GigaTap articles tagged open source security.
- ИИ находит уязвимости быстрее, чем их успевают закрывать - Anthropic сообщает о 10k+ найденных кандидатах багов в рамках Project Glasswing. Проверка и патчи отстают от темпа обнаружения
- Skyway: безопасность OSS через связанную цепочку - Skyway подход OpenSSF: безопасность OSS как связанная система, а не набор инструментов. В центре — видимость и цепочка поставки.
- Сигналы атак на цепочку поставок прячутся в продаже доступов - Продажа GitHub-доступов и утечек часто скрывает ранние сигналы supply-chain атак, но требует валидации и проверки контекста.
- Koofr Vault и доверие в эпоху нулевых знаний - Koofr Vault объединяет клиентское шифрование, открытый код и нулевые знания для защиты данных.
- North Mini Code: проверка работы модели в реальных задачах - Оценка North Mini Code важна для команд DevSec: модель влияет на код, терминалы и CI, требует операционной проверки.
- Меньше ложных тревог — больше пользы от secret scanning - GitHub улучшил проверку секретов с помощью контекстного LLM-анализа. Цель — сократить ложные срабатывания и повысить доверие к алертам.
- Dependency confusion по-прежнему срабатывает — и помогает разведке - Новая кампания с 33 вредоносными npm-пакетами показала: dependency confusion всё ещё помогает атакующим изучать среды разработки и сборки.
- Сканер безопасности остановил сборку до компиляции - F-Droid заблокировал сборку Gradle из-за срабатывания правил suss.json, а не ошибки компилятора.
- Node.js 24.16.0: LTS не отменяет проверку инфраструктуры - Node.js 24.16.0 получил статус LTS. Для продакшена это повод для аудита и тестирования, а не для автоматического обновления.
- AI ускоряет CVE, а не устраняет хаос в цепочке поставок - Рост скорости поиска уязвимостей усиливает давление на процессы учёта, обновления и контроля программных артефактов.
- Anthropic-Cybersecurity-Skills: полезно, но проверяйте перед использованием - Каталог 754 навыков для AI-агентов в безопасности требует проверки, лицензирования и тестирования перед внедрением в работу.
- Выживаемость доказательств: ставка Ethereum на проверку - Ethereum рассматривает долговременную проверку действий AI, а не скорость, через концепцию evidential survivability и OCP.
- Rust 1.96.0: что проверить перед обновлением - Rust 1.96.0 привносит новые range API, макросы assert, изменения в WebAssembly и исправления двух уязвимостей сторонних регистров.
- Три лидера TAG пришли в TOC — и это меняет акценты - Переход трёх бывших руководителей TAG в TOC CNCF показывает, какие практические направления всё сильнее влияют на управление экосистемой.
- zizmor показал, почему парсеры CI критичны для безопасности - Тестирование и исправление zizmor раскрывает слабости GitHub Actions и важность точного анализа CI для защиты секретов и артефактов.
- Развитие Packagist выявило слабое место цепочки поставок - Обнаружен вредоносный код в dev-ветке Laravel-пакета, показана опасность установки нестабильных версий
- Miasma показала предел доверия к цепочке поставок - Атака Miasma через легитимные npm-пакеты показала, что проверка происхождения сборки не защищает от захвата доверенной среды публикации.
- 72 секунды до подмены: как взлом npm-прав изменил картину риска - 31 пакетов Red Hat в npm были подменены за 72 секунды. История не про GitHub, а про доверие к публикации в реестре.
- Black May и GitHub: сначала проверка, потом громкие выводы - SlowMist описала «Black May Serial Attacks» вокруг GitHub. Пока фактов мало: командам стоит проверить доступы, релизы и CI/CD без лишних заявлений.
- Claw Patrol: фаервол перед агентами в продакшене - Deno открыла Claw Patrol — alpha-шлюз для AI-агентов с доступом к реальным системам. Главная идея: контроль вне агента.
- node.js 26.2.0 вышел: проверьте рантайм до внедрения - Node.js 26.2.0 вышел в ветке Current. Это повод для проверок, но не для слепого выката в продакшен.
- GitHub Actions как разлом в цепочке поставки - Risky Business #837 напоминает: ошибка в GitHub Actions может стать инцидентом цепочки поставки, а не мелкой проблемой CI/CD.
- Нашли уязвимость — передайте её тем, кто может исправить - Управление уязвимостями ломается не на поиске, а на передаче: разработчикам нужны контекст, приоритет и доказательства.
- Aurora Store сыплет ошибками: сначала проверьте путь обновлений - HTTP/HTTPS-ошибки в Aurora Store пока не доказывают блокировку Google, но это повод проверить, как вы получаете обновления.
- Agent CLI стали проверкой цепочки поставки - JFrog выпустила agent-belt: CLI-фреймворк для проверки реального поведения coding agents, их tools и workflows до того, как сбой увидят пользователи.
- AI-кодинг требует контроля до коммита - Опыт Relay Network: риски AI-разработки лучше ловить не после PR, а в IDE и pre-commit, пока контекст ещё у разработчика.
- MariaDB Server 12.3 LTS вышел: проверьте до миграции - MariaDB Server 12.3 LTS доступен, первый GA — 12.3.2. Для production это повод для проверки, а не для срочного обновления.
- OpenViking выносит память агентов в отдельный слой - OpenViking предлагает контекстную базу для AI-агентов. Разбираем, где польза, где границы доверия и что проверить перед внедрением.
- AI ищет баги быстрее, чем open source успевает чинить - Проблема уже не только в поиске уязвимостей: сложнее понять, кому доверять отчеты, фиксы, форки и пакеты под давлением времени.
- Elastic Stack 8.19.16: повод для проверки безопасности - Elastic выпустила 8.19.16 с исправлениями потенциальных уязвимостей. Обновление стоит поставить в очередь security-операций.
- GlassWorm ударили по C2: что проверить командам - CrowdStrike заявила о срыве известных C2-каналов GlassWorm. Это снижает контроль атакующих, но не закрывает инцидент.
- Мобильная безопасность держится на проверяемом доверии - F-Droid спорит не о удобстве установки APK, а о том, кто контролирует цепочку доверия на Android — пользователь или платформа.
- OpenClaw нужна настоящая граница доверия - OpenClaw с Zapier MCP обещает удобную автоматизацию, но без узких прав, одобрений и логов агент быстро получает лишнюю власть.
- Контроль пакетов уходит на сетевой край - JFrog Package Traffic Controller закрывает слепую зону: загрузки пакетов, которые обходят Artifactory и политики компании.
- Риск цепочки поставок уходит выше по потоку - Socket показывает сдвиг: одной проверки CVE мало. Нужны контроль пакетов, прав публикации и поведения релизов.
- 157 отозванных отчётов OSV: риск для CI/CD - OSV отозвала 157 malware-отчётов из-за ложных срабатываний по npm и PyPI. Проблема — как такие записи доходят до CI/CD и блокируют сборки.
- OpenSSF растёт под давлением CRA и AI - OpenSSF отчиталась о росте, но главный смысл квартала — переход open source security от разговоров к практическим обязательствам.
- EOL-зависимости требуют отдельной оценки риска - Устаревшие зависимости — не просто старый код. Если поддержка закончилась, обычный процесс патчей может уже не сработать.
- Бэкдор в Laravel Lang: проверьте Composer до утечки секретов - Socket сообщает о RCE-бэкдорах в пакетах Laravel Lang. Проверьте composer.lock, хосты, CI/CD и секреты.
- Безопасность open source держится не только на коде - Вклад в безопасность open source начинается не только с патчей: обучение, документация и навигация по сообществу тоже укрепляют цепочку поставок.
- openSquat находит похожие домены до того, как они навредят - openSquat помогает находить домены-двойники для phishing, brand abuse и threat intelligence до того, как они станут проблемой.
- Компрометация node-ipc снова проверяет доверие к npm на прочность - Socket обнаружила вредоносные версии node-ipc в npm. Разработчикам стоит проверить зависимости, CI и секреты.
- Взлом пакетов TanStack показывает пределы trusted publishing - Компрометация TanStack показала: trusted publishing и OIDC не спасают, если атакующий уже выполняет код внутри CI.
- Agentic coding: нужны curated dependencies, а не blind pulls - Chainguard и Cursor предлагают давать AI-агентам только curated dependencies из доверенного репозитория, а не слепые pulls из public registries.
- CPS получил OpenSSF Gold: практики, которые стоят за этим знаком - Как проект CPS достиг уровня OpenSSF Gold и какие практики безопасности, тестирования и CI/CD действительно имеют значение.
- Апрельский сигнал OpenSSF: сделайте security artifacts operational - Open source security выходит из режима бумажек: OpenSSF делает ставку на operationalization, runtime context и AI-риски.
- Вредоносные Ruby Gems и Go Modules крадут секреты и вмешиваются в CI - Socket обнаружила кампанию с вредоносными Ruby gems и Go modules, которые крадут секреты, вмешиваются в CI/CD и закрепляются в системе.