Microsoft sta introducendo un ritardo di due ore prima che le estensioni di Visual Studio Code si aggiornino automaticamente, trasformando la tempistica degli aggiornamenti in un controllo di sicurezza contro gli abusi della supply chain.
Il vero rischio non è violare i pesi del modello, ma contaminare la pipeline di testo che li alimenta - un problema di supply chain che può trasformare la normale pubblicazione web in una superficie d'attacco.
L'ultimo round di Emphere mette in luce un cambiamento silenzioso ma cruciale nella difesa del software - dalla scansione delle vulnerabilità all'automazione del lavoro necessario per chiuderle.
Quando stretti, sanzioni, chip e cavi sottomarini diventano strumenti di pressione, il campo di battaglia non è più solo militare - è logistico, digitale e normativo.
Un progetto malevolo sul principale indice di pacchetti di Python mostra perché la fiducia nel software open source oggi inizia dalla verifica del nome, non solo dalla reputazione.
Un bug critico in Hugging Face Transformers mostra come un singolo file di configurazione compromesso possa trasformare il normale caricamento di un modello in un evento di esecuzione di codice da remoto.
Una vulnerabilità segnalata in Hugging Face Transformers mostra come metadati dei modelli, caricamento dei kernel e controlli del codice remoto possano collidere nella supply chain del ML.
I ministri dell’UE sono pronti a esaminare un pacchetto cyber proposto incentrato su ENISA, sulla semplificazione di NIS2 e sulla sicurezza della supply chain, con la vera sfida che sta nel capire se la governance possa diventare più chiara senza diventare più debole.
Una campagna di brandjacking segnalata e collegata a Lazarus contro gli sviluppatori npm mostra come identità dei pacchetti, comportamento in fase di installazione e workstation ricche di segreti possano trasformare il normale lavoro sulle dipendenze in un evento di sicurezza.
Una campagna di impersonificazione ad alta pressione prende di mira i publisher di estensioni prendendo in prestito il linguaggio dell'applicazione delle norme di Google e del Chrome Web Store per spingere le vittime a inserire le credenziali.
Un test di ricerca su diversi strumenti di rilevamento delle skill suggerisce che la verifica dei pacchetti per l'AI agentica può essere ingannata da semplici upload malevoli, non solo da codice sofisticato.
CISA e i partner delle agenzie cyber del G7 hanno impostato la trasparenza dei sistemi di IA in chiave supply chain, ma la parte difficile resta dimostrare che la documentazione corrisponda alla produzione.
La pulizia di pacchetti dopo una compromissione della pipeline software ricorda che il rischio della supply chain spesso inizia dall'identità, non dal malware.
Un compromesso nella catena di pubblicazione dei pacchetti può trasformare l'automazione fidata in un sistema di distribuzione per il furto di segreti e la reinfezione ripetuta.
Un'indagine di sicurezza che coinvolge GitHub e un pacchetto npm di TanStack mette in evidenza una verità semplice ma scomoda: quando identità, distribuzione e automazione si intrecciano, anche un incidente poco chiaro può trasformarsi in un avvertimento sulla supply chain.
Un intervento a una conferenza a Roma ha trasformato POTÆbox in un promemoria del fatto che alcune minacce non vengono presentate come difetti software, ma come rischi a livello di dispositivo che possono restare fuori dal monitoraggio normale.
Project Lightwell è una scommessa sul fatto che la parte più difficile della sicurezza del software non sia trovare le vulnerabilità, ma correggerle in sistemi che non possono permettersi di fermarsi.
Un lancio di servizio, non una violazione, ma uno che mostra come il rischio di terze parti stia uscendo dai fogli di calcolo per entrare nei flussi operativi di sicurezza.
La raccolta di 15 milioni di dollari di RevEng.AI mette sotto i riflettori un cambiamento di sicurezza in crescita: ispezionare il software compilato alla ricerca di falle nascoste e backdoor, non limitarsi a fidarsi di come appariva una volta il codice sorgente.
GitHub Enterprise Server 3.20.3 non è solo un altro aggiornamento di sicurezza urgente - cambia anche il percorso crittografico su cui gli amministratori fanno affidamento per verificare i futuri pacchetti di rilascio.