一周热榜

我是一名基础设施架构师，三个月前开始使用人工智能助手编写代码。在使用Claude构建了几个系统后，我注意到一个模式：代码总是存在我从运维背景中能发现的安全问题，但由于我实际上不会写代码，因此无法自己修复这些问题。 我构建这个工具的原因是：我需要一种方式来验证AI生成的代码是否安全可用于生产。现有的工具要么需要上传到云端（涉及隐私问题），要么生成的输出过大，超出了AI的上下文窗口。TheAuditor解决了这两个问题——它完全离线运行，并将发现结果分块为65KB的段，以适应Claude/GPT-4的上下文限制。 我发现的情况是：在真实项目上测试时，TheAuditor始终能发现AI生成代码中的50到200多个漏洞。这些模式非常一致： - 使用f-strings而不是参数化的SQL查询 - 硬编码的秘密（JWT_SECRET = "secret"几乎出现在每个项目中） - 关键端点缺少身份验证 - 使用内存存储的速率限制在重启时会重置 技术方法：TheAuditor并行运行14个分析阶段，包括污点分析（跟踪用户输入到危险接收点的数据）、与100多个安全规则进行模式匹配，以及协调行业工具（ESLint、Ruff、MyPy、Bandit）。所有输出都以结构化的JSON格式，优化为大语言模型（LLM）使用。 有趣的障碍：在扫描包含漏洞的文件时，杀毒软件经常将我们的报告隔离，因为它们包含“恶意”的SQL注入模式——尽管我们只是在记录这些模式。我们不得不实施模式去毒化，以减少误报。 当前使用情况：在任何Python/JS/TS项目中运行完整的审计。它会生成一个完整的安全审计报告，存储在.pf/readthis/中。然后，AI可以读取这些报告并修复自己的漏洞。我见过一些项目在3-4次迭代中，从185个关键问题减少到零。 这个工具特别适合那些使用AI助手进行生产代码但又担心安全性的人。它提供了AI自我修正所需的“真实依据”。 希望能收到以下方面的反馈： - AI生成代码中常见的其他漏洞模式 - 更好的处理杀毒软件误报问题的方法 - 不同AI编码工作流程的集成想法 感谢您的关注！/TheAuditorTool

我为Flutter实现了一个插件，使用平台视图集成了原生的SwiftUI液态玻璃组件。以下是背景故事和试用说明。

GitHub: <a href="https://github.com/Ferki-git-creator/coc" rel="nofollow">https://github.com/Ferki-git-creator/coc</a><p>网站测试: <a href="https://ferki-git-creator.github.io/coc/" rel="nofollow">https://ferki-git-creator.github.io/coc/</a>

我正在撰写一篇详细的文章，提及在2025年启动新产品或SaaS时需要考虑的所有技术栈。<p>这篇文章将适合初学者。<p>如果你有任何建议，请告诉我，我会将其添加进去。<p>目前的列表如下： 前端 - Next.js, Astro 后端 - Python, Go 数据库 - Supabase, SQLite, Turso 认证 - Clerk, Auth.js 分析 - Google Analytics 邮件 - AWS SES 支付 - Stripe 内容管理系统 - Payload, Ghost 新闻通讯 - Substack, Beehiv, Kit 文档 - Docusaurus, Fuma, Nextra 安全/存储 - Cloudflare 版本控制 - GitHub 部署 - Vercel, Netlify 自托管 - Digital Ocean, Hetzner 代码编辑器 - VS Code, Cursor AI 编程 - Lovable, Bolt 搜索 - Algolia<p>如果我遗漏了任何部分，请告诉我。