Security on Chen Kai Blog

产品思维（二）：安全工程 — 不偏执的纵深防御

Sun, 31 May 2026 09:00:00 +0000

消失的安全感#

安全曾经在我的认知里是附加物：发版前的清单、每季度一次的渗透测试、标题里写着"安全"的代码审查。后来我意识到这个思路是错的。过去两年构建的系统给了我另一个答案：最好的安全是你已经忘记它存在的安全——因为它早就织进了系统本身。

阿里云全栈实战（六）：RAM、KMS 筑牢云安全

Sun, 03 May 2026 09:00:00 +0000

有一次，我在一个公开的 GitHub 仓库里发现了自己的 DashScope API Key——有人 fork 了我几个月前上传的一个 Demo，而这个 API Key 明文存放在未被 .gitignore 排除的配置文件中。等我发现时，这个 Key 已在一个周末内被用于发起 14,000 次 Qwen API 调用，所幸账单未超支，这得益于 DashScope 按 token 计费的弹性计费机制，但教训极为深刻。我曾以为云安全可以“以后再做”，结果这个“以后”变成了凌晨两点触发的账单告警。

Claude Code 实战（七）：十个实用 Hooks 配方

Fri, 24 Apr 2026 09:00:00 +0000

第五章梳理了 Hook 的基本概念，本章则聚焦实战应用：从百余个脚本的参考库中，仅这十个被纳入所有严肃项目的标准配置，并逐一介绍附带代码级操作说明。

所有示例默认 Node 18+ 环境，脚本存到 ./hooks/，加上 chmod +x 权限，然后在 .claude/settings.json 里这样配置：

Terraform 实战（三）：复用 VPC 与安全基线

Mon, 16 Mar 2026 09:00:00 +0000

今天要写的是我 Agent 项目里被复制次数最多的 Terraform 代码：一个 vpc-baseline 模块。它为后续所有组件（ECS、RDS、OpenSearch、ACK）提供了统一、可复用的网络基础。总共约 200 行 HCL，建议亲手编写一遍，方便后续复用和定制。

Docker 与容器（七）：安全——运行容器时不必交出全部权限

Thu, 22 Jun 2023 09:00:00 +0000

Docker 默认配置优先便利性而非安全性：开箱即用时容器以 root（UID 0）运行、拥有大量 Linux capabilities，且根文件系统默认可写。开发环境或许可以接受，但生产环境中极其危险——一旦存在容器逃逸（container escape）漏洞，而容器又以 root 权限运行，攻击者将直接接管宿主机。让我们来修复这个问题。