Upgraded PCI DSS version 3.2.1 to 4.0
Vercel Changelog503d agoReleaseVercel 官方發布更新,其基礎設施的安全合規標準已成功從 PCI DSS 3.2.1 升級至最新的 4.0 版本。這項升級代表 Vercel 在處理信用卡與支付相關數據時,符合更嚴格的國際安全規範。對於在 Vercel 上建構電商平台、SaaS 服務或任何涉及金流處理的開發者而言,這能顯著降低自身的合規成本並提升應用的安全性。
Vercel Firewall now supports bypassing system mitigations for specific IPs
Vercel Changelog529d agoReleaseVercel 宣布其防火牆(Vercel Firewall)推出新功能,支援針對特定 IP 地址繞過系統內建的防禦緩解措施(System Mitigations)。這項更新解決了開發團隊在進行自動化測試、API 整合或內部監控時,常因流量特徵被 Vercel 自動防禦機制誤判而遭阻擋的痛點。用戶現在可以更彈性地管理 IP 規則,確保信任的外部服務與內部流量暢通無阻。
Optimizing secure build infrastructure with Secure Compute
Vercel Changelog531d agoReleaseVercel 宣布優化其安全建置基礎架構。透過結合 Secure Compute,企業用戶現在可以在 Vercel 建置階段中,安全地存取位於私有網路(如 VPC)中的資源,例如私有套件庫或內部 API。這項更新大幅提升了企業級專案在 CI/CD 過程中的安全防護與連線效率。
The rise of the AI crawler★ 75
Vercel Changelog532d agoCommentary隨著 AI 搜尋與 LLM 的普及,AI 爬蟲(如 GPTBot、ClaudeBot)的流量在 2024 年呈現爆發式成長。這不僅帶來了伺服器成本上升與資料被無償抓取的隱憂,也改變了傳統的 SEO 遊戲規則。Vercel 在本文中深入分析了這股趨勢,並分享開發者如何透過 robots.txt、Vercel 防火牆與 Edge Middleware 來有效監控、限制或阻擋這些 AI 爬蟲,在保護網站資產與獲取 AI 搜尋曝光之間取得平衡。
Vercel Firewall now stops DDoS attacks up to 40x faster★ 75
Vercel Changelog539d agoReleaseVercel 宣布對其防火牆(Vercel Firewall)進行重大升級,現在阻擋 DDoS 攻擊的速度比以往快上 40 倍。此更新旨在更即時地識別並攔截惡意流量,保護部署在 Vercel 上的應用程式免受服務中斷影響。這不僅提升了網站的安全性與可用性,也能有效避免開發者因突發惡意流量而面臨高昂的帳單衝擊。
Life of a Vercel request: Securing your app's traffic with Vercel★ 70
Vercel Changelog544d agoTutorial本文深入剖析 Vercel 處理用戶請求的完整生命週期。從 Anycast 路由、Layer 3/4/7 DDoS 防禦,到 WAF 防火牆規則與速率限制(Rate Limiting),Vercel 在 Edge 端即完成多重安全過濾。開發者無需複雜設定,即可享有企業級的安全防護與極致的載入效能。
Hugging Face Teams Up with Protect AI: Enhancing Model Security for the ML Community★ 75
Hugging Face Blog588d agoBusinessHugging Face 宣布與 AI 安全領導廠商 Protect AI 展開合作,旨在提升開源機器學習(ML)社群的模型安全性。雙方將共同應對日益嚴重的開源模型安全威脅,如惡意代碼注入與反序列化漏洞。透過整合先進的安全掃描技術,此合作將幫助開發者在 Hugging Face Hub 上更安全地分享與下載模型,降低供應鏈安全風險。
A Security Review of Gradio 5★ 80
Hugging Face Blog600d agoReleaseHugging Face 委託專業安全公司 Trail of Bits 對 Gradio 5 進行全面安全性審計。本次更新修復了包括任意檔案讀取(LFI)與伺服器端請求偽造(SSRF)等潛在漏洞,並重新設計了檔案存取架構。新版本採取「預設安全」策略,大幅降低開發者在部署 AI 互動介面時面臨的安全風險。
Welcome, Gradio 5★ 85
Hugging Face Blog601d agoReleaseHugging Face 推出 Gradio 5 重大更新,全面提升效能與安全性。此版本經過專業安全團隊 Trail of Bits 審計,預設啟用多項安全防護;同時引入伺服器端渲染(SSR),大幅縮短首頁載入時間並提升 SEO。此外,新版也優化了多模態 Chatbot 組件,讓開發者能更輕鬆地打造生產級的 AI 互動介面。
Vercel WAF upgrade brings persistent actions, rate limiting, and API control
Vercel Changelog608d agoReleaseVercel 宣布對其 Web 應用程式防火牆(WAF)進行重大升級。本次更新引進了「持久化操作」,可更有效地持續阻擋惡意流量;「速率限制」功能則能精準防止 DDoS 與暴力破解攻擊;此外,全新的「API 控制」讓開發者能針對 API 端點進行更細緻的安全設定與自動化管理。
Preventing infrastructure abuse with Vercel Firewall★ 75
Vercel Changelog616d agoNew ToolVercel 詳細介紹了其 Firewall(防火牆)功能,旨在保護開發者的應用程式免受惡意流量和基礎設施濫用的威脅。透過自訂規則、IP/地理位置阻擋、速率限制以及智慧挑戰頁面,開發者可以有效攔截 DDoS 攻擊與自動化爬蟲。這不僅提升了應用的安全性與可用性,更能有效防止因惡意流量帶來的非預期高額帳單。
Hugging Face partners with TruffleHog to Scan for Secrets★ 70
Hugging Face Blog636d agoReleaseHugging Face 與開源安全掃描工具 TruffleHog 的開發商 Truffle Security 達成合作。此項合作旨在自動掃描 Hugging Face 平台上的所有儲存庫(包括模型、數據集和 Spaces),以偵測並清除不小心上傳的敏感憑證與 API 金鑰。這項主動防禦機制將大幅提升 AI 開源社群的資安防護水準,避免開發者因疏忽而造成重大損失。
Enhancing security of backend connectivity with OpenID Connect★ 75
Vercel Changelog643d agoReleaseVercel 正式支援 OpenID Connect (OIDC) 整合,解決了過去開發者必須在環境變數中儲存 AWS 或 GCP 等長期金鑰的安全痛點。透過 OIDC,Vercel 的建置與部署流程可動態申請短效期的 JWT 權杖,直接與雲端服務商進行身分聯邦驗證。這不僅消除了金鑰外洩的風險,還能針對不同專案與分支進行細粒度的權限控制,大幅簡化了 DevOps 的安全維護工作。
2024 Security Feature Highlights★ 75
Hugging Face Blog665d agoReleaseHugging Face 發布 2024 年安全功能亮點,展示其在保護開源 AI 生態系上的多項努力。平台引入了自動化惡意軟體與 Safetensors 安全掃描、敏感金鑰(Secrets)偵測,並與 Sigstore 合作推出模型加密簽章。此外,也強化了細粒度存取權限(Scoped Tokens)與多因素驗證(MFA),為開發者與企業提供更安全可靠的模型託管環境。
Protecting your app (and wallet) against malicious traffic★ 75
Vercel Changelog669d agoReleaseVercel 針對惡意流量與「錢包拒絕服務(Denial of Wallet)」攻擊,推出了多項安全防護功能。其中包括預設啟用的自動攻擊防護(Attack Protection)、可自訂規則的 Vercel 防火牆(Firewall),以及能自動暫停專案以防止帳單超支的「消費上限(Spend Limits)」功能,全方位保障開發者的應用安全與荷包。
Experimenting with Automatic PII Detection on the Hub using Presidio★ 70
Hugging Face Blog692d agoNew ToolHugging Face 正在 Hub 上實驗一項新功能,利用微軟開源的 Presidio 引擎自動偵測數據集中的個人識別資訊(PII)。此舉旨在防止敏感數據(如身分證號、信用卡、電子郵件等)意外洩露,提升開源 AI 社群的數據隱私與合規性。開發者將能更輕鬆地在分享或訓練模型前,識別並清理敏感資訊。
Space secrets security update★ 85
Hugging Face Blog732d agoIncidentHugging Face 發布安全公告,指出其 Spaces 平台疑似遭受未授權存取,可能導致用戶儲存的 Secrets(如 API 金鑰)外洩。官方已主動撤銷受影響的用戶 Access Token,並透過郵件通知相關用戶。強烈建議所有在 Spaces 中使用敏感憑證的開發者,立即更換並重新生成其金鑰以確保安全。
Introducing the Vercel Web Application Firewall★ 70
Vercel Changelog740d agoReleaseVercel 宣布推出原生的 Web Application Firewall (WAF),直接整合於其 Edge 網路中,無須額外配置第三方服務。該 WAF 提供針對 OWASP Top 10 漏洞(如 SQL 注入、XSS)的防護、自訂安全規則、速率限制以及 IP/地理位置阻擋。此功能旨在協助開發者與企業輕鬆提升應用程式安全性,降低惡意流量與 Bot 攻擊帶來的風險與成本。
Shared network vulnerability disclosure★ 75
Replicate Blog740d agoIncidentAI 模型託管平台 Replicate 揭露了一項已修復的嚴重安全漏洞。該漏洞由雲端安全公司 Wiz 發現,源於多租戶環境下的共享網路配置缺陷。攻擊者可透過上傳惡意模型,繞過容器隔離並存取其他用戶的私有模型、輸入與輸出數據。Replicate 已於第一時間完成修復、加強網路隔離,並確認除研究人員的測試外,無其他用戶數據外洩。
Securing data in your Next.js app with Okta and OpenFGA
Vercel Changelog747d agoTutorialVercel 發布技術指南,展示如何利用 Okta 與 OpenFGA 保護 Next.js 應用程式的資料安全。 透過 Okta 處理使用者身分驗證(Authentication),並結合 OpenFGA 實現基於關係的細粒度授權(ReBAC)。 此方案能有效解決複雜的權限管理需求,適合正在構建企業級 SaaS 或需要嚴格存取控制的 Next.js 開發者。
Vercel supports HIPAA compliance
Vercel Changelog762d agoReleaseVercel 正式支援美國 HIPAA 合規性,允許醫療保健與生命科學領域的企業在其平台上建構與部署應用。透過與 Vercel 簽署商業夥伴協議(BAA),企業能安全地處理受保護的健康資訊(PHI)。此舉結合了 Vercel 的高效能前端工作流與嚴格的醫療級安全標準,為醫療科技開發者掃除合規障礙。
Running Privacy-Preserving Inferences on Hugging Face Endpoints★ 75
Hugging Face Blog777d agoReleaseHugging Face 與開源密碼學公司 Zama 合作,介紹如何在 Hugging Face Endpoints 上部署全同態加密(FHE)模型。透過 FHE 技術,用戶的敏感數據在傳輸與計算過程中皆保持加密狀態,雲端伺服器可在不解密的情況下完成推理。此方案為醫療、金融等高隱私需求行業提供了一種安全使用雲端 AI 算力的新途徑。
Hugging Face partners with Wiz Research to Improve AI Security★ 75
Hugging Face Blog789d agoBusinessHugging Face 宣布與知名雲端安全廠商 Wiz Research 建立合作夥伴關係。雙方將共同致力於識別並修復 Hugging Face 平台上的安全漏洞,特別是針對模型託管、租戶隔離以及 Spaces 的容器安全。此合作旨在為開源 AI 社群建立更強大的安全防禦機制,防範惡意模型與潛在的雲端基礎設施攻擊。
Protecting AI apps from bots and bad actors with Vercel and Kasada★ 75
Vercel Changelog802d agoNew ToolVercel 與防 Bot 專家 Kasada 展開合作,旨在保護 AI 應用免受自動化機器人、API 濫用與資料爬取的威脅。由於 AI 應用的 API 呼叫成本高昂,極易成為惡意攻擊者的目標。透過此整合,開發者可在 Vercel Edge 部署隱形防禦,無需使用惱人的 CAPTCHA 驗證碼,即可有效攔截惡意流量,保護 LLM 預算並維護良好的使用者體驗。
AI Watermarking 101: Tools and Techniques★ 75
Hugging Face Blog827d agoTutorial隨著 AI 生成內容爆發,如何識別「AI 製造」成為關鍵。Hugging Face 發布的這篇指南深入探討了 AI 水印技術,涵蓋文字生成(如透過調整 Token 機率分佈的綠名單機制)與影像生成(如 Stable Signature 等隱形潛在空間水印)。文章不僅介紹了現有的開源工具,也客觀分析了水印技術在對抗剪裁、改寫等攻擊時的魯棒性限制與未來挑戰。
PCI compliance for ecommerce
Vercel Changelog846d agoReleaseVercel 宣布針對電子商務團隊提供 PCI DSS(支付卡產業資料安全標準)合規性支援。這項重要更新使開發團隊能夠在 Vercel 平台上安全地部署前端應用與無伺服器(Serverless)架構,大幅簡化了電商網站的合規審查與安全審計流程。透過與 Stripe 等主流支付服務無縫整合,商家與開發者能更專注於優化購物體驗,同時確保線上交易資料的最高安全性。
Building secure and performant web applications on Vercel
Vercel Changelog939d agoTutorial本文探討在 Vercel 部署 Web 應用時的安全與效能最佳實踐。內容涵蓋 Vercel 內建的 DDoS 防護、Web 應用程式防火牆(WAF)等安全機制,以及如何透過 Edge 網路、快取策略與靜態生成(ISR/SSG)來極大化網站載入速度,幫助開發者打造既安全又快速的現代網頁應用。
Understanding the SameSite cookie attribute
Vercel Changelog974d agoTutorialVercel 專文探討 SameSite Cookie 屬性的運作機制。文章詳細比較了 Strict、Lax 與 None 三種設定的差異,並說明它們如何影響跨來源請求與使用者體驗。對於在 Vercel 等平台部署現代 Web 應用的開發者而言,正確設定 SameSite 是兼顧安全防護(如防範 CSRF)與第三方整合(如單一登入 SSO)的關鍵。
Understanding CSRF attacks
Vercel Changelog977d agoTutorial跨站請求偽造(CSRF)是常見的 Web 安全漏洞,攻擊者利用使用者的登入狀態發送惡意請求。本文解析 CSRF 的運作機制,並探討如何透過 SameSite Cookie 屬性、CSRF Token 以及現代框架(如 Next.js Server Actions)的內建防護機制來確保應用程式安全。
Vercel achieves ISO 27001:2013 certification to further strengthen commitment to security
Vercel Changelog994d agoBusinessVercel 宣布正式獲得 ISO 27001:2013 資訊安全管理系統(ISMS)認證。這項認證肯定了 Vercel 在保護客戶數據、風險管理及資安防護上的嚴格標準。對於需要高度合規性的企業級客戶而言,這將大幅簡化採購與資安審查流程,展現 Vercel 佈局企業市場的決心。