Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- SonicWall: патч есть, обход MFA остался - На SonicWall Gen6 обновления прошивки недостаточно: без ручной правки LDAP обход MFA для SSL-VPN может сохраниться.
- thesvg: удобные SVG-иконки с явной границей доверия - thesvg помогает подключать тысячи брендовых SVG-иконок, но как любую npm-зависимость его стоит проверять до продакшена.
- Tor Browser 15.0.14: маленький апдейт, который стоит поставить - Tor Browser 15.0.14 обновляет базу Firefox ESR и GeckoView до 140.11.0esr и включает security fixes из Firefox. Лучше не откладывать.
- AI срочно понадобилась модель мира - AI-индустрия смещает фокус с чатботов на системы, которые умеют предсказывать реальность, действовать и вовремя останавливаться.
- Код от AI стал привычным. Узкое место — ревью - AI-инструменты уже пишут целые pull request. Главный риск — не сам код, а нехватка внимательного ревью.
- Взлом Canvas превратил доверие к платформе в проблему простоя для школ - Инцидент с Canvas показал: взлом учебной платформы бьет не только по данным, но и по экзаменам, заданиям и коммуникации.
- Утечка CISA на GitHub: чем опасны секреты сборки - Публичный репозиторий подрядчика CISA якобы раскрыл AWS GovCloud-учётные данные и внутренние детали сборки. Что известно и что проверять.
- Скомпрометированные npm-пакеты угрожали секретам CI/CD - Microsoft описала атаку на пакеты @antv в npm: вредоносный preinstall был нацелен на секреты GitHub Actions, облаков и хранилищ.
- Copy.Fail показывает, почему «локальные» баги Linux давно не локальные - Copy.Fail — локальное повышение привилегий в Linux, опасное для контейнеров, CI/CD, shared-хостинга и рабочих машин разработчиков.
- CVEScannerV2: находки Nmap нужно проверять - CVEScannerV2 превращает результаты Nmap в подсказки по уязвимостям, но его вывод — повод для проверки, а не готовый вердикт.
- Взлом Grafana: один CI-токен оставил дверь открытой - Grafana связала доступ к GitHub с атакой на TanStack: код скачали, но Grafana Cloud и продакшен, по словам компании, не затронуты.
- Киберриски местных властей становятся спором о правах на данные - CDT предупреждает: атаки на системы штатов и муниципалитетов угрожают не только IT, но и приватности, госуслугам и доверию к власти.
- Microsoft переносит проверку безопасности AI-агентов в CI - Microsoft открыла RAMPART и Clarity: инструменты, которые помогают проверять безопасность AI-агентов во время разработки, а не после релиза.
- Patch Tuesday тише, но гонка патчей быстрее - В мае 2026 у Microsoft нет исправленных zero-day, но 118 уязвимостей и 16 критических багов всё равно требуют быстрых обновлений.
- Безопасный обмен файлами полезен только тогда, когда его можно доказать - «Безопасный обмен файлами» — не доказательство. Важны права доступа, шифрование, сроки, журналы и реальные проверки.
- Snyk ставит AI-безопасность ближе к коду - Snyk усиливает партнерскую модель вокруг AI-безопасности: контроль должен появляться там, где AI помогает писать код.
- Storm-2949: когда учётная запись становится периметром - Microsoft описывает Storm-2949: украденных учётных данных хватило для облачного взлома и крупной кражи данных без malware.
- Почему ACLU добивается права судиться с федеральными агентами - ACLU просит Конгресс упростить и прояснить иски против федеральных агентов за нарушения конституционных прав.
- Пробел доверия к JavaScript в вебе - Mozilla напоминает: HTTPS и песочница браузера не доказывают, что пользователь получил именно проверенный JavaScript.
- Отмена RightsCon: потерянный слой координации - Отмена RightsCon — не просто минус конференция, а потеря площадки, где держались связи для работы по цифровым правам.
- npm-пакеты AntV пострадали из-за взлома аккаунта мейнтейнера - Snyk сообщает о более чем 300 вредоносных версиях в 323 npm-пакетах AntV после компрометации аккаунта мейнтейнера.
- Ставка Boston Metal на критические металлы — вопрос выживания - Boston Metal привлекла $75 млн: ближайший бизнес компания строит не на «зеленой» стали, а на дорогих критических металлах.
- Доказательствам нужен архив, а не только лента - Почему видео с телефона становится доказательством только тогда, когда его можно сохранить, проверить и защитить.
- Fox Tempest показывает, почему подписанное вредоносное ПО всё ещё опасно - Microsoft описывает сервис подписи вредоносного кода, которым пользовались киберпреступные группы, включая операторов ransomware.