Bezpieczeństwo Oprogramowania

GitHub wprowadza istotne zmiany w wersji 12 narzędzia npm, które domyślnie wyłączą wykonywanie skryptów instalacyjnych (preinstall, install, postinstall) dla zależności, aby przeciwdziałać zagrożeniom w łańcuchu dostaw oprogramowania. Celem jest zablokowanie możliwości uruchamiania złośliwego kodu za pośrednictwem mechanizmu hooków cyklu życia npm, wymagając od użytkowników jawnej zgody na uruchomienie skryptów, co znacząco zwiększy bezpieczeństwo projektów Node.js.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)

Artykuł omawia nową, poważną kategorię zagrożeń w ekosystemie open source, wywołaną przez zaawansowane modele AI, które potrafią łączyć istniejące luki w sposób kreatywny i nieprzewidywalny. Autorzy podkreślają, że obecne mechanizmy zarządzania bezpieczeństwem open source, w tym skoordynowane ujawnianie luk i model konsumpcji oprogramowania, są niewystarczające do radzenia sobie z tym problemem na skalę globalną. Wskazują na potrzebę dwóch planów działania: usprawnionego systemu skoordynowanego ujawniania luk (Plan A) oraz stworzenia zaufanego, scentralizowanego mechanizmu utrzymywania tzw. “forków” (wersji projektów) dla projektów, które nie są aktywnie rozwijane lub łatane przez oryginalnych twórców (Plan B), co stanowi “najtrudniejszy fork” w historii rozwoju oprogramowania.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)

Microsoft wprowadza w Visual Studio Code dwugodzinne opóźnienie automatycznych aktualizacji rozszerzeń, aby zwiększyć bezpieczeństwo przed zagrożeniami w łańcuchu dostaw oprogramowania; funkcja ta, wprowadzona w wersji 1.123, nie dotyczy rozszerzeń od zaufanych wydawców i pozwala użytkownikom na natychmiastową aktualizację ręczną, wpisując się w szerszy trend wzmacniania zabezpieczeń pakietów oprogramowania.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐ (7/10)