在重启时会重置 技术方法：TheAuditor并行运行14个分析阶段，包括污点分析（跟踪用户输入到危险接收点的数据）、与100多个安全规则进行模式匹配，以及协调行业工具（ESLint、Ruff、MyPy、Bandit）。所有输出都以结构化的JSON格式，优化为大语言模型（LLM）使用。 有趣的障碍：在扫描包含漏洞的文件时，杀毒软件经常将我们的报告隔离，因为它们包含“恶意”的SQL注入模式——尽管我们只是在记录这些模式。我们不得不实施模式去毒化，以减少误报。 当前使用情况：在任何Python/JS/TS项目中运行完整的审计。它会生成一个完整的安全审计报告，存储在.pf/readthis/中。然后，AI可以读取这些报告并修复自己的漏洞。我见过一些项目在3-4次迭代中，从185个关键问题减少到零。 这个工具特别适合那些使用AI助手进行生产代码但又担心安全性的人。它提供了AI自我修正所需的“真实依据”。 希望能收到以下方面的反馈： - AI生成代码中常见的其他漏洞模式 - 更好的处理杀毒软件误报问题的方法 - 不同AI编码工作流程的集成想法 感谢您的关注！/TheAuditorTool

你的简历可能非常出色，但ATS机器人并不在乎。 一位候选人在三个月内申请了113个职位。他具备所需的技能和经验，简历设计也很精美。然而，他没有收到任何回复。结果发现，他的简历每次都被申请追踪系统（ATS）自动拒绝，根本没有人类招聘官看到它。 为什么会这样？因为他使用了列格式、图形和PDF格式，这些都是机器人无法读取的。一旦他切换到一种适合ATS的版本，他在第一周就获得了5个面试机会。 听起来很熟悉吗？你可能在浪费几个月的努力，却没有意识到。 这不是危言耸听，而是一个招聘网站和简历工具不会告诉你的残酷真相。如果你的简历没有针对ATS进行优化，即使你非常适合这个职位，你也会变得无形。 学习如何战胜机器人，在10分钟内修复你的简历，最终获得真实的面试机会。 在这里阅读完整分析 → 来源：https://www.intelligentcv.app/career/ats-resume-rejection-brutal-truth-hack/

嗨，HN， 我创建了一个网页，展示自C++20以来所有C++特性的简单可搜索表格。 该网页旨在为C++开发者提供快速参考，无论是支持跨平台开发，还是出于好奇跟踪当前的支持状态。 我创建这个网页是为了提供一个比cppreference编译器支持网站更简单、更结构化和更新更及时的替代方案。 请注意，该页面故意不列出LWG和CWG论文。随着我不断更新网站并尝试新想法，这一点可能会有所改变。 欢迎在这里或以GitHub问题的形式提出问题、反馈和建议。