本文永久链接 – https://tonybai.com/2026/03/14/go-sumdb-transparent-logs-supply-chain-trust 大家好,我是Tony Bai。 在 Go 语言的日常开发中,go get 是我们最熟悉的命令之一。我们理所当然地认为,只要指定了版本号,从 GitHub 或其他代码托管平台拉取下来的代码就是安全、一致的。然而,现实却远比这脆弱——Git 的 Tag 是可变的。攻击者可以发布一个带有后门的 v1.2.3 版本,在诱导受害者下载后,再通过 Force-push 将其替换为干净的代码,从而在代码审查的眼皮底下“瞒天过海”。 ...
本文永久链接 – https://tonybai.com/2026/01/18/go-cryptography-principles 大家好,我是Tony Bai。 在软件工程领域,密码学(Cryptography)通常被视为“高危禁区”。大多数语言的建议都是“不要自己写密码学代码”,甚至“不要自己组合密码学原语”。 ...
本文永久链接 – https://tonybai.com/2026/01/04/stick-to-the-core-embrace-variables-2025-review-2026-outlook 大家好,我是Tony Bai。 当时钟拨向 2026 年,我不禁回望刚刚过去的 2025。 在技术史上,这注定会被定义为**“分水岭”**的一年。如果说之前我们还在观望 AI 能画出什么样的图,生成怎样的代码,那么在 2025 年,我们真切地感受到了它对软件工程核心领地的冲击与重塑——从 Google 三巨头定义“AI Agent 元年”,到CodeRabbit 报告揭示 AI 代码的质量隐忧,再到 Rob Pike 对那封AI “致谢信”的罕见愤怒。 ...
解密 Go 安全核心:7 步掌握现代密码学工程 - Tony Bai Tony Bai 一个程序员的心路历程 Google Go语言编码风格规范 Google Go语言编码风格规范:指南篇 Google Go语言编码风格规范:决定篇 Google Go语言编码风格规范:最佳实践篇 Go语言第一课FAQ ...
权威认证:Go核心密码学库通过独立安全审计 - Tony Bai =============== Tony Bai 一个程序员的心路历程 Google Go语言编码风格规范 Google Go语言编码风格规范:指南篇 Google Go语言编码风格规范:决定篇 Google Go语言编码风格规范:最佳实践篇 Go语言第一课FAQ ...
本文永久链接 – https://tonybai.com/2025/05/20/post-quantum-cryptography-in-go 大家好,我是 Tony Bai。 在我们享受数字时代便利的同时,信息安全始终是悬在我们头顶的达摩克利斯之剑。而这把剑,正面临着来自未来的一个巨大挑战——量子计算机。一旦实用化的大规模量子计算机问世,我们当前广泛依赖的许多经典密码体系(如 RSA、椭圆曲线密码 ECC)可能在瞬间土崩瓦解。 ...
本文永久链接 – https://tonybai.com/2024/10/19/go-crypto-package-design-deep-dive Go号称“开箱即用”,这与其标准库的丰富功能和高质量是分不开的。而在Go标准库中,crypto库(包括crypto包、crypto目录下相关包以及golang.org/x/crypto下的补充包)又是Go社区最值得称道的Go库之一。 ...