Forwarded from SecAtor
Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
Checkmarx
New Protestware Found Lurking in Highly Popular NPM Package
Two popular packages, “styled-components” and “es5-ext”, with millions of weekly downloads and thousands of dependent projects, released new Protestware versions. The new versions verify that the infected machine belongs to a Russian user and if so, alter…
Forwarded from Dan Belgrad
Коллеги, как мы помним, среда должна быть безопасной! Сегодня вышла новая часть нашего гайда по построению безопасной инфраструктуры - "Безопасность Kubernetes"
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!
Forwarded from K8s со Слёрм | Анонсы бесплатных мероприятий
«Закрываем вопросы безопасности в Kubernetes», бесплатный вебинар
15 апреля в 19.00 (мск)
В прямом эфире рассмотрим как можно с помощью бесплатных kubernetes operators с открытым исходным кодом закрыть такие вопросы безопасности как:
—Compliance scans
— Vulnerability Scans,
—Sensitive data scans,
—Kubernetes Resources Checks,
—RBAC Management,
—Process Control,
—Network Control,
—File System Control и др.
🦸 Спикер: Дмитрий Евдокимов, Founder и CTO компании Luntry
🔑 Вопросы спикеру можно задавать в этом чате.
Ссылка на трансляцию: https://www.youtube.com/watch?v=ypQizm0IsBc
⚙️ Добавить напоминание в гугл-календарь
Овладеть Kubernetes со всех сторон можно здесь: https://slurm.club/3rmoHtQ
15 апреля в 19.00 (мск)
В прямом эфире рассмотрим как можно с помощью бесплатных kubernetes operators с открытым исходным кодом закрыть такие вопросы безопасности как:
—Compliance scans
— Vulnerability Scans,
—Sensitive data scans,
—Kubernetes Resources Checks,
—RBAC Management,
—Process Control,
—Network Control,
—File System Control и др.
🦸 Спикер: Дмитрий Евдокимов, Founder и CTO компании Luntry
🔑 Вопросы спикеру можно задавать в этом чате.
Ссылка на трансляцию: https://www.youtube.com/watch?v=ypQizm0IsBc
⚙️ Добавить напоминание в гугл-календарь
Овладеть Kubernetes со всех сторон можно здесь: https://slurm.club/3rmoHtQ
Forwarded from Пост Лукацкого
У SANS новый постер вышел - по главным метрикам в корпоративной и облачной ИБ и по модели зрелости процесса управления уязвимостями
👍1
Стоимость виртуального участия 25 $. В составе саммита несколько конференций по информационной безопасности.
https://events.linuxfoundation.org/open-source-summit-north-america/
https://events.linuxfoundation.org/open-source-summit-north-america/
LF Events
Open Source Summit North America | LF Events
The premier vendor-neutral conference for open source developers and technologists to collaborate, share information and learn about the latest technologies and innovations across open source.
Forwarded from Необязательное Мнение
Видяшечка с CISO Forum https://www.youtube.com/watch?v=LPXg-MEamVA
YouTube
CISO Forum 2022: Зловредный Open Source
Мое выступление "Зловредный Open Source: издержки использования чужого кода" на XV Межотраслевом Форуме CISO FORUM. Конференция прошла 12 апреля 2022 г. https://www.infor-media.ru/events/118/3171/
#cisoforum2022 #cisoforum #nodeipc
#cisoforum2022 #cisoforum #nodeipc
👍1