本文针对现代企业面临日益严重的API安全威胁问题，提出了一种基于零信任架构（Zero-Trust Architecture）的“安全优先”API流水线开发框架。研究背景指出，API已占Web流量主导地位，成为数据泄露的主要载体，99%的组织在过去一年遭遇过API安全事件，22%因此发生实际数据泄露。同时，漏洞披露数量激增（2023年28,818个CVE，2024年40,009个），漏洞利用时间缩短至数天（2023年平均约5天）。为此，作者提出五支柱方法：治理与规划、安全设计、持续测试、流水线控制、运行时保护，并遵循OWASP API Security Top 10 2023、NIST安全软件开发框架等标准。该方法将安全嵌入DevSecOps实践，通过案例研究展示了显著效果：安全事件减少30%，发布后漏洞减少40%。论文还讨论了实施挑战、不断演变的威胁态势，并给出了组织采用安全优先流水线与零信任的建议。本文适合API安全从业者、DevSecOps工程师和安全架构师阅读。

本文针对持续集成（CI）服务平台上日益猖獗的非法加密货币挖矿行为（称为 Cijacking）进行了系统研究。与以往浏览器端挖矿劫持不同，Cijacking 将挖矿活动伪装成正常的 CI 作业，如容器镜像构建和测试，使得检测更加困难。研究者通过分析攻击者必须指定的关键挖矿信息（如钱包地址和矿池域名），从 GitHub 仓库和 CI 平台日志中恢复了攻击痕迹，共发现 1,974 个 Cijacking 实例，涉及 12 种不同加密货币、30 个攻击活动，波及 11 个主流 CI 平台。研究还揭示了攻击策略随平台防护措施演化的过程、挖矿作业的持续时间（长达 33 个月）及其生命周期，并估算出攻击者每月收益超过 2 万美元。为应对这一威胁，作者提出了一种名为 Cijitter 的创新防御技术，通过在 CI 工作流执行中策略性地注入延迟，不成比例地惩罚需要在时间约束下完成一系列任务的挖矿作业。实验评估表明，Cijitter 能显著压缩矿工收益至无利可图，同时对正常 CI 作业性能影响极小（94.3% 的 CI 作业延迟增加低于 10%）。该研究为 DevSecOps 社区提供了重要的威胁情报和实用缓解方案。