How the Django Software Foundation Became a CNA

a CVE dispute

Daniel Stenberg chia sẻ về lần tranh chấp đầu tiên liên quan đến CVE của dự án curl kể từ khi trở thành CVE Numbering Authority (CNA). Một phóng viên báo cáo lỗi wildcard certificate matching khi hostname có dấu chấm đầu tiên (tên DNS bất hợp pháp), đòi hỏi điều kiện tấn công rất cụ thể. Nhóm curl đã sửa lỗi nhưng từ chối gán CVE vì xếp mức độ nguy hiểm thấp hơn "LOW". Sau khi phóng viên khiếu nại lên MITRE, tổ chức này đã ba lần liên hệ nhưng cuối cùng vào ngày 24/6, MITRE xác nhận quyết định không cấp CVE. Bài viết cũng nhấn mạnh chi phí thực tế của CVEs khi libcurl có ~30 tỷ lượt cài đặt và lý do nhóm không muốn gây xáo trộn không cần thiết trong hệ sinh thái.

Bạn nên đọc bài này để hiểu cách các dự án công cộng như curl xử lý tranh chấp về CVE, từ đó tránh những rủi ro về quản lý thông tin bảo mật và hiệu quả trong việc phát triển phần mềm.

How to Build Secure-by-Default Node.js APIs

Bài viết hướng dẫn xây dựng các API Node.js HTTP theo tiêu chuẩn bảo mật mặc định mà không cần phụ thuộc thư viện ngoài. Sáu biện pháp bảo vệ cốt lõi bao gồm: giới hạn kích thước body request (đo bằng bytes khi streaming), timeout request sử dụng AbortController, phân tích JSON an toàn chống tấn công prototype pollution, thiết lập tiêu đề bảo mật (CSP, HSTS, v.v.), so sánh secret an toàn bằng crypto.timingSafeEqual, và xác thực đầu vào chặt chẽ ngăn chặn mass-assignment. Ngoài ra còn giải thích CORS đúng cách, xử lý lỗi có cấu trúc với request ID, và nhấn mạnh triết lý "bảo mật mặc định tốt hơn checklist".

Lập trình viên nên đọc bài này để tránh rủi ro bảo mật khi phát triển API Node.js bằng cách áp dụng các quy tắc an toàn mặc định từ cơ sở, từ việc kiểm soát kích thước request đến xử lý mật khẩu an toàn, giúp giảm thiểu lỗ hổng mà không cần phụ thuộc vào thư viện phụ.

Mass npm Supply Chain Attack: 20 Leo Platform Packages Compromised

Vào ngày 24/6/2026, tin tặc đã phát tán phiên bản độc hại của 20 package npm thuộc hệ sinh thái Leo Platform chỉ trong vòng chưa đầy 3 giây, sử dụng toolkit 'Phantom Gyp' tương tự chiến dịch Miasma trước đó. Phần mềm độc hại đánh cắp bí mật từ GitHub Actions, kho lưu trữ đa đám mây (AWS, GCP, Azure), registry package, HashiCorp Vault, Kubernetes và trình quản lý mật khẩu, sau đó exfiltrate qua token GitHub của nạn nhân để tránh bị phát hiện. Nó còn hoạt động như một worm trong chuỗi cung ứng, tự động phát tán phiên bản độc hại các package mà nạn nhân có quyền publish bằng cách vượt qua xác thực 2FA.

Lập trình viên nên đọc bài này để hiểu cách một cuộc tấn công supply chain mới sử dụng các kỹ thuật phức tạp—như obfuscation và evasion Bun—để tránh phát hiện và khai thác quyền truy cập vào các hệ thống quan trọng từ các gói npm phổ biến, từ đó cảnh báo về rủi ro khi sử dụng các thư viện công cộng mà không kiểm tra nguồn gốc và bảo mật.

FFmpeg fixes PixelSmash flaw in widely used video decoder

Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.

Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Epic Games Presented Open-Sourced Version Control System

Epic Games vừa giới thiệu Lore, hệ thống kiểm soát phiên bản mã nguồn mở dành riêng cho dự …

Who will be the senior engineers of 2036?

Năm 2025, tuyển dụng entry-level tech tại châu Âu giảm 3% trong khi toàn cầu tăng 14%, khiến nguồn nhân lực tương lai cho vị trí kỹ sư senior bị ảnh hưởng. AI đang thay thế công việc entry-level vốn là bước đệm để đào tạo chuyên môn, đe dọa thiếu hụt senior engineers trong thập kỷ tới. Tác giả đề xuất tận dụng cộng đồng open source (nơi châu Âu dẫn đầu về đóng góp CNCF và OpenInfra) như hệ thống đào tạo thực hành cho nhà phát triển mới vào nghề.

Nếu bạn đang tìm cách phát triển sự nghiệp từ junior lên senior trong ngành công nghệ, bài viết này sẽ giúp bạn hiểu cách chuyển đổi từ việc học theo quy trình truyền thống sang xây dựng kiến thức thông qua cộng đồng mở, đặc biệt là khi AI đang thay đổi cách đào tạo kỹ năng cơ bản.

Authorized Logger

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.

Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.