Последние новости: CI/CD

pnpm 11 включил «карантин» для новых пакетов: свежие версии теперь ждут сутки

от Маша Даровская 7 мая, 2026

Свежие npm-пакеты больше не попадают в сборку сразу: pnpm 11 вводит обязательную паузу в 24 часа, чтобы остановить вредоносные релизы на входе.

Читать далее →

Jenkins закрыл семь уязвимостей в популярных плагинах: одна может довести до выполнения кода

от Маша Даровская 5 мая, 2026

Jenkins закрыл серию опасных уязвимостей в популярных плагинах: одна из них позволяет записывать файлы в произвольные места на сервере и при определённых настройках может привести к удалённому выполнению кода.

Читать далее →

Популярный Python-пакет взломали и разослали инфостилер: утекли ключи, токены и кошельки

от Маша Даровская 3 мая, 2026

GitHub Actions, токены и релизы стали новой поверхностью атаки. Доверять пакетам «потому что они популярные» больше нельзя.

Читать далее →

В Gemini CLI закрыли критическую уязвимость: CI/CD мог выполнить чужую команду из pull request

от Маша Даровская 3 мая, 2026

Gemini CLI доверял чужому коду и запускал команды: Google срочно закрыл критическую уязвимость

Читать далее →

В Python нашли критическую уязвимость: ошибка в asyncio может привести к выполнению кода на Windows

от Маша Даровская 27 апреля, 2026

Python под угрозой: asyncio ломает память и открывает путь к RCE

Читать далее →

Невидимый комментарий, видимая утечка: исследователь показал, как GitHub-комментарии ломают Claude Code, Gemini CLI и Copilot

от Маша Даровская 20 апреля, 2026

Исследователь показал, как GitHub-комментарии, issue и заголовки PR можно использовать для prompt injection против Claude Code, Gemini CLI Action и GitHub Copilot Agent. Атака позволяет вытаскивать токены и API-ключи из окружения.

Читать далее →

Axios подменили через npm: злоумышленники выпустили вредоносные версии популярнейшей JS-библиотеки

от Маша Даровская 31 марта, 2026

Популярная JavaScript-библиотека axios оказалась в центре серьезного инцидента с цепочкой поставок ПО (supply chain attack). Исследователи StepSecurity сообщили, что в npm были опубликованы две вредоносные версии пакета, axios@1.14.1 и axios@0.30.4.

Читать далее →

Trivy оказался скомпрометирован в цепочке поставок: вредоносные версии попали в релизы, GitHub Actions и Docker-образы

от Маша Даровская 31 марта, 2026

Supply chain-атака на Trivy: скомпрометированы релизы, GitHub Actions и Docker-образы

Читать далее →

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи, токены и пароли

от Маша Даровская 25 марта, 2026

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи и токены

Читать далее →

Меню

Последние новости: CI/CD

pnpm 11 включил «карантин» для новых пакетов: свежие версии теперь ждут сутки

Jenkins закрыл семь уязвимостей в популярных плагинах: одна может довести до выполнения кода

Популярный Python-пакет взломали и разослали инфостилер: утекли ключи, токены и кошельки

В Gemini CLI закрыли критическую уязвимость: CI/CD мог выполнить чужую команду из pull request

В Python нашли критическую уязвимость: ошибка в asyncio может привести к выполнению кода на Windows

Невидимый комментарий, видимая утечка: исследователь показал, как GitHub-комментарии ломают Claude Code, Gemini CLI и Copilot

Axios подменили через npm: злоумышленники выпустили вредоносные версии популярнейшей JS-библиотеки

Trivy оказался скомпрометирован в цепочке поставок: вредоносные версии попали в релизы, GitHub Actions и Docker-образы

LiteLLM скомпрометировали через PyPI: вредоносные версии крали ключи, токены и пароли

Последние новости

Выбор редакции

Меню

Последние новости: CI/CD

Последние новости

Выбор редакции

Будьте в курсе кибербезопасности