
Trail of Bits has published a new Rust chapter in their Testing Handbook covering security testing tools and techniques. Topics include Rust's security guarantees and their limits (unwind safety, nondeterminism, arithmetic errors), dynamic analysis with Miri for undefined behavior detection, property testing with proptest, mutation testing, and Clippy lints. The chapter also includes a gotchas checklist for manual code reviews, memory zeroization patterns for secrets, model checking with Kani, and supply chain vetting. Additionally, Trail of Bits released rust-review, a Claude Code plugin co-built with Aptos Labs that automates Rust security reviews across a dozen bug classes including memory safety, concurrency hazards, FFI pitfalls, and async cancellation issues.
Nguồn: https://blog.trailofbits.com/2026/07/13/rust-proof-your-code-with-our-new-testing-handbook-chapter. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Đội ngũ crates.io cập nhật tiến độ phát triển 6 tháng qua với nhiều cải tiến đáng chú ý. Giao diện giờ hỗ trợ xem trực tiếp mã nguồn crate với highlighting cú pháp, tìm kiếm cây thư mục và chia sẻ liên kết dòng — được xây dựng trên kiến trúc CDN dựa trên zip không gây tải API. Frontend đã chuyển hoàn toàn từ Ember.js sang Svelte. Tài khoản đang được tách khỏi GitHub qua RFC #3946, mở đường cho nhà cung cấp danh tính thay thế. Tích hợp RustSec hiển thị cảnh báo crate không còn duy trì, kèm banner đề xuất crate thay thế tiêu chuẩn thư viện chuẩn. Hiệu năng được cải thiện qua xếp hạng tìm kiếm nhanh hơn, bảng phụ thuộc ngược được tính trước, sửa lỗi cache CDN và tối ưu chỉ mục git. Ngoài ra còn bổ sung hỗ trợ accessibility và danh sách định nghĩa Markdown.
Lập trình viên Rust nên đọc bài này để cập nhật về những cải tiến mới trên crates.io, đặc biệt là công cụ mới cho phép xem mã nguồn trực tiếp với tính năng tìm kiếm và chia sẻ dễ dàng, giúp tiết kiệm thời gian và nâng cao hiệu suất phát triển.
Các hacker nhắm vào Hiệp hội bóng đá Argentina có thể đã xâm nhập thông qua nhiễm mã độc infostealer từ khoảng một năm trước, có liên quan đến động cơ thù địch từ World Cup. Sự cố cho thấy cách dữ liệu đăng nhập bị đánh cắp từ malware có thể bị khai thác muộn để truy cập trái phép vào hệ thống.
Là lập trình viên bảo mật, đừng bỏ qua cách kẻ tấn công lợi dụng lỗ hổng từ mã độc thu thập thông tin lâu năm để xâm nhập hệ thống, vì điều này cho thấy sự nhạy cảm của ứng dụng và cơ sở hạ tầng trong thời gian dài mà bạn chưa phát hiện.
Slint 1.17 khắc phục tình trạng lãng phí CPU và độ trễ đầu vào bằng cách thay thế cơ chế polling 16ms bằng cách tích hợp hook libuv prepare và theo dõi file descriptor I/O, giúp đồng bộ hai vòng lặp sự kiện (Node.js libuv và Slint winit) trên cùng một thread. Giải pháp này hiệu quả trên Linux/macOS, nhưng Windows vẫn giữ polling 16ms do hạn chế API, còn Deno/Bun chưa hỗ trợ hook tương ứng.
Nếu bạn làm việc với ứng dụng cross-platform sử dụng Node.js và UI tích hợp, bài viết này giúp bạn hiểu cách tối ưu hóa hiệu suất của hệ thống bằng cách khắc phục lỗi CPU idle và lag nhập liệu trong Slint, đặc biệt quan trọng khi phát triển ứng dụng trên Linux/macOS.
NASA/Caltech giới thiệu SpaceWASM, trình thông dịch WebAssembly 1.0 bằng Rust, tối ưu cho phần mềm bay quan trọng trên tàu vũ trụ với bộ nhớ cố định, giải mã theo luồng và giới hạn tài nguyên chặt chẽ. Dự án hỗ trợ kiểm thử đơn vị, tích hợp spec WASM 1.0 và fuzzing bằng libfuzzer.
Lập trình viên phát triển phần mềm an toàn cấp hệ thống, đặc biệt là cho các ứng dụng có giới hạn tài nguyên như IoT, drone hay thiết bị y tế, nên đọc để tìm hiểu cách tối ưu hóa WebAssembly với các giải pháp an toàn và hiệu năng cao trong môi trường hạn chế.

Một kỹ sư bảo mật xây dựng hệ thống chấm điểm tự động cho các MCP server nhằm đánh giá mức độ phù hợp sử dụng doanh nghiệp, dựa trên 29 tiêu chí như guardrails runtime, SAST scan và trust models. Kết quả cho thấy 1/10 server đạt dưới 40/100 điểm, 18% server phổ biến (trên 1000 sao GitHub) có lỗ hổng bảo mật, và 184 server thay đổi định nghĩa tool sau khi công khai — tiềm ẩn nguy cơ tấn công "rug pull". Hệ thống này miễn phí truy cập, cung cấp API cho các workflow tự động.
Lập trình viên nên đọc bài này để hiểu cách xây dựng hệ thống đánh giá an ninh tự động hóa, từ đó áp dụng kiến thức về bảo mật, kiểm tra mã và quản lý phụ thuộc để phát triển ứng dụng an toàn hơn trong thực tế.
Git 2.55.0 bổ sung nhiều tính năng mới như lệnh git history fixup để sửa đổi commit đã tồn tại, hỗ trợ fsmonitor daemon trên Linux qua inotify(7), khả năng đẩy lên nhiều remote cùng lúc, tùy chọn --graph-lane-limit cho git log --graph, tải xuống blob theo lô cho partial clones, và Rust trở thành dependency bắt buộc trong quá trình build (có thể tắt nếu cần).
Lập trình viên cần đọc để cập nhật về các tính năng mới trong Git 2.55.0 như cách sửa đổi commit và tự động rebase nhánh chồng lấn, giúp tối ưu hóa công việc quản lý lịch sử mã và hiệu suất clone, đặc biệt khi làm việc với các dự án lớn hoặc hệ thống phân tán.
Phiên bản Astro 7.0 tập trung tối ưu hiệu suất với tốc độ build nhanh hơn 15–61%, nhờ compiler Rust mới thay thế Go cũ, pipeline Markdown/MDX bằng Sätteri (Rust), Vite 8 + Rolldown (nhanh gấp 10–30 lần Rollup), cùng cơ chế rendering hàng đợi ổn định. Tính năng Routing nâng cấp với src/fetch.ts, hỗ trợ middleware Hono, cache CDN từ Netlify/Vercel/Cloudflare, và cải tiến AI agent với chế độ dev nền, phát hiện tự động cùng logging JSON có cấu trúc.
Lập trình viên phát triển web nên đọc bài này vì Astro 7.0 mang đến những cải tiến công nghệ như Rust-based compiler và Vite 8 + Rolldown, giúp tối ưu hóa hiệu suất build và giao diện người dùng, đồng thời mở rộng khả năng quản lý lưu trữ và xử lý AI, giúp xây dựng ứng dụng web nhanh hơn và hiệu quả hơn.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.