GitHub Enterprise Server 3.20.3 non è solo un altro aggiornamento di sicurezza urgente - cambia anche il percorso crittografico su cui gli amministratori fanno affidamento per verificare i futuri pacchetti di rilascio.
Un cambiamento silenzioso nella contrattualistica ICT sta trasformando le clausole penali in parte della governance del cyber-risk, ma solo quando sono collegate a obblighi chiari, fornitori critici e alla supply chain digitale.
Il recepimento italiano della NIS2 sta spingendo la responsabilità cyber oltre la geografia e verso la reale catena di sistemi, fornitori e controllo operativo.
Un intervento a una conferenza a Roma ha inquadrato il 2026 come la fine della “fiducia per default” e ha spinto un’idea più rigorosa: la sicurezza deve seguire le dipendenze, non solo i fornitori.
Una rassegna settimanale sulla sicurezza indica un modello familiare: gli aggressori continuano a sondare i punti in cui i difensori ripongono la maggiore fiducia, da Linux e gli strumenti di sicurezza ai router, alle pipeline di build e alle caselle di posta.
Il round di finanziamento è una tappa aziendale importante, ma la storia della sicurezza è più netta: più soldi per controlli che cercano di bloccare le dipendenze rischiose prima che entrino nella build.
Man mano che le piattaforme militari diventano più aggiornabili e più modulari, la difficile questione della sicurezza si sposta dall'hardware alle interfacce, alla governance del software e al controllo della supply chain.
Una campagna coordinata di pacchetti legata a npm, PyPI e Crates.io evidenzia come le normali installazioni di dipendenze possano diventare una via per il furto di credenziali.
I più recenti controlli di GitHub su npm spingono l'ecosistema verso rilasci in più fasi e regole di installazione più rigorose, una risposta pratica al rischio che credenziali compromesse o automazione fragile trasformino la pubblicazione di routine in un'esposizione della supply chain.
Una raffica automatizzata di commit malevoli su migliaia di repository mostra quanto rapidamente la fiducia in CI/CD possa essere riutilizzata come superficie d’attacco per la ricerca di secret.
Un presunto compromesso del pacchetto art-template mostra come una dipendenza JavaScript affidabile possa diventare parte di un percorso d'attacco lato client quando sono coinvolti i bundle per browser.
La sovranità digitale sta passando dal gergo delle policy alla pianificazione architetturale, mentre i CIO rivedono la dipendenza dai fornitori, l’esposizione normativa e la possibilità di gestire ancora i sistemi critici alle proprie condizioni.
Una vasta operazione di backdooring dei repository mostra come l’automazione CI/CD possa diventare la parte più pericolosa di una codebase.
Una presunta campagna supply chain npm legata a un pacchetto malevolo e all’hosting pubblico di artefatti mostra come il software moderno possa essere raggiunto attraverso il grafo delle dipendenze invece che dalla porta d’ingresso.
Un’estensione Nx Console manomessa è stata collegata a una violazione di repository interni, mostrando come gli strumenti per sviluppatori possano diventare superfici d’attacco di alto valore.
Quando le vulnerabilità arrivano più velocemente di quanto i team possano inventariare, smistare e verificare l’esposizione, il vero fallimento è spesso la visibilità, non solo la velocità di patching.
Al Google I/O, l’azienda ha collegato l’ambizione sui grandi modelli linguistici a strumenti pratici per la sicurezza del codice, la ricerca, il meteo e l’automazione dei flussi di lavoro, segnalando uno spostamento dagli assistenti in stile chat verso sistemi in grado di agire.
Un’operazione di firma del malware ha abusato del sistema Artifact Signing di Microsoft per far sembrare legittimo codice malevolo, mostrando come l’infrastruttura di fiducia possa essere riutilizzata come canale di distribuzione per ransomware e altri attacchi.
La violazione confermata di GitHub mostra come una singola estensione VS Code malevola possa trasformare uno strumento di coding quotidiano in un punto di accesso ad alto rischio per il codice aziendale.
Una campagna di spear-phishing durata anni e rivolta a software aerospaziale mostra come fiducia, identità e controlli sulle esportazioni possano collassare nello stesso problema di sicurezza.