CISA's 2025 SBOM guidance requires full transitive dependency coverage with no minimum depth. A practical five-minute 'sniff test' can reveal whether a hardened container image's SBOM is complete or dangerously incomplete. Common red flags include missing OS-layer packages, no npm entries in a Node.js image, floating 'latest' tags instead of pinned digests, and single-package SBOMs for complex enterprise software. The workflow involves counting components, checking for expected frameworks and crypto libraries, and using tools like Syft or Trivy to validate. Incomplete SBOMs create a false sense of security and can turn a zero-day response from minutes into days.
Nguồn: https://thenewstack.io/sbom-sniff-test-hardened-images. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
AnduinOS Container là một base image Docker mới, được xây dựng từ đầu bằng pipeline …
Modal được mô tả như một "máy tính ảo" thay vì chỉ là nền tảng cloud hay công cụ AI, với kiến trúc tương tự máy tính truyền thống (ALU, bộ nhớ, đĩa, hệ điều hành, I/O) nhưng sử dụng các thành phần cloud như containers, object storage, container runtime, Input/Output Plane và Routing Plane. Nó hoạt động bằng cách biên dịch, lưu trữ hình ảnh (images), cache dữ liệu và xử lý luồng thông tin, nhằm tối ưu hóa hiệu suất tính toán cloud thông qua lớp ảo hóa tổng hợp và phân chia tài nguyên từ nhiều nhà cung cấp.
Lập trình viên nên đọc bài này để hiểu cách Modal tái định nghĩa kiến trúc máy tính ảo như một hệ thống thực hiện các chương trình logic và toán học, giúp tối ưu hóa hiệu suất và tính linh hoạt khi tích hợp các dịch vụ cloud với các layer ảo hóa chuyên dụng.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng …
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Microsoft đã phát hành tính năng WSL containers dưới dạng preview công khai, cho phép chạy container Linux trực tiếp trên Windows Subsystem for Linux (WSL) mà không cần công cụ bên thứ ba như Docker. Tính năng mới này bổ sung lệnh wslc.exe và API container dựa trên NuGet hỗ trợ C, C++, C#, tích hợp MSBuild và CMake, giúp các ứng dụng Windows tương tác với container trong quá trình build và triển khai. Bản preview có sẵn trên trang GitHub của WSL, dự kiến container sẽ trở thành tính năng cốt lõi của WSL trong tương lai.
Lập trình viên phát triển ứng dụng C/C++ hoặc C# sẽ tìm hiểu WSL containers để tiết kiệm thời gian và chi phí, tránh phụ thuộc vào các công cụ bên ngoài như Docker, đồng thời tích hợp phát triển Linux vào môi trường Windows một cách tự nhiên và hiệu quả.
Phiên bản pnpm 11.10 bổ sung tính năng _auth ràng buộc credential vào host URL, ngăn chặn việc chuyển hướng token tới registry độc hại. Bản cập nhật cũng khắc phục lỗi hồi quy từ tháng 6 liên quan đến biến môi trường trong registry private, đồng thời tăng cường bảo mật cho pnpm deploy và pnpm pack-app cùng nhiều cải tiến khác. Ngoài ra, người dùng có thể trải nghiệm pnpm v12 (viết bằng Rust) thông qua lệnh pnpm self-update next-12.
Lập trình viên nên đọc vì pnpm 11.10 nâng cấp bảo mật và hiệu suất bằng cách khóa xác thực đăng nhập registry theo URL, khắc phục lỗi bảo mật và hiệu suất trong các dự án sử dụng registry riêng, đồng thời giới thiệu tính năng chuẩn bị cho phiên bản Rust (v12) với tốc độ cao hơn.
Các nhà nghiên cứu phát hiện lỗ hổng tấn công "HalluSquatting" dựa trên kỹ thuật prompt injection, lợi dụng khả năng "ảo giác" (hallucination) của các mô hình ngôn ngữ lớn (LLMs) trong trợ lý lập trình AI để lây nhiễm hàng loạt máy thông qua các gói giả mạo. Chín công cụ lập trình AI phổ biến, bao gồm Cursor, Gemini CLI, GitHub Copilot, đang bị khai thác để xây dựng botnet quy mô lớn.
Lập trình viên nên đọc bài này để hiểu cách bảo mật mã nguồn của mình chống lại những cuộc tấn công mới như HalluSquatting, có thể lây lan rộng rãi qua các công cụ AI hỗ trợ lập trình mà họ đang sử dụng hàng ngày.
GitHub triển khai tính năng public monitoring cho Secret Scanning, giám sát toàn bộ bề mặt công khai của github.com (bao gồm nội dung git, pull request, issues) để phát hiện các bí mật doanh nghiệp bị rò rỉ theo thời gian thực, nhưng vẫn tồn tại những hạn chế như không phát hiện được bí mật bị đánh cắp tới hạ tầng kiểm soát của kẻ tấn công, không quét logs workflow, và chỉ phát hiện sau khi xảy ra sự cố. Doanh nghiệp nên kết hợp tính năng này với các biện pháp kiểm soát egress runtime (như Harden-Runner) để ngăn chặn rò rỉ bí mật ngay từ lớp mạng.
Lập trình viên nên đọc bài này để hiểu cách bảo mật các mã nguồn công khai trên GitHub bị lộ thông qua các công cụ mới và hạn chế của chúng, giúp họ xây dựng chiến lược phòng thủ đa lớp (layered defense) hiệu quả hơn.