ZenStack 2.13.0版本发布：安全增强与策略功能升级

项目简介

ZenStack是一个基于Prisma构建的现代数据访问层框架，它为开发者提供了强大的数据建模、访问控制和业务逻辑封装能力。通过扩展Prisma的功能，ZenStack让开发者能够以声明式的方式定义数据访问策略，并自动生成类型安全的客户端代码。

关键安全修复

本次2.13.0版本包含了一个关键的安全修复，涉及嵌套的updateMany和deleteMany操作。在某些特定条件下，这些操作可能会影响到比预期更多的数据实体。具体来说，当同时满足以下三个条件时会出现此问题：

1. 在顶层update查询下使用嵌套的updateMany/deleteMany
2. 被嵌套更新的模型包含引用自身字段的访问策略，或者是多态模型
3. 顶层更新查询使用非ID的唯一字段作为过滤条件

举例说明，假设有一个用户模型和文章模型，文章模型定义了访问策略只允许更新未发布的文章。当使用用户的email字段（非主键的唯一字段）作为顶层过滤条件进行嵌套更新时，原本应该只更新与该用户关联的文章，但由于此bug，过滤条件可能会丢失，导致可能更新到其他用户的文章。

值得注意的是，即使出现此问题，模型的访问策略仍然会生效，因此并非所有情况下都会导致数据错误。但出于安全考虑，建议用户尽快升级到2.13.0版本。

新特性介绍

Prisma 6.5支持

从2.12.3版本开始，ZenStack已经支持Prisma 6.5版本，用户现在可以享受到Prisma最新版本带来的各项改进和功能增强。

访问策略函数支持

本次版本新增了对currentModel和currentOperation函数的支持，开发者现在可以在访问策略规则中调用这些函数（#1984）。这为编写更灵活、更细粒度的访问控制逻辑提供了可能。

其他改进与修复

1. Zod集成改进：修复了带有默认值的JSON字段的Zod模式生成问题，确保类型定义更加准确。

2. 类型导出优化：改进了模型元数据类型的重新导出机制，确保这些类型在所有使用场景下都可用。

3. Enhanced类型助手：现在无论是否使用逻辑Prisma模式，都会生成Enhanced类型助手，提高了类型系统的可用性。

4. 委托模型类型修复：解决了委托模型名称较长时的TypeScript类型定义问题（#1994）。

5. CLI工具改进：修复了当@default引用auth()布尔类型字段时，zenstack generate命令可能出错的问题（#2038）。

升级建议

对于正在使用ZenStack的项目，特别是那些使用了嵌套updateMany/deleteMany操作的项目，强烈建议尽快升级到2.13.0版本。同时，可以考虑启用Prisma的严格undefined检查预览功能，这可以作为查询转换问题的额外安全防护。

ZenStack持续致力于为开发者提供安全、高效的数据访问解决方案，2.13.0版本的发布进一步提升了框架的稳定性和功能性，为构建企业级应用提供了更坚实的基础。