Полный статический архив статей GigaTap о VPN, privacy, OPSEC и безопасности.
- Река Сват против гидроэнергетики: испытание согласия и гарантий для торвали - Торвали в пакистанском Свате добиваются защиты реки от ГЭС: решение кабинета есть, но борьба не окончена.
- Скрытый налог сломанной атрибуции LinkedIn Ads - Сломанная атрибуция LinkedIn Ads искажает CRM, портит оптимизацию и заставляет команды тратить часы на ручную сверку данных.
- Новый стандарт ~/Projects и неделя Linux supply-chain реальности - Новый каталог ~/Projects может стать полезным стандартом, а инциденты с PyPI и CI/CD снова напоминают о рисках supply-chain.
- Чеклист внедрения Trivy: что проверить перед rollout - Что оценить перед внедрением Trivy: scope, maintenance, deployment model, доступы, риски CI/CD и чувствительность scan results.
- Когда F-Droid не видит tags, обновления исчезают - F-Droid может не заметить новые release tags, и пользователи privacy-приложений остаются на старых builds без явного предупреждения.
- agenticSeek и компромисс локального AI-агента - agenticSeek обещает локального AI-агента без платных API, но локальный запуск не отменяет вопросы безопасности, зрелости и контроля.
- AWS представила preview сканирования кода на уровне всего репозитория - AWS Security Agent получил preview full-repository scanning: меньше сырых SAST-alerts, больше контекстных security findings.
- Beelzebub: что проверить перед развертыванием AI deception - Beelzebub выглядит интересным deception-фреймворком, но перед внедрением важно проверить модель развертывания, изоляцию, поддержку и GPL-3.0.
- Канадский C-22 возвращает спор о backdoor - Bill C-22 в Канаде снова поднимает спор о lawful access, metadata retention и backdoor в encrypted services.
- Порталы Canvas снова дефейснули — реальный риск в доверии пользователей - Дефейс login-порталов Canvas — не косметическая проблема, а риск для identity, phishing и доверия пользователей.
- CISA KEV Alert: баги Skia и V8 — это не только проблемы браузера - CISA добавила CVE-2026-3909 в Skia и CVE-2026-3910 в V8 в KEV. Это уже реальные атаки, а не теория.
- Риск утечки Composer token: обновитесь, пока CI logs не стали проблемой - Packagist призывает обновить Composer: из-за изменения формата GitHub token некоторые tokens могли попасть в CI logs.
- Цифровой вред — часть protection work в зонах конфликта - Почему digital harm в войне и кризисах нужно рассматривать как часть protection work, а не только как задачу IT.
- Dirty Frag: root в Linux, даже если user namespaces отключены - Dirty Frag — Linux kernel LPE-цепочка для получения root. Главный риск: отключение unprivileged user namespaces само по себе не закрывает эксплуатацию.
- Отключения интернета на экзаменах — плохая античитерская политика - Отключения интернета ради борьбы со списыванием вредят миллионам людей и не имеют доказанной эффективности.
- Hysteria: быстрый proxy-проект для сложных сетей - Hysteria — open-source proxy на Go для сложных сетей, censorship circumvention и работы с QUIC, UDP, SOCKS5, HTTP proxy, TUN и VPN.
- Ирландское расследование против Meta проверяет реальную силу DSA - Ирландский регулятор проверит, мешает ли Meta пользователям выбирать feed без profiling в Facebook и Instagram.
- MetInfo RCE уже эксплуатируют. Время установки патча критично - CVE-2026-29014 в MetInfo CMS активно эксплуатируют. Патч уже доступен, а администраторам стоит срочно проверить версии, плагины и логи.
- PAN-OS RCE: считайте exposure на edge уже инцидентом - Критическая RCE в PAN-OS уже эксплуатируется ограниченно. Для exposed edge-устройств это вопрос containment, а не просто patch management.
- Signal в F-Droid? Reproducible Builds — это только первый шаг - Reproducible Builds для Signal на Android — важный прогресс, но не гарантия безопасности, официальности или готовности для всех.
- Trivy сканирует места, где скрывается современный security debt - Trivy — open source scanner от Aqua Security для поиска vulnerabilities, misconfigurations, secrets и SBOM-данных в cloud-native средах.
- Поставщик заявил, что supply chain атака на Daemon Tools локализована - Разработчик Daemon Tools заявил о локализации supply chain атаки, удалении подозрительных файлов и проверке установочных пакетов.
- Когда расследование утечки в FBI проверяет First Amendment - Расследование FBI вокруг публикации The Atlantic о Kash Patel поднимает вопрос: защита закона или давление на прессу?
- 100% package test coverage — это конкретный показатель, а не лозунг - Chainguard заявляет о 100% package test coverage в своей OS. Почему это важно для rolling updates и где границы такого утверждения.