Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Kubernetes обновит старые CVE — сканеры станут шумнее - 1 июня 2026 Kubernetes исправит метаданные старых CVE: риск не новый, но сканеры начнут чаще его показывать.
- Linux вывели из-под возрастной проверки - Калифорния и Колорадо уточняют законы о проверке возраста, чтобы не втянуть Linux-дистрибутивы и open-source проекты в неподходящую модель контроля.
- Вредоносный npm-пакет охотился за файлами Claude - Пакет mouse5212-super-formatter пытался украсть файлы из рабочей папки Claude и выгружал их через GitHub.
- Старый Nexus стал риском для поставки кода - Sonatype предупреждает: устаревшие Nexus Repository могут стать точкой атаки на цепочку поставки ПО.
- 157 отозванных отчётов OSV: риск для CI/CD - OSV отозвала 157 malware-отчётов из-за ложных срабатываний по npm и PyPI. Проблема — как такие записи доходят до CI/CD и блокируют сборки.
- Считыватели номеров добрались до школьной прописки - EFF показала: данные Flock Safety ALPR ищут не только ради тяжких преступлений, но и для школьной прописки, проверок и мелких жалоб.
- Ruby 4.0.5 закрывает ошибку памяти в рантайме - Ruby 4.0.5 исправляет CVE-2026-46727 в getaddrinfo и регрессию сборки из 4.0.4 при C locale.
- SharePoint RCE: низкие права не спасают - Microsoft закрыла CVE-2026-45659 в SharePoint Server: для сетевой RCE достаточно учетной записи Site Member.
- Долгоживущие секреты усиливают атаки на supply chain - Вредоносная зависимость опасна сама по себе. Но масштаб ущерба чаще решают украденные токены, ключи и доступы в CI/CD.
- TanStack в KEV: главный риск — доверие к npm - CISA внесла CVE-2026-45321 по TanStack в KEV: речь о вредоносных npm-версиях под доверенной личностью и краже учетных данных.
- AI-агенты вскрывают долги вашего стека - AI-агентам мешают не только слабые модели. Чаще ломается всё вокруг: данные, контекст, интеграции, мониторинг и управление риском.
- AI-агент вошел в supply chain — ему нужны правила - Кодовые AI-агенты уже ставят зависимости, публикуют артефакты и подключают инструменты. Без доверенного маршрута они расширяют риск.
- Сигналы Akamai в Auth0: риск доходит до входа - Auth0 Actions могут использовать Akamai Supplemental Signals, чтобы включать MFA, отклонять регистрацию и учитывать риск на этапе идентификации.
- Взлом AntV в npm: доверенный пакет украл доверие - Атака на аккаунт мейнтейнера AntV показала: знакомое имя, semver и подписи не спасают, если вредоносный код запускается при установке.
- Спор вокруг Azure Backup for AKS показал дыру без CVE - Microsoft и исследователь разошлись в оценке риска Azure Backup for AKS. Для защитников важен вывод: проверять модель доверия, даже если CVE нет.
- Canvas показал, как риск SaaS доходит до аудитории - Сбой Canvas во время экзаменов напомнил: критический SaaS — часть операционной цепочки, а не просто внешний сервис.
- Баг Cargo бьет по доверию к сторонним реестрам - CVE-2026-5223 позволяет вредоносному crate из стороннего реестра подменять кешированный код другого crate.
- Copilot для Eclipse открыли для проверки - GitHub открыл код плагина Copilot для Eclipse. Теперь команды могут изучить интеграцию в IDE, но не весь облачный сервис Copilot.
- Django 6.1 alpha 1: тестировать пора, выкатывать рано - Django 6.1 alpha 1 замораживает набор функций и подходит для проверки совместимости, но не для продакшена.
- etcd 3.7 beta бьет по больному месту Kubernetes - В etcd v3.7.0-beta.0 появился RangeStream для крупных чтений. Операторам Kubernetes стоит проверить его до релиза.
- GitLab покажет, где устарели CI-компоненты - В GitLab 19.0 появилась карта использования CI-компонентов: кто их запускает, насколько широко они приняты и где остались старые версии.
- GitLab 19.0 меняет разбор зависимостей: важен контекст - Новый SBOM-сканер GitLab смотрит не только на CVE, но и на путь зависимости и достижимость уязвимого кода.
- Asset Store Godot меняет модель доверия - Спор на форуме F-Droid: редактор Godot может остаться открытым, но поиск и доставка ассетов уйдут в закрытый сервис.
- AI Edge Gallery становится полигоном для локальных агентов - Google добавила в AI Edge Gallery экспериментальный MCP, напоминания, историю чатов и системные промпты для тестов мобильных агентов.