Passbolt API v5.1.0-rc.1 发布：密码过期与加密元数据功能升级

Passbolt 是一款开源的密码管理解决方案，专注于团队协作场景下的安全密码共享。其核心特点是基于密码学原理构建，所有敏感数据在客户端加密后再传输到服务器，确保即使服务器被攻破也不会泄露用户密码。

本次发布的 Passbolt API v5.1.0-rc.1 版本带来了几项重要更新，标志着该产品在安全性和功能性上的持续演进。作为候选发布版本(Release Candidate)，它已经具备生产环境部署的条件，但开发团队仍在收集社区反馈以进行最终优化。

核心功能更新

默认启用密码过期策略

新安装的 Passbolt 实例现在会自动启用密码过期功能。这是一项重要的安全增强措施，强制用户定期更换密码，降低因长期使用同一密码而导致的安全风险。企业级安全实践表明，定期轮换密码能够有效缓解凭证泄露带来的影响。

加密资源元数据功能(Beta)

v5.1.0-rc.1 为所有用户引入了加密资源元数据功能，目前处于 Beta 测试阶段。这项功能允许用户为密码条目添加额外的结构化信息(如服务账号、关联IP等)，且这些元数据会像密码本身一样被端到端加密保护。值得注意的是，该功能已被默认启用，体现了开发团队对其稳定性的信心。

技术优化与修复

在底层架构方面，本次更新包含多项技术改进：

1. 数据检查命令增强：优化了 datacheck 命令以完整支持 v5 资源格式，确保数据迁移和验证过程的可靠性。

2. 日志清理效率提升：修复了 action_logs_purge 命令只能清理100条记录的限制，现在可以高效处理大规模日志数据。

3. URL生成修复：解决了 APP_BASE 变量在 CakePHP URL 生成中被忽略的问题，提高了系统配置的灵活性。

4. API响应优化：在获取元数据密钥时，现在会同时返回创建者信息，便于客户端展示和管理。

5. 数据一致性改进：自动为个人资源补全缺失的元数据密钥ID，防止因数据不完整导致的功能异常。

开发环境升级

为保持技术栈的现代性和安全性，本次更新包含多项依赖库升级：

• 将 bacon/bacon-qr-code 升级至 v3.0 版本，提升二维码生成功能
• 采用 league/flysystem v3.29，优化文件系统抽象层
• 更新 Spomky-Labs/otphp 至 v11.3，增强OTP相关功能
• 用 psalm/phar 替代原 vimeo/psalm，改进静态代码分析工具链

此外，测试套件已扩展至支持 PHP 8.4，确保项目能够兼容最新的PHP运行时环境。测试数据包也经过调整，消除了PHP 8.4下的兼容性问题。

总结

Passbolt API v5.1.0-rc.1 通过默认启用密码过期策略和引入加密元数据功能，进一步强化了其作为企业级密码管理解决方案的地位。这些更新不仅提升了系统的安全性，也为用户提供了更丰富的密码管理维度。配套的技术优化确保了系统的稳定性和可维护性，为正式版的发布奠定了坚实基础。

对于考虑部署或升级Passbolt的组织，这个候选版本已经具备生产环境使用条件，但建议在全面推广前进行充分的测试和评估。开发团队期待用户社区的反馈，以进一步完善这个注重安全与协作的开源密码管理方案。