Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Контроль пакетов уходит на сетевой край - JFrog Package Traffic Controller закрывает слепую зону: загрузки пакетов, которые обходят Artifactory и политики компании.
- pnpm 11.4: lockfile больше нельзя тихо подменить - pnpm 11.4 ужесточает установку пакетов: несовпадение tarball с lockfile теперь падает ошибкой, а не обновляет хэши молча.
- Отравленный поиск ведет майнеры к мощным GPU - Microsoft описала кампанию криптоджекинга: фальшивые сайты утилит, DLL sideloading и ScreenConnect выбирают пользователей с дорогими GPU.
- Жалоба на Roblox в FTC: обещания безопасности стали риском - Roblox получил жалобу в FTC из-за заявлений о безопасности детей. Теперь публичные обещания платформы становятся зоной контроля.
- Риск цепочки поставок уходит выше по потоку - Socket показывает сдвиг: одной проверки CVE мало. Нужны контроль пакетов, прав публикации и поведения релизов.
- Лишние инструменты замедляют разбор инцидентов - Когда данные об инциденте разбросаны по панелям, тикетам и чатам, команда теряет минуты на склейку контекста.
- Пароли AD без лишней боли для пользователей - Как усилить политику паролей Active Directory без старых правил сложности, лишних сбросов и роста нагрузки на helpdesk.
- AI-агенты уже в работе, но без полной свободы - Опрос Stack Overflow: агентный AI используют 59% разработчиков, но на работе его чаще держат под контролем человека.
- AI-агентам нужна карта инструментов, пока не поздно - Без внутреннего реестра компании теряют видимость того, что могут вызывать AI-агенты, кто за это отвечает и где риск.
- AI-DDoS проверяет готовность, а не только канал - Проблема не в новом ярлыке, а в скорости атак: автоматизация помогает быстрее искать слабые места и менять нагрузку.
- Android уходит к агентам — меняется модель доверия - Google делает Android-разработку удобной для AI-агентов. Командам пора заранее ограничить, что такие инструменты могут читать, менять и запускать.
- Zero-day в Apex One: риск для всей сети агентов - Trend Micro закрыла zero-day в on-premises Apex One. Для атаки нужны доступ к серверу и админские учетные данные, но риск для агентов высок.
- Kiro CLI для AMI: ускоряет, если проверять код - AWS предлагает связку Kiro CLI и EC2 Image Builder для AMI. Польза есть, но только при ревью, версионировании и обычных CI/CD-контролях.
- Bill C-22 превращает метаданные VPN в риск - Если закон заставляет сервисы собирать и хранить больше метаданных, меняется не только приватность, но и модель безопасности.
- Подростки и чатботы: не запрет, а права - CDT просит Meta оценивать чатботы для подростков через права, приватность, доступ и реальные механизмы защиты, а не через запреты.
- 12 часов на патч: CERT-In предупреждает о цене открытого периметра - CERT-In предлагает чинить активно эксплуатируемые уязвимости на критичных и внешних системах за 12 часов, если это возможно.
- Charter и слабое место SaaS-идентичности - Charter подтвердила инцидент, но спорит с ShinyHunters о масштабе утечки. Главный риск — доступ к SaaS через скомпрометированную учетную запись.
- Docker закрыл Copy Fail: риск в доступе к ядру - CVE-2026-31431 — уязвимость Linux kernel. Для Docker важен не взлом, а то, мог ли контейнер достучаться до AF_ALG.
- First VPN закрыли: анонимность дала трещину - Закрытие First VPN показывает: «no logs» не спасает, если у сервиса есть база пользователей, серверы и операционные следы.
- Code Quality в GitHub получил API для репозиториев - GitHub добавил API для включения и настройки Code Quality в отдельных репозиториях. Это важно для команд с большим числом проектов.
- Glassworm: разработчики стали целью цепочки поставки - Срыв Glassworm важен не только как takedown: кампания показывает, почему аккаунты, рабочие станции и секреты разработчиков стали периметром.
- Google и NVIDIA ведут AI-разработчиков глубже в стек - Сообщество Google Cloud x NVIDIA выросло до 100 000 участников. Важнее цифры — курс на GPU, оптимизацию LLM и практику внедрения AI.
- Один забытый токен открыл Grafana приватные репозитории - Инцидент Grafana после атаки на TanStack показывает главный риск CI/CD: если пропустить один токен, зачистка не закончена.
- IntelliJ IDEA 2026.2 EAP: AI глубже, контроль у разработчика - JetBrains открыла EAP для IntelliJ IDEA 2026.2: больше AI в IDE, logpoints, агенты в терминале и новые проверки без отказа от ручного контроля.