2025年12月25日，Dify正式发布了1.11.2版本，这是2025年的最后一个正式版本。本次更新带来了多项重要功能增强、性能优化和安全修复，显著提升了平台的数据处理能力、日志管理能力和国际化支持，同时全面加强了系统安全性。

一、核心新功能详解

1. InterSystems IRIS向量数据库支持

Dify 1.11.2新增了对InterSystems IRIS向量数据库的支持，这一更新显著增强了平台的数据处理能力。InterSystems IRIS是一款高性能的多模型数据库，支持向量存储和检索，特别适用于AI应用中的语义搜索、推荐系统等场景。

使用场景：

• 企业级AI应用需要高效存储和检索大规模向量数据时
• 需要与现有InterSystems生态系统集成的AI项目
• 构建基于向量检索的智能问答、文档搜索等应用

InterSystems IRIS的向量搜索功能使开发人员能够更轻松地创建使用生成式人工智能的应用程序，完成各种用例的复杂任务，并根据专有数据提供即时响应。这项技术能够通过矢量嵌入对数据平台进行搜索，从而增强软件在自然语言处理、文本和图像分析相关任务中的功能。

2. 阿里云SLS集成

本次更新引入了阿里云Simple Log Service（SLS）集成，允许将工作流执行日志存储到阿里云SLS中。这一特性为阿里云生态用户提供了统一的日志管理解决方案，方便开发者对AI应用的执行过程进行监控和审计。

使用场景：

• 基于阿里云部署的Dify应用需要集中管理工作流日志
• 企业需要符合监管要求的日志存储和审计机制
• 需要实现日志的集中收集、查询和分析

通过阿里云SLS集成，用户可以轻松实现日志的实时采集、存储、查询和分析，同时支持多种数据源接入和丰富的查询分析功能，为应用监控和故障排查提供有力支持。

3. 突尼斯阿拉伯语支持

Dify的国际化能力进一步提升，新增了突尼斯阿拉伯语（ar-TN）翻译。这一更新帮助Dify更好地服务于北非地区的开发者和用户，推进了平台的全球化布局。

突尼斯阿拉伯语是阿拉伯语的一种方言变体，主要在突尼斯及其周边地区使用。这一语言支持的加入，使得Dify能够更好地服务于北非地区的企业和开发者，进一步拓展了平台在全球市场的覆盖范围。

二、功能增强与优化

1. 全面测试覆盖度提升

Dify 1.11.2大幅扩展了Jest测试覆盖范围，为多个核心组件添加了自动化测试。这些增强包括ConfirmModal、AppCard、CustomizeModal等多个组件的测试用例，提升了平台的稳定性和可靠性。

测试覆盖范围：

• 确认模态框组件（ConfirmModal）的全面测试
• 应用卡片组件（AppCard）的测试覆盖
• 自定义模态框组件（CustomizeModal）的测试验证
• 工作流日志组件（workflow-log）的测试增强

这些测试不仅提升了当前版本的稳定性，更为未来的更新提供了可靠的保障机制，确保新功能的迭代不会破坏现有功能，帮助开发者更自信地进行应用扩展。

2. Amplitude用户行为追踪增强

本次更新增强了Amplitude用户行为追踪功能，实现了跨平台的全方位用户行为追踪，为产品分析和优化提供了更深入的数据洞察。

Amplitude是一款产品分析工具，能够帮助团队了解用户如何使用产品、发现增长机会、优化用户体验。通过增强Amplitude集成，Dify用户可以获得更详细的用户行为数据，包括用户活跃度、功能使用情况、转化漏斗等关键指标。

3. 管道设置自动化测试

新增了管道设置的自动化测试，确保未来对管道设置的任何更改都不会破坏用户的优化配置。这一改进提升了配置管理的可靠性，降低了因配置变更导致的问题风险。

4. 响应式聊天界面优化

优化了聊天界面的响应式设计，提升了移动端使用体验。通过使用min-h代替h进行高度设置，实现了更好的响应式布局，确保在不同设备上都能获得良好的用户体验。

三、安全增强与漏洞修复

1. XSS漏洞修复

修复了Mermaid Graph中的XSS（跨站脚本攻击）漏洞。XSS攻击是一种常见的Web安全漏洞，攻击者通过在网页中插入恶意脚本，当其他用户浏览该网页时，脚本会被执行，从而窃取用户信息、篡改网页内容，甚至进行更严重的攻击。

修复措施：

• 在消息中禁用SVG渲染
• 增强SVG清理机制
• 防止恶意脚本注入

这一修复直接提升了Dify应用的安全性，降低了开发者在部署AI应用时的安全风险。

2. SSRF和CSV注入安全修复

解决了SSRF（服务器端请求伪造）和CSV注入安全问题。SSRF攻击允许攻击者利用服务器发起任意请求，可能访问内部网络资源或执行敏感操作。CSV注入则可能通过构造恶意CSV文件实现代码执行。

修复方案：

• 添加内部IP过滤器，在解析工具模式时进行IP过滤
• 增强CSV文件的安全处理机制
• 防止恶意请求的执行

3. 登录密码传输安全性优化

优化了登录密码传输的安全性，确保用户凭证在传输过程中的安全。这一改进增强了用户身份验证的安全性，防止中间人攻击和凭证窃取。

4. 文件上传安全控制

修复了文件上传功能的安全问题，确保当文件上传功能被禁用时，所有上传文件都会被一致地禁用。这一修复防止了通过特定方式绕过上传限制的安全风险。

5. API密钥验证增强

确保HTTPRequest节点中的API密钥不为空，提升了数据完整性。这一改进防止了因空API密钥导致的请求失败或安全风险。

四、功能修复与优化

1. 多语言翻译统一

统一了多语言翻译问题，提供了更一致的全球化体验。修复了多个语言文件中的翻译不一致问题，确保不同语言版本的用户体验保持一致。

2. 文件上传开关状态修复

修复了文件上传开关状态不一致的问题，确保上传功能的开关状态在界面上正确显示，避免用户混淆。

3. 工作流日志搜索输入控制

修复了工作流日志搜索输入的受控状态问题，确保搜索功能在不同场景下都能正常工作，提升了用户体验。

4. 组件内边距调整

调整了组件内边距，改善了界面布局的视觉对齐。这一优化提升了界面的美观度和可读性，使用户在使用过程中获得更好的视觉体验。

5. 工作流过去版本数据同步

修复了工作流过去版本数据同步的问题，确保历史版本的数据能够正确同步和访问，提升了数据管理的可靠性。

五、代码质量与维护改进

1. API和Web控制器重构

大规模重构了API和Web控制器，使未来的更新更容易且性能更优。这一重构提升了代码的可维护性和可扩展性，为后续功能迭代奠定了更好的基础。

2. Jest和Webpack优化

改进了Jest缓存、配置，并在Web组件中迁移到Vitest/ESM，实现了更快、更可靠的测试。这些优化提升了开发效率和测试执行速度。

3. Swagger UI生产环境配置

在生产版本中默认禁用Swagger UI，更加谨慎地控制暴露的信息。这一改进增强了生产环境的安全性，防止敏感信息泄露。

4. 文档清理与优化

清理了文档内容，移除了过时或不准确的信息，提升了文档的质量和可用性。同时优化了文档结构，使用户更容易找到所需信息。

六、升级指南

Docker Compose部署升级

对于使用Docker Compose部署的用户，升级步骤如下：

1. 备份自定义配置（可选）：

cd docker
cp docker-compose.yaml docker-compose.yaml.$(date +%s).bak

2. 获取最新代码：

git checkout main
git pull origin main

3. 停止服务：

docker compose down

4. 备份数据：

tar -cvf volumes-$(date +%s).tgz volumes

5. 升级服务：

docker compose up -d

注意：如果遇到数据库连接错误，请使用以下命令：

docker compose --profile postgresql up -d

源码部署升级

对于源码部署的用户，升级步骤如下：

1. 停止API服务器、Worker和Web前端服务器

2. 获取最新代码：

git checkout 1.11.2

3. 更新Python依赖：

cd api
uv sync

4. 运行数据库迁移：

uv run flask db upgrade

5. 重新启动服务：
   启动API服务器、Worker和Web前端服务器

七、总结与展望

代码地址：github.com/langgenius/dify

Dify 1.11.2版本通过引入新的数据库支持、日志集成功能和语言支持，同时修复了多个关键安全问题，全面提升了平台的功能完整性和可靠性。对于开发者而言，这些更新不仅扩展了Dify的适用场景，也为AI应用的开发和部署提供了更安全、更稳定的环境。

本次更新的核心价值：

• 安全性提升：修复了XSS、SSRF、CSV注入等多个安全漏洞，降低了安全风险
• 数据能力增强：新增InterSystems IRIS向量数据库支持，提升了数据处理能力
• 日志管理优化：集成阿里云SLS，提供了统一的日志管理解决方案
• 国际化支持：新增突尼斯阿拉伯语支持，推进了全球化布局
• 稳定性提升：大幅扩展测试覆盖范围，增强了平台稳定性

Dify作为一款开源的LLM应用开发平台，一直以其低代码、高灵活性的特性深受开发者喜爱。本次1.11.2版本的发布，进一步巩固了Dify在AI应用开发领域的领先地位，为开发者提供了更强大、更安全、更易用的开发工具。