ZenStack 2.13.0版本发布:安全增强与策略功能升级
项目简介
ZenStack是一个基于Prisma构建的现代数据访问层框架,它为开发者提供了强大的数据建模、访问控制和业务逻辑封装能力。通过扩展Prisma的功能,ZenStack让开发者能够以声明式的方式定义数据访问策略,并自动生成类型安全的客户端代码。
关键安全修复
本次2.13.0版本包含了一个关键的安全修复,涉及嵌套的updateMany和deleteMany操作。在某些特定条件下,这些操作可能会影响到比预期更多的数据实体。具体来说,当同时满足以下三个条件时会出现此问题:
- 在顶层
update查询下使用嵌套的updateMany/deleteMany - 被嵌套更新的模型包含引用自身字段的访问策略,或者是多态模型
- 顶层更新查询使用非ID的唯一字段作为过滤条件
举例说明,假设有一个用户模型和文章模型,文章模型定义了访问策略只允许更新未发布的文章。当使用用户的email字段(非主键的唯一字段)作为顶层过滤条件进行嵌套更新时,原本应该只更新与该用户关联的文章,但由于此bug,过滤条件可能会丢失,导致可能更新到其他用户的文章。
值得注意的是,即使出现此问题,模型的访问策略仍然会生效,因此并非所有情况下都会导致数据错误。但出于安全考虑,建议用户尽快升级到2.13.0版本。
新特性介绍
Prisma 6.5支持
从2.12.3版本开始,ZenStack已经支持Prisma 6.5版本,用户现在可以享受到Prisma最新版本带来的各项改进和功能增强。
访问策略函数支持
本次版本新增了对currentModel和currentOperation函数的支持,开发者现在可以在访问策略规则中调用这些函数(#1984)。这为编写更灵活、更细粒度的访问控制逻辑提供了可能。
其他改进与修复
-
Zod集成改进:修复了带有默认值的JSON字段的Zod模式生成问题,确保类型定义更加准确。
-
类型导出优化:改进了模型元数据类型的重新导出机制,确保这些类型在所有使用场景下都可用。
-
Enhanced类型助手:现在无论是否使用逻辑Prisma模式,都会生成
Enhanced类型助手,提高了类型系统的可用性。 -
委托模型类型修复:解决了委托模型名称较长时的TypeScript类型定义问题(#1994)。
-
CLI工具改进:修复了当
@default引用auth()布尔类型字段时,zenstack generate命令可能出错的问题(#2038)。
升级建议
对于正在使用ZenStack的项目,特别是那些使用了嵌套updateMany/deleteMany操作的项目,强烈建议尽快升级到2.13.0版本。同时,可以考虑启用Prisma的严格undefined检查预览功能,这可以作为查询转换问题的额外安全防护。
ZenStack持续致力于为开发者提供安全、高效的数据访问解决方案,2.13.0版本的发布进一步提升了框架的稳定性和功能性,为构建企业级应用提供了更坚实的基础。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
FreeSql功能强大的对象关系映射(O/RM)组件,支持 .NET Core 2.1+、.NET Framework 4.0+、Xamarin 以及 AOT。C#00
项目优选
kernel
docs
pytorch
ops-math
kernelAscendNPU-IR
openGauss-server
RuoYi-Vue3MindSpeed-LLM