最近的供应链攻击利用不可见的 Unicode 字符，向 GitHub 和其他代码仓库注入恶意代码。攻击者利用 Unicode 中的“公共使用区”——为表情符号等符号保留的区域——来表示可执行代码，这些代码对人类和大多数静态分析工具而言，看起来像是空白字符。 讨论的重点在于，尽管已经存在字体区分和代码检查工具等解决方案，为什么还会发生这种情况。一些人认为 IDE *应该* 视觉上标记这些字符，而另一些人则指出 Unicode 对于国际化以及非英语语言的注释是必要的。 提出的解决方案包括完全删除这些 Unicode 范围，实施可配置的 CI 工具来标记拉取请求中的可疑字符，以及质疑在源代码中嵌入潜在的可执行文本字符串的做法。核心问题在于，通过利用 Unicode 的视觉呈现，代码审查和自动化分析可能会被绕过，从而导致漏洞。