TAG

#供應鏈安全

5 篇文章

TechLab 所有關於「供應鏈安全」嘅文章、評測同教學,由最新排起。

Gitea Docker 漏洞已有人掃,自架 Git server 要即升級Tech News

Gitea Docker 漏洞已有人掃,自架 Git server 要即升級

Gitea CVE-2026-20896 已有掃描跡象,官方 6 月 21 日修補。用 Docker 自架、開咗反向代理登入,而容器 HTTP port 又俾外面掂到嘅團隊,要即刻升到 1.26.4,同埋收窄可信 proxy 設定。

2 小時內
Lazarus 扮 Rollup package 混入 npm,香港開發機同 CI 要即刻自查Tech News

Lazarus 扮 Rollup package 混入 npm,香港開發機同 CI 要即刻自查

JFrog 6 月 30 日揭露一批扮 Rollup polyfill 嘅 npm package,iThome 7 月 7 日報道呢波 Lazarus 供應鏈攻擊。麻煩位係 build 工具一入開發機或 CI,就可能摸到 token、browser session 同 crypto wallet。

21 小時前
PolinRider 伸入 npm、Composer 同 Go:裝包前真係要望清楚Tech News

PolinRider 伸入 npm、Composer 同 Go:裝包前真係要望清楚

iThome 報道,Socket 發現 PolinRider 已經由 npm 擴到 Packagist、Go module 同 Chrome Web Store。重點唔止係某個套件有毒,而係求職 coding task、package install、VS Code task 全部都可以變成入口;本地開發團隊要查 lockfile、repo history 同 secrets。

21 小時前
北韓假 IT worker 打入科技公司:remote hiring 已經係安全戰線Tech News

北韓假 IT worker 打入科技公司:remote hiring 已經係安全戰線

CrowdStrike 指 FAMOUS CHOLLIMA 佔其科技業 state-backed hands-on-keyboard 觀察 47%。呢唔係普通 phishing,而係假身份、remote contractor、GitHub 同 cloud 權限混埋一齊嘅供應鏈風險。

28 天前
Grafana 被偷 code 拒交贖金:香港 DevOps 更要查 tokenTech News

Grafana 被偷 code 拒交贖金:香港 DevOps 更要查 token

Grafana Labs 確認有攻擊者用被盜 token 進入其 GitHub 環境並下載 codebase,但公司指目前未見客戶資料、個人資料或客戶系統受影響,亦拒絕支付贖金。對香港 IT/DevOps 團隊,呢單事最值得跟進唔係八卦勒索,而係即刻檢查 GitHub、GitLab、CI/CD secret、Grafana service account 同第三方工具權限。

2 個月前