Несколько популярных пакетов npm взломаны и заражены инфостилером
Исследователи предупреждают о новой атаке на цепочку поставок. Десять пакетов npm, некоторые из которых существуют почти 10 …
Для борьбы с вредоносными обновлениями в PyPI появится система архивации
В Python Package Index (PyPI) появится система «Архивации проектов» (Project Archival), которая позволит архивировать проект…
Семь бед — один Semgrep. Ищем уязвимый код с помощью кастомных правил
Статический анализ безопасности приложений (SAST) нужен для анализа исходного кода или байт‑кода без выполнения программы. Эта дополнительная проверка помогает заранее обнаружить уязвимый код. Однако с настройками по умолчанию SAST малоэффективен. В этой статье посмотрим, как можно его улучшить.
Вредоносные пакеты из npm похищали приватные ключи Ethereum-разработчиков
В npm нашли сразу 20 вредоносных пакетов, выдающих себя за среду разработки Hardhat, которую используют Ethereum-разработчик…
В коде многих приложений для iOS и Android нашли ключи для AWS и Azure
Многие популярные приложения для iOS и Android содержат жестко закодированные, незашифрованные учетные данные для облачных с…
Группа Lazarus атакует Python-разработчиков с помощью фейковых тестовых заданий
Аналитики ReversingLabs предупреждают, что участники северокорейской хак-группы Lazarus выдают себя за рекрутеров и предлага…
Арестованы лица, помогавшие северокорейским специалистами устраиваться на работу в ИТ-компании
Министерство юстиции США предъявило обвинения пяти лицам (гражданке США, украинцу и трем гражданам других стран) за участие …
Один из ключевых разработчиков Nginx заявил о создании своего форка
Максим Дунин, один из трех ключевых разработчиков Nginx, объявил, что создает собственный форк проекта — FreeNginx. Дунин об…
Десятки уязвимостей в Squid не могут исправить уже 2,5 года
Еще в 2021 году ИБ-исследователь Джошуа Роджерс выявил 55 уязвимостей в Squid, популярном кеширующем прокси-сервере с отрыты…
Valve усилит меры безопасности после взлома аккаунтов нескольких разработчиков
Недавно аккаунты, принадлежащие нескольким разработчикам игр, были взломаны, а для их игр вышли обновления с вредоносным ПО.…
CISA предупреждает о рисках взлома из-за уязвимостей IDOR
Веб-приложения с небезопасными прямыми ссылками на объекты (IDOR, Insecure direct object references) подвергаются значительн…
КодингДля начинающих
Безопасный питон. Осваиваем приемы защищенного кодинга на Python
Сегодня мы поговорим о том, что должно волновать каждого крутого программиста, — о безопасном коде. Ты думаешь, это скучно и сложно? Ничуть! Я поделюсь с тобой своим опытом и покажу, как научиться писать на Python код, за который потом не придется краснеть.
Apple потребует от разработчиков объяснить, почему они используют определенные API
Компания Apple сообщает, что начиная с осени текущего года разработчики приложений будут обязаны указывать причину использов…
Экспериментальный проект «Росомаха» использует ИИ, чтобы чинить код на лету
Разработчик под ником BioBootloader представил проект Wolverine, который дает программам на Python «способность к регенераци…
Против .NET-разработчиков используют вредоносные пакеты NuGet
Эксперты JFrog предупредили, что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их с…
Для всех пользователей GitHub заработал поиск случайных утечек ключей API, паролей, токенов
GitHub объявил, что сервис для сканирования публичных репозиториев на предмет случайных утечек конфиденциальных данных (ключ…
Разработчик core-js пожаловался, что за опенсорс не хотят платить
Денис Пушкарев, автор популярнейшей библиотеки core-js, которую используют миллионы сайтов и от которой зависит множество др…
Злоумышленники могут использовать GitHub Codespaces для размещения и доставки малвари
Trend Micro сообщает, что облачная среда разработки GitHub Codespaces, доступная широкой публике с ноября 2022 года, может и…
Google запускает OSV-Scanner для поиска уязвимостей в опенсорсных проектах
Кампания Google объявила о запуске опенсорсного OSV-Scanner, который должен облегчить разработчикам поиск уязвимостей в прое…
Из-за случайно забытого на GitHub пароля утекли данные пациентов AstraZeneca
ИБ-специалист обнаружил на GitHub учетные данные для внутреннего сервера фармацевтического гиганта AstraZeneca. По его слова…
Десятки пакетов PyPI распространяют инфостилера W4SP
Компания Phylum, специализирующаяся на безопасности цепочки поставок, обнаружила в репозитории PyPI 29 вредоносных пакетов, …
Часть разработчиков Nginx вернулась в Россию и запустила проект Angie
Издание «Коммерсант» сообщило, что часть команды разработчиков Nginx вернулась в Россию (F5 Networks ушла с рынка РФ после н…
Компания Toyota случайно оставила на GitHub ключ доступа и допустила утечку пользовательских данных
Toyota Motor Corporation предупредила о возможной утечке личной информация клиентов. Дело в том, что около пяти лет на GitHu…
Баг 15-летней давности в Python угрожает 350 000 проектов
Старая уязвимость в Python, CVE-2007-4559, обнаруженная еще в 2007 году, вновь оказалась в центре внимания. Выяснилось, что …
Более 1800 приложений для iOS и Android содержат жестко закодированные учетные данные AWS
Эксперты Symantec Threat Hunter Team предупредили, что разработчики мобильных приложений часто раскрывают учетные данные от …
Разработчики AdGuard пытаются адаптироваться к правилам Manifest v3
Разработчики блокировщика рекламы AdGuard подготовили экспериментальную версию своего расширения, совместимую с печально изв…
Хакеры атакуют разработчиков пакетов из PyPI
Администрация PyPI предупредила о фишинговой кампании, направленной на мейнтейнеров опубликованных в репозитории пакетов. Зл…
В коммерческих ИБ-продуктах без разрешения используется чужой код
На конференции Black Hat 2022 выступил известный эксперт по безопасности macOS, основатель Objective-See Foundation Патрик У…
Опенсорсный проект GradeJS поможет найти уязвимости в npm-пакетах
Опенсосрный проект GradeJS позволяет анализировать «собранный» код сайтов, без доступа к оригинальному исходному коду. Серви…
Российским разработчикам запретили загружать и обновлять платные приложения в Google Play
В конце прошлой недели компания Google сообщила, что из-за санкций будет блокировать российских разработчиков от загрузки ил…
В 2023 году двухфакторная аутентификация на GitHub станет обязательной
GitHub сообщает, что вводит новые правила, касающиеся безопасности и двухфакторной аутентификации (2ФА). К концу 2023 года в…
VK представила масштабное обновление платформы Tarantool
VK представила масштабное обновление платформы in-memory-вычислений Tarantool. Теперь технология доступна в трех версиях: ве…
ФСИН предлагает привлекать осужденных IT-специалистов к удаленной работе на бизнес
По информации СМИ, ФСИН рассматривает возможность привлечения IT-специалистов, отбывающих наказание в исправительных центрах…
Из App Store удаляют устаревшие приложения
Разработчики жалуются, что Apple борется с приложениями, которые давно не получали обновлений. Авторам таких продуктов дают …
GitHub будет автоматически блокировать коммиты с API-ключами и токенами аутентификации
GitHub представил новую функцию, направленную на защиту разработчиков от случайных утечек. Теперь GitHub Advanced Security б…
Разработчики Google рассказали, как будут внедрять Manifest V3
Компания Google рассказала о планах поэтапно отказаться от использования Manifest V2, который определяет возможности и огра…
Два слова о трехзначной логике. Как работают троичные компьютеры и чем они интересны
Компьютеры, использующие троичную логику, придуманы давно — еще в 1958 году. Может ли найти применение троичная логика в современных компьютерах? Крис Касперски считал, что это вполне возможно.
Реклама
«Можно бить разработчиков за баги, а можно внедрить SRE» — о чём говорили на митапе «Слёрма»
Зачем нужно SRE, когда есть DevOps, что такое SLO и бюджет на ошибки, каким компаниям точно не надо внедрять новую методологию, существуют ли джуниор-инженеры по SRE и сколько платят опытным. Об этом и не только говорили на митапе «Слёрма» «Профессия SRE: практика и мифы».
Контейнерно-модульное тестирование. Пишем юнит-тесты для образов Docker
Не все компоненты ПО имеют очевидные, известные и понятные пути тестирования. К примеру, образы Docker либо не тестируют вообще, либо тестируют только на пригодность к запуску. В этой статье я расскажу, как протестировать образ Docker так, чтобы убедиться в том, что он на 100% выполняет свои задачи.
Google заменит APK форматом Android App Bundle
Разработчики Google объявили, что с августа 2021 года все новые приложения, загружаемые в Google Play Store, должны будут и…
Бумажный спецвыпуск
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
- доступ к платным материалам сайта
- доступ ко всем номерам PDF
4000 р.
на год
на год
920 р.
на месяц
на месяц
Материалы для подписчиков
Трюки
Вопросы по материалам и подписке: support@glc.ru
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —
самой забойной защитой от DDoS в мире
Отдел рекламы и спецпроектов: yakovleva.a@glc.ru
Контент 18+
Сайт защищен Qrator —самой забойной защитой от DDoS в мире