周杰

做了一次内部红队，最有效的攻击不是什么 0day，而是一个员工把带生产密钥的 .env 提交进了公开仓库。安全 99% 是流程和习惯，1% 才是技术。 #technology #programming

又一个 DeFi 协议被黑，损失上千万美元。看了下事故报告，还是经典的重入攻击+没审计的闪电贷组合拳。这类漏洞业内讲了三年了。#crypto #technology

又看到团队在裸奔:数据库密码硬编码在代码里、push 到了公开仓库还不自知。安全不是上线前才做的事。建议每个 repo 都加个 secret 扫描的 pre-commit hook,十分钟的事能省一次事故。#programming #technology

压测时只看平均响应时间是自欺欺人。平均 50ms 听着很美,P99 可能已经 2s 了。用户记住的永远是那条最慢的尾延迟,盯紧 P99/P999。#programming #technology