Published on 2026年7月18日 6,401 個 IP、3 分鐘、7,262 個錯誤:一隻普通的爬蟲怎麼打掛我的 search 頁 nextjs ssr cdn security alb 一次 3 分鐘的線上事故。爬蟲抓走 search 頁裡的每一個連結,CDN 擋不住、SSR 又把每個 request 變成 4–7 個 API call。記錄整條追查過程,跟三個防禦方向的取捨。 Read more →
Published on 2026年6月30日 從 Dependabot 換到 Renovate:為什麼我不把漏洞修完 renovate dependabot security dependency-management devops 公司前端站的依賴漏洞 alert 反覆出現,手動修很累。記錄我為什麼用 Renovate 取代 Dependabot、security-only 怎麼設、「偵測全部、修補擇要」的取捨,以及 Renovate 修不到的傳遞依賴坑。Renovate 導入系列第二篇。 Read more →
Published on 2026年6月30日 那個 Dependabot 自動開的 security PR,到底在修什麼? dependabot renovate security dependency-management cve 很多人看到依賴漏洞的 PR 就直接 merge。這篇從零講起:套件的傳遞依賴、CVE / GHSA / OSV 是什麼、一個 alert 要不要修怎麼判斷,以及自動化工具 Dependabot 與 Renovate(含託管 vs 自架、收費)的差別。Renovate 導入系列第一篇。 Read more →
Published on 2026年5月29日 同樣用 AI 寫 code,差距為什麼越拉越開? ai ai-coding frontend opinion 同事問我 AI 時代怎麼變資深前端。但有一件更具體、現在就看得到的事:同樣用 AI 工具,每個人的產出已經拉開兩個量級。這篇講三個我看過的失敗模式,跟真正的分水嶺在哪。 Read more →
Published on 2026年5月12日 在 Next.js 接 Firebase Remote Config 當 feature flag:為什麼這樣選、跟踩到的幾個坑 Next.js Firebase feature-flag Zustand 用 Firebase Remote Config 做功能開關的理由、業界其他選擇的取捨,以及實作上 fetch 失敗的 fallback、'use client' 傳染、isolatedModules 的小雷。 Read more →