Новости: CI/CD

Критическая уязвимость в AWS CodeBuild, обнаруженная Wiz, позволяла захватить репозитории AWS на GitHub, что грозило глобальным сбоем. Исследователи отмечают, что ошибка в фильтрах веб-перехватчиков не уникальна для AWS.

Анализ эскалации угроз в экосистеме npm: от простого тайпосквоттинга к целенаправленным атакам на учётные данные сопровождающих и среды CI/CD. Руководители безопасности должны пересмотреть защиту цепочек поставок, поскольку вредоносное ПО теперь доставляется через доверенные каналы.

Microsoft сделала общедоступным расширение Copilot Studio для Visual Studio Code, позволяя разработчикам создавать и управлять ИИ-агентами прямо в IDE. Интеграция с Git, CI/CD и GitHub Copilot упрощает разработку сложных агентов через локальные YAML-файлы и профессиональные рабочие процессы.

Анализ новых угроз в цепочке поставок ПО: переход от пассивных атак к «активным червям» типа Shai-Hulud. Обсуждаются риски, связанные с языками программирования (Python, Rust) и ИИ, а также угроза полиглот-атак, пробивающих разрозненные системы безопасности. Приводятся рекомендации для CISO по прекращению имплицитного доверия и устранению силосов безопасности.

Уязвимость PromptPwnd позволяет злоумышленникам управлять ИИ в CI/CD конвейерах, внедряя вредоносный код в GitHub issues и pull requests. Узнайте, как защитить свои процессы разработки и предотвратить утечку данных!