安全

核心价值: 一人公司的安全最脆弱，因为没有安全团队审查。但也可以用 AI 弥补这个缺口。 4.1 一人公司的安全现实 威胁模型 真正面临的威胁（按概率排序）： 水平越权（最常见）：用户 A 访问用户 B 的数据 认证绕过：过期/伪造 JWT token API 滥用：无限制爬取数据 依赖包漏洞：未及时更新的第三方库 配置泄漏：.env 文件进了 git 4.2 OWASP Top 10 实战防御 A01 访问控制失效（最高优先级） 水平越权防御模式： # ✅ 正确：每次查询都验证 owner async def get_project(db, project_id: UUID, user_id: UUID): result = await db.execute( select(Project).where( Project.id == project_id, Project.owner_id == user_id ) ) A02 加密失败 密码存储： from passlib.context import CryptContext pwd_context = CryptContext(schemes=["bcrypt"], deprecated="auto") # 存储时 hash hashed = pwd_context.hash(plain_password) # 验证 is_valid = pwd_context.verify(plain_password, stored_hash) A03 注入攻击 SQLAlchemy ORM 已防止大部分 SQL 注入，但仍需注意： ...