Forwarded from SecAtor
Очередной нокдаун нанесен экосистеме сообщества открытого исходного кода.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
На этот раз российский разработчик Виктор Мухачев npm-пакета event-source-polyfill решил выразил протест российским пользователям, в связи с проведением военной операции на Украине.
17 марта также известный как Yaffle добавил фрагмент кода в свою популярную библиотеку
Polyfill реализует существующие функций JavaScript в веб-браузерах, которые могут их не поддерживать. Пакет расширяет API-интерфейсы EventSource от Mozilla для других браузеров, в которых эта концепция может отсутствовать. Polyfill используется более чем в 135 000 репозиториях GitHub и загружается более 600 000 раз в неделю на npm.
Однако вновь вышедшая версия 1.0.26 event-source-polyfill запускает антивоенные сообщения пользователям из России через 15 секунд после старта и по-прежнему доступна на npm и GitHub. Приложение с обновленным кодом отображает основные тезисы антироссийской пропаганды, рекламу BBC и содержит ссылку на петицию Change.org с примерно аналогичным содержанием, которую подписали якобы 1,2 миллиона.
Печальнее другое, в частности, исследователи Checkmarx надолго после инцидента с polyfill нашли последователей из числа разработчиков npm с миллионами еженедельных загрузок, среди которых оказались es5-ext и styled-components.
Как отмечают многие исследователи, грубое нарушение этических границ и проявленный саботаж отдельных разработчиков в целом подрывают и без того шаткое доверие к библиотекам с открытым исходным кодом, что на фоне участившихся атак на цепочки зависимостей вызывает более критическую реакцию участников сообщества, нежели понимание и поддержку.
Checkmarx
New Protestware Found Lurking in Highly Popular NPM Package
Two popular packages, “styled-components” and “es5-ext”, with millions of weekly downloads and thousands of dependent projects, released new Protestware versions. The new versions verify that the infected machine belongs to a Russian user and if so, alter…
Forwarded from Dan Belgrad
Коллеги, как мы помним, среда должна быть безопасной! Сегодня вышла новая часть нашего гайда по построению безопасной инфраструктуры - "Безопасность Kubernetes"
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!
https://cloud.yandex.ru/docs/overview/security/domains/kubernetes
Это уникальный гайд по безопасности, который раскрывает такие темы, как:
- сетевая безопасность
- аутентификация и управление доступом
- безопасная конфигурация
- шифрование данных и управление секретами
- политики безопасности
- сбор, мониторинг, анализ аудитных логов и др.
Гайд подкреплен ссылками на наши решения из Security Solution Library, которые вы можете использовать согласно инструкциям. Будьте с нами, будьте в безопасности!
Forwarded from K8s со Слёрм | Анонсы бесплатных мероприятий
«Закрываем вопросы безопасности в Kubernetes», бесплатный вебинар
15 апреля в 19.00 (мск)
В прямом эфире рассмотрим как можно с помощью бесплатных kubernetes operators с открытым исходным кодом закрыть такие вопросы безопасности как:
—Compliance scans
— Vulnerability Scans,
—Sensitive data scans,
—Kubernetes Resources Checks,
—RBAC Management,
—Process Control,
—Network Control,
—File System Control и др.
🦸 Спикер: Дмитрий Евдокимов, Founder и CTO компании Luntry
🔑 Вопросы спикеру можно задавать в этом чате.
Ссылка на трансляцию: https://www.youtube.com/watch?v=ypQizm0IsBc
⚙️ Добавить напоминание в гугл-календарь
Овладеть Kubernetes со всех сторон можно здесь: https://slurm.club/3rmoHtQ
15 апреля в 19.00 (мск)
В прямом эфире рассмотрим как можно с помощью бесплатных kubernetes operators с открытым исходным кодом закрыть такие вопросы безопасности как:
—Compliance scans
— Vulnerability Scans,
—Sensitive data scans,
—Kubernetes Resources Checks,
—RBAC Management,
—Process Control,
—Network Control,
—File System Control и др.
🦸 Спикер: Дмитрий Евдокимов, Founder и CTO компании Luntry
🔑 Вопросы спикеру можно задавать в этом чате.
Ссылка на трансляцию: https://www.youtube.com/watch?v=ypQizm0IsBc
⚙️ Добавить напоминание в гугл-календарь
Овладеть Kubernetes со всех сторон можно здесь: https://slurm.club/3rmoHtQ
Forwarded from Пост Лукацкого
У SANS новый постер вышел - по главным метрикам в корпоративной и облачной ИБ и по модели зрелости процесса управления уязвимостями
👍1
Стоимость виртуального участия 25 $. В составе саммита несколько конференций по информационной безопасности.
https://events.linuxfoundation.org/open-source-summit-north-america/
https://events.linuxfoundation.org/open-source-summit-north-america/
LF Events
Open Source Summit North America | LF Events
The premier vendor-neutral conference for open source developers and technologists to collaborate, share information and learn about the latest technologies and innovations across open source.
Forwarded from Необязательное Мнение
Видяшечка с CISO Forum https://www.youtube.com/watch?v=LPXg-MEamVA
YouTube
CISO Forum 2022: Зловредный Open Source
Мое выступление "Зловредный Open Source: издержки использования чужого кода" на XV Межотраслевом Форуме CISO FORUM. Конференция прошла 12 апреля 2022 г. https://www.infor-media.ru/events/118/3171/
#cisoforum2022 #cisoforum #nodeipc
#cisoforum2022 #cisoforum #nodeipc
👍1
https://github.com/invictus-ir/Invictus-AWS
Invictus-aws is a python noscript that will help automatically enumerate and acquire relevant data from an AWS environment. The tool doesn't require any installation it can be run as a standalone noscript with minimal configuration required. The goal for Invictus-AWS is to allow incident responders or other security personnel to quickly get an insight into an AWS environment to answer the following questions:
What services are running in an AWS environment
For each of the services what are the configuration details
What logging is available for each of the services that might be relevant in an incident response scenario.
Invictus-aws is a python noscript that will help automatically enumerate and acquire relevant data from an AWS environment. The tool doesn't require any installation it can be run as a standalone noscript with minimal configuration required. The goal for Invictus-AWS is to allow incident responders or other security personnel to quickly get an insight into an AWS environment to answer the following questions:
What services are running in an AWS environment
For each of the services what are the configuration details
What logging is available for each of the services that might be relevant in an incident response scenario.
GitHub
GitHub - invictus-ir/Invictus-AWS: A tool for AWS incident response, that allows for enumeration, acquisition and analysis of data…
A tool for AWS incident response, that allows for enumeration, acquisition and analysis of data from AWS environments for the purpose of incident response. - GitHub - invictus-ir/Invictus-AWS: A t...