Transcript
00:00:00现在是周三早上,我特意没有制作关于那个巨大供应链攻击的视频。昨天刚发生了一起新的大规模供应链攻击,超过600个NPM包受到影响,又是另一起“零日”攻击,因为我不想每周都谈论这些。
00:00:23但就在几小时前,我醒来读到GitHub正在调查一起安全漏洞,因为一名员工的设备被植入恶意VS Code扩展程序,导致约4000个内部代码仓库被泄露。
00:00:43我真的感到厌倦了。几乎每周都有像这样的严重安全事故发生。上周我们经历了与Tanstack相关的供应链攻击浪潮,这周又来了一起,现在又是GitHub的这次攻击。到目前为止,根据GitHub发布的消息,它只是
00:01:07“引用”影响了他们的代码仓库,泄露了约4000个内部仓库,并非客户仓库,也不是私有客户仓库,仅仅是GitHub的内部仓库,但即便如此,几乎每周都有新的类似事件发生。
00:01:27而且,我们还要面对所有这些被发现的安全漏洞,比如再次涉及GitHub的那次,几周前发现的那个允许远程代码执行的漏洞。
00:01:38它在被滥用之前就被发现并修复了,但网络安全显然正在成为一个巨大的问题。我知道我之前谈过这个,也谈过AI在其中的作用,当然这非常关键,因为AI有助于发现安全漏洞,
00:02:00它也有助于编写恶意代码,协助实施供应链攻击。对于攻击者来说,这让这些攻击变得更有吸引力,因为有太多新人提交代码,代码编写量比以往任何时候都多,现在有代理程序在编写代码并安装包,外面简直是“狂野西部”。
00:02:24这真是一个令人烦恼的时代,我只能这么说。我完全同意你必须适应AI的存在,必须学习如何使用这些工具。
00:02:40这也是我这几个月来一直在做的,所以我制作了关于Claude Code或Codex的课程,最近我的同事Manuel也制作了一门关于Claude Code的课程,因为我们想分享在使用这些工具方面学到的经验,如何利用它们提高效率,以及如何完成从传统代码编写到AI辅助开发的转型。
00:03:03但同时,说实话,我真的希望拥有一个更简单的时代,少一些安全事故,少一些整天告诉我“白领工作将在一个月内结束”的CEO们,但现实就是这样。
00:03:21我们现在又面临一起安全事故,正如我所说,现在才周三早上,所以让我们看看这周剩下的时间还会发生什么。
00:03:30除了离开这个行业(当然确实有一些开发者已经或正在考虑这样做),如果你决定留在这个行业,我们唯一能做的就是适应并学习这些AI工具,当然,在安全方面,真的要认真对待。
00:03:50我知道我在过去的视频中也提到过这一点,这就是为什么我在另一个YouTube频道上制作了完整的免费视频,我会再次把它链接在下面,在那里我带你了解一些基本的步骤,来构建一个更安全的开发环境。
00:04:08这包括使用像pnpm或bun这样默认更安全的包管理器。例如,最新版本的pnpm要求包的发布时间至少为一天,这意味着如果你通过它安装包,它不会拉取发布时间不足一天的包。
00:04:29因此,这降低了受到供应链攻击的危险,因为大多数(当然不是全部,你没有绝对保证)攻击很快就会被发现,所以这是件好事,而且你显然可以调整所有这些设置。
00:04:44像这样的管理器,还有bun,都会阻止执行可能附带在你正在安装的包中的脚本。
00:04:55当然,还有其他步骤,比如在开发容器或虚拟机中进行开发,以及不要在机器上以明文形式存储机密信息。
00:05:05但当然,人们也不禁会想,对于GitHub来说,一名员工设备的泄露是如何导致如此大规模的数据泄露的。显然,大公司或任何拥有超过几名员工的公司,都必须重新思考或审视他们的“爆炸半径”有多大,以及单个员工能造成的损害有多严重。
00:05:31而这一切都发生在一个你本想让AI代理大规模访问各种数据以提高效率、让代理爬取海量数据并与各种系统交互的时代,所以你现在正面临这些冲突的现实。
00:05:53事实是,如果你在权限、访问权、数据安全以及所有那些多年来没人关心但现在变得严重的事情上不够严格,你就会处于极大的危险之中。AI让这些攻击变得更容易且更有利可图。
00:06:12有趣的时光,做开发者真是有趣的时光,但嘿,可能只会变得更好,我们走着瞧吧。
Community Posts
No posts yet. Be the first to write about this video!
Write about this video