npm install — такая привычная многим из читателей команда, но за последние пару месяцев она обернулась сущим кошмаром для инженеров по безопасности. И ладно бы всё сводилось к проверке 5 пакетов из package.json, но у каждой зависимости по 10 своих зависимостей, а у тех ещё по 10. В итоге мы…
Несколько поставщиков средств безопасности (Aikido, HelixGuard, Koi Security, Socket, Step Security и Wiz) подали сигнал тревоги о второй волне атак на реестр npm, напоминающих атаку Shai-Hulud. Новая кампания в цепочке поставок получила название Sha1-Hulud и затронула более 25 000 репозиториев через npm с…
Когда волна компрометаций в NPM накрывает экосистему, выясняется неприятное: «знать свои зависимости» недостаточно, если вредонос успевает отработать ещё на этапе установки и сборки. В этом разборе — почему популярные SCA/SBOM-сканеры то молчат, то шумят ложняками на кейсе Shai-Hulud,…
Очевидно, что песчаные дюны не могут говорить друг с другом в том смысле, который мы вкладываем в это понятие. Однако дюны могут влиять на соседей, как бы сообщая этим физическим структурам свою позицию. Это утверждение сделала команда учёных из Кембриджского университета, которая экспериментальным путём установила, что по мере движения песчаные дюны взаимодействуют и отталкивают своих соседей по течению. Читать дальше →