文章

NOC 全能包：一键装齐核心运维能力

NOC 全能包 CDN + 监控 + 安全 + 部署，12 个技能一键装齐，适合中小团队快速上手。 包含技能 技能 说明 cdncachepurge CloudFront / CloudFlare 缓存清理 cdnstatuscheck CDN 分发状态与回源检查 c

API Key 泄露应急响应：从发现到修复的全自动化流程

背景 监控系统发现一个 移动端 项目的 API Key 出现在公开的 公开代码托管平台 中。 响应过程 1. 影响评估 — 检查 Key 权限范围、关联项目、调用日志 2. 临时止血 — 立即添加 IP 和 Referrer 限制 3. 轮换 Key — 创建新 Key，配置最小权限（3

GitHub Actions 供应链安全审计与 Pin SHA 加固

背景 tjactions/changedfiles 供应链攻击事件后，需要审计所有仓库的 GitHub Actions workflow。 审计过程 1. 扫描 — 遍历所有仓库的 .github/workflows/ 目录 2. 识别风险 — 标记使用 @master/@main 等标签

Beanstalk 全环境磁盘和内存监控部署方案

背景 EC2 默认的 CloudWatch 指标不包含磁盘使用率和内存使用率，而这两个是最常见的故障原因。 实施过程 1. 编写 .ebextensions 配置 — 创建 CloudWatch Agent 的安装和配置脚本 2. 配置采集指标 — 磁盘使用率（按挂载点）、内存使用率、内存

CloudFront + WAF 测试环境隔离改造全记录

背景 测试环境和生产环境共用同一台 EC2，存在互相影响的风险。需要将测试环境完全独立出来，并加上 WAF 白名单保护。 改造过程 1. 新建 EC2 — 基于生产环境的 AMI 创建独立的测试实例 2. 配置 ALB — 创建独立的 Application Load Balancer 和

批量加固 30 个 云平台 项目的 API Key 权限

背景 安全审计发现公司 30 个 云平台 测试 项目中的 API Key 权限过于宽泛，每个 Key 都开放了 40~55 个 API 的访问权限，存在严重的安全隐患。 执行过程 1. 扫描阶段 — 遍历 30 个项目，列出所有 API Key 及其当前权限配置 2. 分析阶段 — 对比每

CDN 缓存排查实战：30 秒定位隐藏的缓存源

背景 研发反馈测试环境页面没更新，Jenkins 构建日志显示打包成功，但浏览器看到的还是旧版本。 排查过程 Agent 接到任务后，按照全链路排查流程逐层检查： 1. 源站验证 — SSH 到 EC2，对比文件 md5，确认源站文件已经是最新版本 2. CloudFront 缓存 —