这两天我自己排查了一轮 Apifox 这次供应链投毒事件，越排查越后怕。 
最难受的点其实不是“有没有中招”本身，而是这类问题一旦发生，向我这种普通开发者真的会很被动。因为你信任的软件、正常安装的软件，结果自己带毒了。等你发现的时候，最担心的已经不是软件本身，而是本机上的各种信息有没有被读走，比如： 
• Apifox 账号信息 
• 机器指纹、主机名、MAC 地址这类信息 
• shell history 
• Git / npm / SSH / 云平台相关凭证 
• 服务器登录密码、管理后台密码等 
我自己这次已经做了一轮排查和清理，也把本地残留、history 之类都处理了一遍，但说实话，这种事情还是让我有点后怕。 
所以我现在特别想认真请教大家一个问题： 
站在普通开发者 / 独立开发者 / 小团队开发的角度，后续到底应该怎么尽可能避免这类问题？ 
我目前想到的方向有这些，但不确定...