IBM запускает проект по патчингу открытого ПО - проект Lightwell.
На проект планируется выделить 5 млрд долларов и 20 000 инженеров. Патчить планируют с использованием ИИ агентов. Отдельно отмечаются желание в процессе не сломать, что уже работает.
Первыми целями проекта выбраны Maven и экосистема Java с расширением до PyPI, npm, Go и другого ПО.
Что это означает на практике - нас ждёт ещё больше патчей для опенсорса, но это все равно лучше чем непатченные уязвимости.
Если ваша организация автор популярного опенсорса - стоит рассмотреть возможность присоединения к программе.
На проект планируется выделить 5 млрд долларов и 20 000 инженеров. Патчить планируют с использованием ИИ агентов. Отдельно отмечаются желание в процессе не сломать, что уже работает.
Первыми целями проекта выбраны Maven и экосистема Java с расширением до PyPI, npm, Go и другого ПО.
Что это означает на практике - нас ждёт ещё больше патчей для опенсорса, но это все равно лучше чем непатченные уязвимости.
Если ваша организация автор популярного опенсорса - стоит рассмотреть возможность присоединения к программе.
Ibm
Lightwell
Project Lightwell is IBM and Red Hat’s new approach to securing open source software across the full lifecycle, from upstream code to enterprise deployment.
Если у вас или ваших подрядчиков есть разработка на C# - имеет смысл запланировать тестирование нового функционала по безопасной работе с памятью на конец 2026.
Начиная с .Net 11 (релиз ноябрь 2026) этот функционал будет доступен в режиме превью. В .Net 12 (ноябрь 2027) возможно включение по умолчанию.
Если не терпится протестировать - скорее всего, часть функционала будет доступно в превью 5 .Net 11 (релиз 9 июня 2026).
Зачем это кибербезу - уменьшение потока уязвимостей при работе с памятью от выявления и тиража до устранения.
Начиная с .Net 11 (релиз ноябрь 2026) этот функционал будет доступен в режиме превью. В .Net 12 (ноябрь 2027) возможно включение по умолчанию.
Если не терпится протестировать - скорее всего, часть функционала будет доступно в превью 5 .Net 11 (релиз 9 июня 2026).
Зачем это кибербезу - уменьшение потока уязвимостей при работе с памятью от выявления и тиража до устранения.
Microsoft News
Improving C# Memory Safety
The `unsafe` keyword is being redesigned to mark caller-facing contracts rather than just syntax. Safety obligations between callers and callees become visible and reviewable. The model is motivated by the rise of AI-assisted code generation and arrives as…
Авторы пакетного менеджера для php The Composer взяли путь на улучшение практик безопасности. Первым шагом внедрили сканер на вредоносное ПО от Aikido security, поиск уязвимостей и заброшенных пакетов. В планах различные функции для борьбы с атаками на цепочки поставок mfa и fido2 релизный флоу.
https://blog.packagist.com/an-update-on-composer-packagist-supply-chain-security/
https://blog.packagist.com/an-update-on-composer-packagist-supply-chain-security/
Private Packagist
An update on Composer & Packagist supply chain security
The last months, and even more so the last weeks, saw an increasing amount of software supply chain attacks targeting open-source ecosystems. A handful of these have hit the PHP ecosystem too, via taken-over GitHub accounts and stolen access tokens that let…
Новый черновик стандарта IETF по работе ИИ-агентов с DNS. Есть требование по по использованию DNSSEC.
Поддержан Linux foundation .
Поддержан Linux foundation .
www.linuxfoundation.org
Linux Foundation Announces DNS-AID Project to Advance Decentralized AI Agent Discovery
А вы проверяете ссылки которые вам выдают LLM и агенты , прежде чем по ним переходить?
Если нет, то стоит начать.
Новый вектор атаки опробованный на Firefox и chatgpt
https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability
Если нет, то стоит начать.
Новый вектор атаки опробованный на Firefox и chatgpt
https://permiso.io/blog/chatgpt-markdown-rendering-vulnerability
permiso.io
ChatGPhish: The Page Is the Payload
Any web page a victim asks ChatGPT to summarize can become a phishing payload. P0 Labs research reveals a Markdown rendering vulnerability in ChatGPT's response UI.
Готовится к релизу новая версия открытой ИИ модели MinMax 3. https://www.minimax.io/blog/minimax-m3 В течении 10 дней обещали выложить веса и полноценный техрепорт. Но уже можно через API и на сайте оценить. По бенчмаркам самих авторов им удалось достичь уровня GPT 5.5, ждем релиза и независимой оценке. В предварительном отчете ни слова ни бенча про кибербезопасность или safety.
MiniMax
MiniMax M3: Frontier Coding, 1M Context, Native Multimodality — All in One Model - MiniMax Research
M3 reaches frontier capability on coding and agentic tasks, introduces the brand-new MSA (MiniMax Sparse Attention) supporting up to 1M context, and is a natively multimodal model. It is the only domestic model combining all three Frontier essentials and…
8 стран ЕС запустили европейский soc ENSOC. Будем надеяться, что подобное уже есть или скоро будет в ЕАЭС.
www.ensoc.eu
ENSOC - Cross-Border Cybersecurity Platform
ENSOC enhances cybersecurity resilience by enabling cross-border collaboration, cyber threat intelligence sharing, and advanced detection capabilities.
🔥1
Известные требования США в области здравоохранения HIPPA получили новые разделы по кибербезопасности - требования по шифрованию, многофакторной аутентификации, уведомлению по инциденте в течение 72 часов, ежегодный пентест.
Medcurity
2026 HIPAA Security Rule Update: New Requirements to Prepare For | Medcurity
What the 2026 HIPAA Security Rule actually changes — finalization status, real OCR enforcement signals, and the operational checklist healthcare IT teams need now.
Forwarded from Админим с Буквой (Aleksandr Kondratev)
cis.pdf
557.7 KB
Поздравляю всех подписчиков с началом лета! И вручаю вам тёплый летний подарок: методичку по харденингу Ubuntu 24.04 на русском.
Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.
В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.
Внутри - более подробное описание что это и зачем.
З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.
Методичка - моего авторства (@bykva)
Долгие и нудные часы чтения 1000-страничного CIS и публичной ansible роли зародили во мне идею - вот бы была готовая выжимка, по которой можно было бы настроить автоматизацию, при этом понимать что именно она выполняет. и сделать это за 1 день, а не за несколько недель.
В итоге родилась она - сжатая выжимка тысячестраничного CIS Benchmark: по каждому пункту коротко - что и зачем настраивать, с выделенными нюансами и ссылками на источники.
Внутри - более подробное описание что это и зачем.
З.Ы. саммаризация была сделана полностью без ИИ, но вот цветовое оформление, фактчекинг и правки орфографии и пунктуации я уже делал с помощью него, поэтому что-то могло поехать. Буду благодарен за ОС.
❤3
Всем привет! Если будут полезные практики на сегодняшней конференции по безопасности контейнеров Бекон подсвечу в канале. Но рекомендую подписаться на канал конфы ниже.
👍1
Forwarded from Конференция БеКон
День Х настал! БеКон 2026 — сегодня! 🚀
Всё, о чём говорили месяцами, начинается сегодня🫶
✍️ Во время конференции в этом канале будем публиковать презентации спикеров, делать анонсы и объявления, подсказывать разное полезное. Не отключайте уведомления.
Также, для вашего удобства запустили приложение конференции - оно полностью готово💥
Всё, о чём говорили месяцами, начинается сегодня🫶
✍️ Во время конференции в этом канале будем публиковать презентации спикеров, делать анонсы и объявления, подсказывать разное полезное. Не отключайте уведомления.
Также, для вашего удобства запустили приложение конференции - оно полностью готово💥
Интересный разбор способа компрометации Trivy и рекомендованные практические шаги по противодействию на базе фреймворка SLSA и gitlab.
Forwarded from Конференция БеКон
01_Дмитрий_Рыбалка_SLSA_—_язык_доверия_от_CI_до_Runtime.pdf
8 MB
Дмитрий Рыбалка | Mindbox переходит к своему докладу - "SLSA — язык доверия: от CI до Runtime"
📌 Трек Ингредиенты
📌 Трек Ингредиенты