ci/cd

Преступникам даже не нужно ничего взламывать. Вы и так отдадите всё добровольно. В последнее время киберпреступники всё чаще выбирают в качестве вектора атаки не вредоносное ПО, а тонкую манипуляцию в духе социальной инженерии. Теперь под прицелом — сами разработчики. Специалисты компании...

Сообщения уходили, как обычно… только не туда. Два вредоносных пакета RubyGems, маскирующиеся под популярные Fastlane-плагины, перенаправляют запросы к Telegram API на серверы злоумышленников, чтобы перехватывать и похищать данные разработчиков. Атака затронула процесс непрерывной интеграции...

Тысячи репозиториев, но единицы реальных угроз. Недавняя атака на GitHub Action вновь подняла вопрос о безопасности цепочек поставок ПО и уязвимости CI/CD-конвейеров. Первоначально сообщалось, что было затронуто 23 000 проектов. Однако, детальный анализ ситуации показал, что реальные масштабы...

Глобальная уязвимость может переплюнуть атаку на SolarWinds. Специалисты watchTowr Labs выявили глобальную уязвимость в цепочках поставок ПО, связанную с заброшенными хранилищами Amazon S3. Было обнаружено более 150 S3-бакетов, которые ранее использовались госструктурами, финансовыми...

Запуск пайплайнов теперь сопряжён с неожиданными рисками. GitLab выпустила обновления безопасности для версий Community Edition (CE) и Enterprise Edition (EE), закрывающие восемь уязвимостей, включая критическую ошибку, которая может позволить запускать пайплайны CI/CD на произвольных...

Уязвимость в GitLab позволяет манипулировать конвейерами. GitLab сообщил о критической уязвимости в своих продуктах GitLab Community и GitLab Enterprise, позволяющей злоумышленнику запускать конвейеры от имени любого пользователя. Уязвимость CVE-2024-6385 (оценка CVSS 9.6)...

Как уязвимые серверы превращаются в невидимые майнинг-машины? Недавнее исследование компании Trend Micro выявило, что злоумышленники могут использовать консоль сценариев Jenkins для запуска вредоносных скриптов, направленных на майнинг криптовалют. Это возможно при неправильной настройке...

Компания рекомендует срочно обновиться для защиты от потенциальных атак. GitLab выпустил обновления безопасности для устранения 14 уязвимостей, включая одну критическую, которая может позволить злоумышленникам запускать CI/CD пайплайны от имени любого пользователя. Выявленные недостатки...

Критическая XSS-уязвимость настежь распахивает двери перед злоумышленниками. GitLab выпустил обновления для актуальной линейки своих продуктов, устраняющие опасную уязвимость, которая позволяет неаутентифицированным злоумышленникам захватывать учётные записи пользователей через XSS -атаки...

Господрядчик США уточнил, какая информация попала в руки хакеров. Государственный подрядчик США, компания Acuity, подтвердила факт взлома своих репозиториев на GitHub, в результате которого злоумышленники похитили документы. По утверждению компании, похищенная информация являлась «устаревшей...

Почему политика тотальной непрозрачности стала визитной карточкой известной компании. В недавнем обновлении программного обеспечения для непрерывной интеграции и доставки (CI/CD) TeamCity от JetBrains было исправлено 26 проблем с безопасностью, однако компания не посчитала нужным раскрыть...

Кто такой IntelBroker и что он знает о компании? Компания Hewlett Packard Enterprise ( HPE ) проводит расследование возможного взлома после того, как в интернете появились утверждения о продаже украденных учетных данных HPE и другой конфиденциальной информации компании. Расследование HPE...

Пользователям нужно срочно принять рекомендуемые меры защиты для сохранения контроля над системами. Разработчик популярного открытого ПО для автоматизации CI/CD-процессов (Continuous Integration/Continuous Delivery) Jenkins исправил 9 уязвимостей в системе безопасности, включая одну...

Недоработка платформы стоит разработчикам всей цепочки поставок ПО. ИБ-компания Praetorian обнаружила в среде машинного обучения TensorFlow неправильные настройки системы непрерывной интеграции и доставки (continuous integration/continuous deployment, CI/CD), которые могли быть...

Компания призывает пользователей обновиться как можно скорее. Компания GitLab выпустила обновления безопасности как для Community, так и для Enterprise Edition в целях устранения ряда критических уязвимостей. Разработчики настоятельно рекомендуют обновить все уязвимые версии платформы...