Zero-CVE packages can still pose serious software supply chain risks, as recent attacks like XZ, Shai-Hulud, and tj-actions demonstrate. RapidFort and ReversingLabs have partnered to launch an Open Source Dependency Libraries catalog that goes beyond CVE scanning by applying deep-binary malware detection — using neural networks to analyze compiled binaries for hidden threats before packages enter build pipelines. The catalog works as a drop-in replacement with standard package managers (pip, Maven, npm) and requires no migration. Security experts note that while binary-level validation is a genuine improvement over manifest-based CVE matching, it still shifts rather than eliminates trust, and even rigorous review processes are not infallible, as the XZ backdoor case showed.
Nguồn: https://thenewstack.io/zero-cve-supply-chain-risk. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Ngày càng nhiều dự án mã nguồn mở rời khỏi GitHub do lo ngại về thời gian downtime thường xuyên, quyền sở hữu của Microsoft, việc đào tạo AI trên mã nguồn, và định hướng chính trị. Các lựa chọn thay thế như Codeberg (dựa trên Forgejo), Sourcehut, Gitea và các nền tảng self-hosted đang thu hút sự quan tâm.
Những lập trình viên quan tâm đến tự do và bảo mật của mã nguồn nên đọc để biết cách chuyển sang các nền tảng tự chủ như Codeberg, tránh rủi ro về quyền sở hữu, AI hóa và kiểm soát chính trị từ GitHub.
Sim là một workspace mã nguồn mở để xây dựng các workflow AI agent, hỗ trợ hơn 1.000 tích hợp và mô hình ngôn ngữ lớn (LLM). Nền tảng này cung cấp ba chế độ tương tác: chat, canvas và code, với hơn 100.000 nhà phát triển tham gia, trong đó 90%+ hoạt động đến từ giao diện chat.
Là người phát triển AI, bạn nên đọc bài này để khám phá cách Sim giúp tối ưu hóa việc xây dựng các chuỗi tác nghiệp tự động hóa thông minh với các công cụ mở rộng đa dạng và giao diện thân thiện, giúp tiết kiệm thời gian và nâng cao hiệu suất cho các dự án cá nhân hoặc nhóm.
Bản tin tuần này từ cộng đồng openSUSE (3–9/7) cập nhật về cải tiến giao diện KDE Plasma 6.7, bản vá lỗi thứ sáu cho Plasma 6.6, hỗ trợ XBOOTLDR cho systemd-boot, cùng các bản phát hành mới như Tellico 4.2.1, KDE Gear 26.04.3, Kdenlive 26.04.3, và các bản snapshot Tumbleweed tuần 27. Ngoài ra còn có bài phân tích về benchmark AI truyền thống, hướng dẫn gVim trên Wayland, và podcast Linux Saloon tập 208.
Nếu bạn đang tìm hiểu về KDE Plasma 6.x, đặc biệt là về cải thiện tính năng giao diện người dùng và tích hợp printer, bài này sẽ cung cấp những thông tin chi tiết về những thay đổi mới nhất và cách tối ưu hóa trải nghiệm trên hệ điều hành openSUSE.
Giám đốc công nghệ toàn cầu (CTO) Jonathan Zanger của Check Point Software cho rằng AI đang thay đổi cả tấn công lẫn phòng thủ mạng, buộc phải chuyển từ bảo mật xác định (deterministic) sang phương pháp mới do bản chất phi xác định (non-deterministic) của AI. Ông nhấn mạnh AI vừa mở rộng khả năng tấn công (phishing, ransomware, malware) vừa nâng cao phòng thủ (Check Point sử dụng ~300 agent AI cho kiểm thử đỏ liên tục), đồng thời cảnh báo về lỗ hổng trong mọi nền tảng AI và nhấn mạnh ba ưu tiên: bảo vệ ứng dụng AI, bảo mật hoạt động phòng thủ bằng AI, và chống tấn công do AI thúc đẩy, kèm theo nhu cầu giải thích quyết định chặn tự động.
Là lập trình viên phát triển hệ thống AI hoặc bảo mật, bạn nên đọc bài này để hiểu cách AI thay đổi cơ sở hạ tầng bảo mật, từ đó tối ưu hóa cách xây dựng hệ thống an toàn và phòng ngừa các rủi ro mới từ các cuộc tấn công do AI tạo ra.
Bang Mecklenburg-Vorpommern (Đức) thay thế Microsoft SharePoint bằng Nextcloud self-hosted cho 5.000 cán bộ chính phủ, dự kiến mở rộng lên 50.000 nhân viên công vụ. Dự án này nằm trong chiến lược open source chung với bang Schleswig-Holstein, tuân theo khung Deutschland-Stack của Đức nhằm giảm phụ thuộc nhà cung cấp. Ngoài ra, bang này còn triển khai OpenProject và xây dựng trợ lý AI (LEA) dựa trên OpenWebUI.
Là người phát triển muốn xây dựng hệ sinh thái công nghệ bền vững, tránh ràng buộc với các nhà cung cấp độc quyền, và tối ưu hóa chi phí cho dự án, bài viết này cho thấy cách chuyển đổi từ SharePoint sang Nextcloud và các giải pháp open-source như OpenProject, giúp bạn hiểu rõ về chiến lược giảm thiểu phụ thuộc vendor và ứng dụng hiệu quả các công cụ tự chủ.
Matteo Collina, maintainer của HTTP stack và thư viện undici trong Node.js, cho rằng CVE-2026-48931 (vấn đề poisoning hàng đợi response HTTP/1.1 trong http.Agent) không đáng được xếp vào danh mục CVE vì đây là đặc tính vốn có của giao thức HTTP/1.1, không phải lỗi riêng của Node.js. Bản vá ban đầu gây lỗi giả (ERR_STREAM_PREMATURE_CLOSE) do listener 'data' công khai, ảnh hưởng tới nhiều dự án như Google API, Firebase CLI, Backstage. Sau đó, lỗi được khắc phục bằng cách thay thế bằng hook nội bộ onread. Ông cũng cảnh báo về tình trạng báo cáo bảo mật do AI tạo tràn lan, dẫn đến phân loại sai CVEs.
Bạn nên đọc bài này để hiểu cách phân biệt giữa các lỗ hổng thực sự là Node.js hay là cơ chế HTTP/1.1 chung, tránh rơi vào tình trạng đánh nhầm các cải thiện kỹ thuật thành CVE khi chúng không ảnh hưởng riêng biệt đến dự án của mình.
Nhóm phát triển PHP vừa tung ra phiên bản 8.4.23, một bản cập nhật bảo mật quan trọng cho …
Cựu kỹ sư Microsoft Dave Plummer vừa giới thiệu TinyRetroPad, phiên bản Notepad siêu nhẹ chỉ 2,5KB, loại bỏ hoàn toàn AI (như Copilot), tính năng thừa thãi và phụ thuộc DLL, quay trở lại tinh thần chỉnh sửa văn bản thuần túy ban đầu. Phần mềm nhắm đến người dùng cần chỉnh sửa nhanh các file INI hay config mà không cần AI, đăng nhập tài khoản hay bất kỳ "bloatware" nào.
Lập trình viên nên đọc bài này để hiểu cách tối ưu hóa công cụ cơ bản như Notepad bằng kiến thức kiến trúc phần mềm và thiết kế đơn giản, giúp họ áp dụng các nguyên tắc này vào dự án của mình để giảm bloat và cải thiện hiệu suất.