Custom OIDC Token Audiences

Introducing eve, an open-source agent framework

Vercel vừa giới thiệu eve, một framework mã nguồn mở theo hướng filesystem-first, viết bằng TypeScript, giúp xây dựng, triển khai và mở rộng các AI agent. Framework này hỗ trợ nhiều tính năng tích hợp như thực thi bền vững, sandboxed compute, human-in-the-loop, subagents và evals, đồng thời tương thích với mọi model, MCP server và các kênh như Slack, Discord hay GitHub.

Là lập trình viên phát triển ứng dụng AI, bạn nên đọc để khám phá cách xây dựng các hệ thống agent mạnh mẽ với kiến trúc đơn giản, tích hợp tự động với các công cụ và nền tảng phổ biến, giúp tiết kiệm thời gian và nâng cao hiệu suất triển khai.

Why Your Organization Needs ISPM

Identity Security Posture Management (ISPM) continuously assesses and hardens Microsoft 365 identity environments by evaluating configurations, permissions, and policies against a security baseline. Unlike one-time audits or visibility-only tools, ISPM addresses 'drift' — the gradual degradation of security posture as users, roles, and Microsoft defaults change over time. Huntress data shows over 60% of evaluated tenants were missing more than half of recommended controls, and 55% allowed standard users to perform admin-level functions. Key risks include weak MFA, overprivileged accounts, and stale permissions that enable account takeover and BEC attacks. Microsoft data shows attackers can move laterally within 48 minutes of initial intrusion, making daily scan cycles insufficient. Huntress Managed ISPM addresses this by deploying and enforcing controls continuously, detecting drift within minutes of a change, and offering a Learning Mode to preview user impact before policy rollout.

Deploy Node servers with zero configuration

Vercel giờ đây hỗ trợ triển khai máy chủ Node.js không cần cấu hình, tự động phát hiện file server.ts ở thư mục gốc hoặc src/server.ts và triển khai dưới dạng ứng dụng Node.js. Tính năng này hoạt động song song với các backend zero-config khác như Express, Koa và NestJS, đồng thời Vercel CLI quản lý phát triển cục bộ (vc dev) và triển khai (vc deploy) mà không cần file cấu hình.

Lập trình viên Node.js sẽ tiết kiệm thời gian và tránh rắc rối khi phát triển, test và triển khai ứng dụng backend mà không cần thiết lập cấu hình thủ công.

Auth0 PHP - manually authenticating JWT idTokens

A practical guide to manually validating Auth0 JWT idTokens in PHP using the Auth0 PHP SDK. Covers setting up the Auth0 client, decoding the idToken, and extracting user claims like nickname and sub. Includes a note that cookieSecret must be set even when not using cookies, and that tokenType must be specified correctly. The author criticizes Auth0's documentation and shares the solution found by reading source code.

Long Story Short: I Found My Place Between Code and Community

A new AI Builder Advocate at Okta introduces herself, sharing her journey from backend software developer to developer relations. She covers her technical background in Java, Spring Boot, Quarkus, Kubernetes, and Docker, her community work as a MongoDB Champion, and her excitement about the intersection of identity, security, and AI at Okta.

Connect EvalHub to protected production model servers

Connecting EvalHub to protected production model servers requires different authentication strategies depending on the model type. Three patterns are covered: (1) ServiceAccount tokens for internal OpenShift AI models using RBAC RoleBindings with no secrets needed, (2) API keys for external models like OpenAI stored as Kubernetes secrets, and (3) combining API keys with custom CA certificates for self-hosted models behind private TLS. The guide includes concrete kubectl commands, job configuration JSON, troubleshooting steps for common errors like HTTP 401 and SSL failures, and a real-world scenario evaluating three different model types simultaneously.

From Code to Coverage (Part 6): What netlogon.log Sees That Event 1644 Never Will

A deep technical investigation into ldapnomnom, a tool that claims to generate no Windows audit logs while brute-forcing Active Directory usernames via LDAP Ping (cLDAP). Source code analysis reveals the tool actually uses TCP (not UDP), making it detectable via Event 5156 from the Windows Filtering Platform. The post explains why Event 1644 structurally cannot log LDAP Ping traffic (it bypasses the LDAP engine entirely, routing to netlogon.dll instead), while netlogon.log with debug logging captures every queried username. A key defender advantage: netlogon.log distinguishes disabled accounts from nonexistent ones, while attackers see identical responses for both. True UDP cLDAP (demonstrated with a custom cldap_ping.py) does evade Event 5156 but still appears in netlogon.log without source IP attribution. Microsoft Defender for Identity (MDI external ID 2437) can detect both TCP and UDP variants via packet capture but is threshold-based and bypassable with throttling. The recommended detection approach correlates netlogon.log usernames with Event 5156 source IPs using a 5-second timestamp window.