2025 年 12 月关键 Zoho 平台更新：您不能忽视的安全性和 API 更改

立即平台更新（12 月 10 日至 21 日）

Zoho 在 12 月 10 日至 21 日期间推出了多项更新，这些更新会影响您同步文件、响应支持票证以及与第三方系统集成的方式。虽然其中一些更新是功能增强，但其他更新涉及需要立即关注的关键安全策略更改。

WorkDrive TrueSync：Linux 桌面支持

Zoho WorkDrive TrueSync 现在正式支持 Linux 桌面环境，让您的同步代理工作流程在 Windows、macOS 和 Linux 平台上享有同等地位。

这对您意味着什么

• 跨平台奇偶校验： Ubuntu 和 Fedora 桌面用户现在可以像 Windows 和 macOS 用户一样使用 TrueSync
• 同步代理工作流程： 文件观察器、文件系统集成和端点同步操作现在可以在 Linux 上无缝运行
• 开发者友好： 使用 Linux 工作站的开发团队可以直接同步文件，无需解决方法
• 服务器集成： 更轻松地与基于 Linux 的服务器和自动化脚本集成

技术细节

Linux TrueSync 客户端支持：

• 实时文件同步
• 选择性同步（选择要本地同步的文件夹）
• 团队文件夹协作
• 版本历史和冲突解决
• 离线访问同步文件

Zoho Desk：批量回复和人工智能增强

Zoho Desk 12 月的更新为支持团队带来了两项重大改进：带有片段的批量回复模板和工单内扩展的 Zia AI 帮助。

1.群发回复模板+片段

现在，在处理具有类似问题的多个工单时，支持代理可以大规模统一响应。这对于以下情况特别有用：

• 通讯中断： 向所有受影响的客户发送一致的更新
• 产品公告： 使用标准化回复回复有关新功能的询问
• 政策变化： 确保所有客户收到准确的信息
• 季节性反应： 节假日营业时间、发货更新或促销信息

2. Zia 人工智能辅助

Zia 继续通过三个关键功能扩展内部门票：

• 门票摘要： 自动生成长票线程的简明摘要
• 回复帮助： 基于工单上下文和历史数据的建议响应
• 见解： 情感分析、优先推荐和建议标签

平台和自动化要点

几个核心平台功能保持不变，但对于理解集成和自动化至关重要：

在 CRM 中批量写入异步作业

核心批量写入异步作业 Zoho CRM 保持异步和回调/状态驱动。此发布窗口中没有任何变化，但您需要了解以下内容：

• 批量操作继续使用回调来获取完成通知
• 状态检查仍然是监控长时间运行作业的推荐方法
• 对现有批量写入实现没有重大更改
• 速率限制和配额不变

Webhook HMAC 签名

Webhook HMAC 签名实践仍然适用于安全 Webhook 验证。 重要： 项目和签名包含 HMAC 标头，您应始终在 Webhook 接收器中验证这些标头。

// Example webhook validation (Node.js)
const crypto = require('crypto');

function validateWebhook(payload, signature, secret) {
    const hmac = crypto
        .createHmac('sha256', secret)
        .update(JSON.stringify(payload))
        .digest('hex');

    return hmac === signature;
}

// In your webhook handler
if (!validateWebhook(req.body, req.headers['x-zoho-signature'], SECRET)) {
    return res.status(401).send('Invalid signature');
}

记录更新插入语义

记录更新插入语义在这个短暂的发布周期中没有发生变化。 12 月 10 日至 21 日期间没有重大 API 行为公告。您现有的更新插入逻辑将继续按预期工作。

安全关键型政策转变（需要采取行动）

这是你需要密切关注的地方。 Zoho 正在进行两项与安全相关的重大更改，这些更改将影响您对 API 调用进行身份验证和管理 OAuth 连接的方式。

OAuth 连接器弃用：12 月 31 日截止日期

截止日期：2025 年 12 月 31 日

默认 Zoho OAuth 连接器已被弃用。 2025 年 12 月 31 日之后，新的 OAuth 连接将不再出现在默认值中，并且需要替换为特定于服务或自定义的连接，以实现安全的 API 身份验证。

发生了什么变化

• 已删除默认 OAuth 连接器： 通用“Zoho OAuth”连接器将从连接默认值中消失
• 所需的特定于服务的连接： 您必须创建特定于每个 Zoho 服务（CRM、Books、Desk 等）的连接
• 推荐的自定义 OAuth 应用程序： 对于生产集成，请在 Zoho API 控制台中创建自定义 OAuth 客户端
• 现有连接祖父： 12 月 31 日之前创建的连接将继续有效（目前），但建议更新

为什么这很重要

默认的 OAuth 连接器很方便，但存在安全风险：

• 范围太广（访问所有 Zoho 服务）
• 审计和监控更加困难
• 违反最小权限原则
• 难以撤销细粒度访问

如何迁移

1. 审核您的连接： 列出使用默认 OAuth 连接器的所有集成
2. 创建特定于服务的连接： 在每个 Zoho 应用程序中，转到设置 → 开发人员空间 → 连接
3. 创建自定义 OAuth 客户端： 参观 Zoho API 控制台 并创建专用的 OAuth 客户端
4. 更新您的集成： 将默认 OAuth 引用替换为新的特定于服务的连接
5. 彻底测试： 在 12 月 31 日之前验证所有集成是否适用于新连接

大量的 invokeURL 安全更改

状态：已生效

Deluge 的 invokeURL 弃用了嵌入式凭据 已经生效。您不能再在 invokeURL 调用中使用内联身份验证。您现在必须使用连接而不是内联身份验证来进行安全服务调用。

发生了什么变化

以前，您可以将凭据直接嵌入到 Deluge invokeURL 调用中，如下所示：

// DEPRECATED - DO NOT USE
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    parameters: {"username": "user@example.com", "password": "secretpass"}
];

现在你 必须 使用连接：

// Create a Connection in Zoho first, then reference it
response = invokeurl
[
    url: "https://api.example.com/endpoint"
    type: GET
    connection: "your_connection_name"
];

为何进行此更改

• 安全性： 代码中嵌入的凭据可以通过日志、错误消息或代码导出来公开
• 可审核性： 连接提供了哪些集成访问哪些服务的清晰审计跟踪
• 旋转： 在一处更新凭据（连接设置），而不是通过脚本搜索
• 合规性： 满足凭证管理的安全合规性要求

如何更新您的脚本

1. 识别受影响的脚本： 在 Deluge 代码中搜索带有嵌入凭据的 invokeURL 调用
2. 创建连接： 对于每个外部服务，在 Zoho 中创建一个连接
3. 更新invokeURL调用： 将凭据参数替换为连接引用
4. 彻底测试： 验证所有 API 调用均适用于新的基于连接的方法
5. 删除旧凭证： 从代码中删除嵌入的凭据

您的行动项目清单

以下是您针对这些 12 月更新的优先行动计划：

需要有关这些更新的帮助吗？

如果您对这些安全变化感到不知所措或不确定从哪里开始，我们可以提供帮助。 ZMCOR 专门从事 Zoho 集成、API 开发和平台迁移。

我们提供的服务

• OAuth 迁移： 审核并从默认 OAuth 迁移到特定于服务的连接
• Deluge 脚本更新： 将嵌入式凭据转换为安全连接
• 集成测试： 全面测试确保不会出现任何故障
• 文档： 记录您的新连接架构
• 培训： 对您的团队进行新的安全最佳实践培训

领先 Zoho 更新

Zoho 继续快速发展，定期发布新功能、安全改进和平台变更。 2025 年 12 月的更新尤其重要，因为它们涉及需要采取行动的重大更改。

关键要点：

• WorkDrive TrueSync 现在支持 Linux - 非常适合开发团队
• Zoho Desk AI功能持续提升支持效率
• OAuth 连接器弃用要求在 12 月 31 日之前进行迁移
• Deluge 嵌入式凭据已被弃用 - 使用 Connections

不要等到最后一刻。立即开始您的迁移规划，彻底测试，并确保您的集成在 2026 年继续顺利运行。