网络安全周刊#12：本周开发者应关注的内容

Source: Dev.to

钓鱼邮件

攻击者现在使用 AI 工具来：

• 模仿公司内部语言
• 编写几乎完美的语法
• 使用泄露的数据个性化信息

对开发者而言，这意味着基于电子邮件的信任已经正式失效。如果你的工作流仍然依赖“点击链接确认”的逻辑，是时候重新思考了。

开发者要点

重新评估所有依赖邮件确认的流程，并考虑更强的验证方式（例如，带外令牌、Passkey）。

开源依赖

研究人员标记了多个恶意包，它们：

• 看起来很正规
• 拥有数千次下载量
• 在安装过程中执行隐藏脚本

开发者要点

在 CI/CD 流水线中集成依赖扫描工具，如 npm audit、pip‑audit 或其他 SCA 扫描器，并强制执行自动修复。

远程与混合办公

不安全的环境持续暴露出新的攻击面：

• 未打补丁的路由器
• 共享 Wi‑Fi 网络
• 用于工作的个人设备

攻击者不需要入侵你的云端——他们会直接攻击你的家庭设置。

开发者要点

鼓励定期为网络设备打补丁，强制使用 VPN，并对任何用于工作的个人硬件实施设备管理策略。

Passkey 与无密码认证

越来越多的平台推出 Passkey 和无密码认证，但采纳程度仍不均衡。密码复用仍是导致泄露的主要原因之一。

开发者要点

在可能的情况下推广无密码选项，并对仍使用密码的访问强制使用强大且唯一的凭证。

警报疲劳

开发者面临大量警报、工具和警告，导致倦怠。攻击者利用这种疲劳，将真实威胁隐藏在噪音中。

开发者要点

对警报进行优先级排序，在可行的情况下整合工具，并采用分流流程，优先展示高危问题。

展望未来

2025 年的网络安全不在于偏执，而在于习惯、默认设置和设计选择。开发者不再只是构建者；他们是用户信任的守护者。小的改进——更好的认证、更干净的依赖、更安全的工作空间——会迅速累积成大收益。

如果你本周要发布代码，请自问：

“如果系统明天被攻击，会有什么会崩溃？”

保持安全，下周见 👋