随着博客内容的增加,Hexo 博客的加载速度可能变慢。本文将分享一系列性能优化技巧,帮助提升网站访问速度和用户体验。
1 | # 使用 ImageOptim 批量压缩图片 |
开启 Hexo 的 minify 选项:
1 | // _config.yml |
1 | # Nginx 配置示例 |
按需加载 JavaScript,减少首屏加载时间。
实施以上优化后:
博客性能优化是一个持续过程,定期检查并优化可以确保最佳用户体验。希望这些技巧对你有所帮助!
在 DevOps、AI 自动化和日常运维中,自动化脚本已成为提升效率的核心工具。然而,安全漏洞往往隐藏在看似简单的脚本中,可能导致数据泄露、系统入侵甚至供应链攻击。根据 2024 年 OWASP 报告,不安全的自动化脚本已成为企业安全事件的重要来源之一。
本文将面向中级开发者,系统性地介绍自动化脚本的安全最佳实践,结合可操作的代码示例,帮助你构建既高效又安全的自动化系统。
自动化脚本最脆弱的一环往往是外部输入。无论是文件、命令行参数还是 API 响应,都必须经过严格验证。
危险示例:
1 | # ❌ 危险:直接使用未验证的用户输入 |
安全方案:
1 |
|
对于 Python 脚本,使用 pydantic 进行结构化验证:
1 | from pydantic import BaseModel, validator |
脚本应以最低必要权限运行,避免使用 root 或管理员权限。
Linux 最佳实践:
1 |
|
文件系统权限配置:
1 | # 创建专用目录并设置权限 |
绝对禁止的实践:
1 | # ❌ 危险:硬编码密钥 |
安全的密钥管理方案:
1 | # 方案1:环境变量(配合.env文件,gitignore保护) |
环境变量最佳实践:
1 |
|
不安全的错误处理:
1 | # ❌ 危险:泄露敏感信息 |
安全日志实践:
1 | import logging |
自动化的依赖项可能引入供应链攻击。
requirements.txt 管理:
1 | # ✅ 良好实践:# 固定版本,便于审计 |
Python 依赖安全扫描:
1 |
|
自动化的依赖更新脚本:
1 | #!/usr/bin/env python3 |
自动化脚本同样需要代码审查和静态分析。
GitHub Actions 工作流配置:
1 | # .github/workflows/security-scan.yml |
Shell脚本安全检查:
1 |
|
某些自动化任务需要隔离执行。
Docker容器化方案:
1 | # Dockerfile - 安全的运行环境 |
gVisor或Firecracker强化隔离:
1 | # 使用 runsc (gVisor) 运行容器 |
Python自动化的资源限制:
1 | #!/usr/bin/env python3 |
自动化脚本需要完整的审计追踪。
结构化日志配置:
1 | import json |
自动化脚本安全不是一次性任务,而是需要贯穿整个生命周期的持续实践。从编写、审核、部署到监控,每个环节都有安全隐患需要防范。
通过本文介绍的方法——输入验证、权限最小化、密钥管理、依赖安全、代码审查、沙箱隔离、审计监控——你可以显著提升自动化系统的安全性。
记住:自动化效率越高,安全漏洞的放大效应也越强。务必在追求效率的同时,把安全作为不可妥协的红线。
OpenClaw 是一个强大的 AI 助手框架,但要发挥最大效能,需要一套可靠的自动化配置。本文将手把手教你如何配置 OpenClaw 的核心自动化功能,包括:
OpenClaw 的模型配置文件位于 ~/.openclaw/config.yaml,这是你选择 AI 模型的核心配置。
1 | default_model: openrouter/auto |
openrouter/auto:自动路由,优先使用可用免费模型中最高性能的hunter-alpha:适合复杂推理、长文档分析(1M context)healer-alpha:支持视觉理解,适合图片+文本混合任务step-3.5-flash:StepFun 旗舰,综合性能最强,免费且稳定配置建议:
openrouter/auto 作为 fallbackOpenClaw 支持通过系统 crontab 定时执行任务并推送通知。但需要注意环境变量问题。
如果你直接用 openclaw message send 作为 cron 命令,会失败,因为 cron 环境不包含 NVM 的 node 路径。
错误示例:
1 | 0 * * * * openclaw message send ... # ❌ 会静默失败 |
正确做法: 用 bash -l -c 包装,加载完整用户环境
1 | 0 * * * * /bin/bash -l -c "openclaw message send --channel feishu --target <chat_id> --message '内容'" 2>&1 | logger -t tag |
1 | # 每小时模型检查(已改为每天12:00) |
关键点:
/bin/bash -l -c "命令"2>&1 | logger -t tag 将输出重定向到系统日志,便于排查openclaw message send 手动运行确认成功,再加到 crontab我写了一个 model-maintenance.sh 脚本,定期检查 config.yaml 中配置的模型是否在最新的免费模型列表中,并推送报告。
/Users/zhaojingzhou/.openclaw/workspace/scripts/model-maintenance.sh
config.yaml 中的模型列表1 |
|
1 | # 手动执行 |
检查 crontab 列表:
1 | crontab -l |
确认任务存在且时间正确。
检查系统日志:
1 | sudo log show --predicate 'eventMessage contains "model-check"' --last 1h |
查看 logger 是否有输出。
核心发现:
cron 运行时没有 NVM 环境,openclaw 依赖的 node 不在 PATH 中。
解决方案:
将命令改为:
1 | 0 * * * * /bin/bash -l -c "openclaw message send ..." 2>&1 | logger -t model-check |
-l 表示 login shell,会加载 ~/.bash_profile 或 ~/.zprofile,从而引入 NVM 的路径。
1 | ┌─────────────────────────────────────────────┐ |
永远用 bash -l -c 包装 openclaw 命令
测试顺序:
日志管理:
loggertee -a 记录本地日志推送内容:
配置管理:
config.yaml 后立即更新 MEMORY.md 记录自动化是 OpenClaw 高效运转的基石。正确配置 cron 环境、编写健壮的维护脚本、建立监控体系,能让你的 AI 助手 24/7 稳定运行,及时发现问题并推送告警。
如果遇到类似 “cron 任务不执行” 的问题,优先检查环境变量和 PATH,用 bash -l -c 包装命令几乎总能解决。
附录:我的 crontab 当前配置(2026-03-14)
1 | 0 12 * * * /bin/bash -l -c "/Users/zhaojingzhou/.nvm/versions/node/v22.22.0/bin/openclaw message send --channel feishu --target ou_985eeb07a18725cf9b5d5d9ae63a324d --message '🕐 每日模型检查(12:00):当前所有28个免费模型正常,stepfun/step-3.5-flash:free 仍为 #1。使用量: 1.26T tokens。'" 2>&1 | logger -t model-check |
本文基于真实部署经验整理,转载请注明出处。
最近在一次开发过程中发现了一个问题,我们都知道MySQL在Order By的时候可以指定多列,会按照指定的顺序依次排序。
例如指定A,B,C列,MySQL会先按A排序,如何A值相同的再按B排序,B值相同的再按C排序。
然后其中还是有不少门道的,例如我就碰到了如下问题,我有一个表test,表结构如下:
1 |
|
其中有如下数据:
| A | B | C |
|---|---|---|
| C料 | 12321 | 123 |
| c料 | 测试 | SPHC |
| c料 | 测试 | SPHC |
| C料 | 测试 | 测试 |
| C料 | 测试 | 测试 |
接着执行如下查询
1 |
|
按照我们上面的说法最后出来的结果应该是:
| A | B | C |
|---|---|---|
| C料 | 12321 | 123 |
| C料 | 测试 | 测试 |
| C料 | 测试 | 测试 |
| c料 | 测试 | SPHC |
| c料 | 测试 | SPHC |
然而实际出来而结果是:
| A | B | C |
|---|---|---|
| C料 | 12321 | 123 |
| c料 | 测试 | SPHC |
| c料 | 测试 | SPHC |
| C料 | 测试 | 测试 |
| C料 | 测试 | 测试 |
可以看到的是A列明显乱序了(注意C大小写),不是说好A相同的排序在一起呢,怎么看起了不对了。
既然是按照列的顺序一个一个排序的,那我们就一个一个排除,看看到底是在哪一列排序出了问题。
执行如下查询:
1 |
|
得到如下结果:
| A | B | C |
|---|---|---|
| C料 | 12321 | 123 |
| C料 | 测试 | 测试 |
| C料 | 测试 | 测试 |
| c料 | 测试 | SPHC |
| c料 | 测试 | SPHC |
也就是说在C列加入排序之前,A还是看着有序的,那到底是怎么回事呢?注意回到最开始我们说的MySQL的排序规则,A相同再按B排,B相同按C排。
所以C在加入排序之前,MySQL认为A,B排序后有相同的结果,也就是c料,测试=C料,测试了,所以C加入排序之后可以在前者相同的排序结果中在按C排序。
于是就产生了看起来错误的顺序,这是因为创建表的时候,没有对字段A,B,C指定collation(MYSQL排序依据),默认会使用对应字符集的Collation,
我这里字符集是utf8mb4,对应的默认collation通常是utf8mb4_general_ci,这个collation是大小写不敏感的。
解决办法有两种:
1.更改字段的collation,
1 |
|
使用utf8mb4_bin,这个是大小写敏感的。
2.在排序的时候指定BINARY关键字
1 |
|
因为它会强制MySQL将字段作为二进制字符串对待。
由于这是一个历史存在的表,避免产生其它意向不到的结果,我使用了方法二。至此问题解决。
前不久线上发现有系统间数据没有同步,排查一通下来发现应该是 MQ 消息没有被消费,通过 MQ Console 发现,未被消费的消息全都集中的一台机器上(消息投放的queue 以及 rebalance 关系),此时我有两个怀疑,一是消费者线程挂了,二是此服务分配到的消息队列出了什么莫名的问题。由于正值业务高峰,领导第一时间重启了服务,重启后一切恢复正常。排查由于一些其它事项,也到此中断。
然而没过多久,我听到其它需求项目组在测试环境出现了相同的问题,也是消息不消费了,导致业务异常。我立马找到对应服务 dump 了线程。
我将 dump 文件通过 visualVM 打开,然后得到了很明显的提示:Found one Java-level deadlock:
1 | "ConsumeMessageThread_1": |
这里有 3 个线程:
“ConsumeMessageThread_1” MQ 消费者线程
“main”: 主线程
“Thread-26”: XXL-JOB 执行线程
其实主要是这两个线程引发的问题:
“main”: 主线程
“Thread-26”: XXL-JOB 执行线程
MQ 消费者线程是正好撞在枪口上了。
涉及两个锁:
DefaultModuleDeployer:object monitor lock
DefaultSingletonBeanRegistry.singletonObjects:object monitor lock
暂且将第一个称为 Dubbo 锁,第二个称为 Spring 锁。
“main”: 主线程做的事情是初始化一个基础服务(Dubbo Consumer)注册到 Spring 和 Dubbo 中, 而其先获取到了 Spring 锁,再去获取 Dubbo 锁。
“Thread-26”:job 线程是由 xxljob 触发后执行一个任务,需要调用一个远程的 Dubbo 服务,于是 先获取了 Dubbo 锁,再去获取 Spring 锁。
于是两个线程就互相锁死了,而 MQ 消费者线程,也要去Bean Container 中获取 Bean,也需要获取 Spring 锁,也就卡死了。
这个问题由于是在启动过程中发生,所以我设想了两个解决方案(没有好的契机去解决这个问题,只能等到有相关需求了),其实思路是同一个,那就是将出问题的 Bean 给延迟加载:
线上有用户反应P 服务页面时不时就报个错,后来发现都涉及I服务的一个接口方法,这里暂且就叫F 接口。只是时不时报错,那说明可能是某些参数会导致异常,于是我开始查看日志,看看是不是有什么特殊参数导致隐藏 bug 被发现。
结果是报错和不报错的请求参数都一样,那是不是多台机器上运行的代码不一致呢?于是我看了F 接口的代码,发现最近没有迭代记录,而且所有机器上部署的代码均一致。
那有没有可能是环境问题?于是我上 Dubbo 控制台查看,发现 provider 和 consumer 都正常:
这个时候我开始有点懵逼了😅。
我又想到,如果是一直存在问题,那么不可能到今天才有用户反馈,所以还是跟近期的什么操作有关。于是我开始排查最早是什么时间出现的问题,发现是 10 月 10 日的 18:00:03,又发现F 接口所在的I服务在10 月 10 日的 17:57:28有过发布记录。
这下就有点奇怪了,就算I服务所有机器同时发布,可能也就是报一会 no providers错误啊,更不用说是滚动发布的,加上 dubbo 的 failover不会一直报错的啊。
就在这时我看到了一个关键的错误信息:(之前只看到了 NPE 没具体位置):
问题直指DubboInvoker:109。
我们 dubbo的版本是(2.6.6),我拉下dubbo 代码发现这块的代码是这样的:
1 |
|
109 行报 NPE 莫非 client 是 null?带上猜测我开始看 client 是怎么来的,最终找到com.alibaba.dubbo.rpc.protocol.dubbo.DubboProtocol#getSharedClient:
1 | private ExchangeClient getSharedClient(URL url) { |
又是一段平平无奇的代码😅,看到这里有用到锁,说明开发者考虑到这里可能会存在并发调用。我又看了下日志,10 月 10 日的 18:00:03前后确实出现了并发调用的现象,难道是这里的并发控制有 bug?于是我开始思考各种场景,还真被我发现一种可能出问题的情况,下面我画了个图演示一下:
最后 序号 5 处返回了一个 null 的 client。
由于2.6.6 版本已经有点老,指不定这个问题已经有人提过,于是我到 github 一番搜索,结果找到了另外一个问题:https://github.com/apache/dubbo/issues/6444
这块dubbo 后面也迭代了好几次,已经搞不清楚了。
最后,重启大法好!
最近看了《why 技术》的一篇文章《这个队列的思路是真的好,现在它是我简历上的亮点了。》。本来没什么问题,觉得这么好的东西不拿来用一用太可惜了。于是我就搞到了项目中,但是却发现一个问题,文中提到的:
1 | MemoryUsage heapMemoryUsage = MX_BEAN.getHeapMemoryUsage(); |
我发现availableMemory在一段时间内没什么变化。
我是这么测试的:
1 | public static void main(String[] args) throws InterruptedException { |
讲道理应该实时变化才对,后来我点进去了why哥留下的PR链接,发现这个PR在2022-06-06有一个提交:
备注信息为:”fix bug”,具体的修改为:
可以看到原来通过MemoryUsage获取可用内存变成了:
1 | Runtime.getRuntime().freeMemory() |
也就是说之前使用的getCommited()获取的并不是可用内存,于是我看了下MemoryUsage的源码(jdk8),哈哈哈😂,发现图示的很清楚:
真正的可用空间是committed - used,于是我又做了下面的测试:
1 | public static void main(String[] args) throws InterruptedException { |
可以看到确实如此。
20220615更新
why哥给我回复了,这个问题大佬也讨论过https://github.com/apache/dubbo/pull/10021#issuecomment-1147464751
其中一个大佬说的可用内存应该是:
1 | MemoryUsage#getMax() - MemoryUsage#getUsed() |
然后我在 github 上回复了一下大佬,大佬给我的答复是:
事情是这样的,前段时间有个线上bug需要我去排查:
首先看了CAT的调用链,并没有发现什么问题,所有的服务都是正常处理结束。
于是我要了一个traceId,去排查日志,也是没有发现什么问题。
我拉下了生产版本的代码,走查了一下逻辑,并没有发现什么大问题,所以这注定是一个细节问题。
由于这是一个可以复现的问题,所以让测试大佬在测试环境模拟了下有问题的数据,于是我开始Debug了。
一行一行代码的看,一个一个变量的watch,最终发现了问题。
首先是同事新增了如下代码:
然后数据的OwnerId都是null:
紧接着执行了这个removeAll:
可是这为什么会出问题呢?
原来是list中的对象,是同事新加的,继承了原有的对象:
并且使用了Lombok的Data注解。这个注解会生成equals方法:
removeAll是调用的equals判断对象是否相同,equals方法重写后,导致只要这两个对象的ownerId都为空就会认为相同。
可以看到一个@Data注解相当于加了6个注解:
怎么解决这个问题呢?既然问题出在equals,那么有没有什么办法让子类生成的equals中也能包含基类的属性呢?
是有的:
1 |
加上这个注解就可以了。
可以看到@Data注解做的事情太多了,会发生你意想不到的情况,实际是不太推荐无脑使用的,建议还是自己组合需要的注解。
Mac自带的Spotlight对于普通用户来说已经够用了,高阶一点的会使用alfred来增强,但是alfred交互方式比较单一,通常是列表方式,也不支持通过输入内容匹配wf,通常需要keyword唤醒。而且alfred是收费软件。
uTools 也是一款Spotlight增强应用,默认的唤醒快捷键是option+space,墙裂推荐改为double command。应用的主界面长这样:
uTools应用的逻辑有点像微信小程序,可以通过keyword呼出小程序,也可以通过剪切板内容自动识别出来。
其实之前很早就看过dubbo源码中关于超时这部分的处理逻辑,但是没有记录下来,最近在某脉上看到有人问了这个问题,想着再回顾一下。
从dubbo的请求开始,看看dubbo(2.6.6)在超时这块是怎么处理的:
1 | com.alibaba.dubbo.remoting.exchange.support.header.HeaderExchangeChannel#request(java.lang.Object, int) |