#CI/CD
5 篇文章
TechLab 所有關於「CI/CD」嘅文章、評測同教學,由最新排起。
Tech News自架 Gitea 用 Docker 要即刻睇:一個 header 已可冒認用戶
iThome 報道 Gitea 漏洞已有人試探,官方 advisory 確認舊版 Docker image 預設信任所有 proxy;只要反向代理登入開咗,攻擊者可用 X-WEBAUTH-USER 冒認用戶。自架 repo、CI secret 同私有 code 要即刻盤點。
Tech NewsLazarus 扮 Rollup package 混入 npm,香港開發機同 CI 要即刻自查
JFrog 6 月 30 日揭露一批扮 Rollup polyfill 嘅 npm package,iThome 7 月 7 日報道呢波 Lazarus 供應鏈攻擊。麻煩位係 build 工具一入開發機或 CI,就可能摸到 token、browser session 同 crypto wallet。
Tech NewsAI coding agent 可以被測試輸出帶偏?jqwik 事件畀香港開發團隊嘅警號
Java 測試套件 jqwik 1.10.0 被發現喺 stdout 加入針對 AI coding agent 嘅破壞性字句,事件將 prompt injection 由網頁內容推到 CI log、測試報告同開源依賴層面。
Tech NewsCISA 憑證擺上 GitHub:連網安機構都會犯嘅 secret 泄漏課
美國 CISA 被揭有承包商把雲端 key、SSH private key、token 等敏感資料放入公開 GitHub repo。事件暫未有跡象顯示敏感資料被盜用,但對香港公司同 freelance developer 係一次實用提醒:secret 唔應該入 repo,CI/CD 權限要短期化同可輪換。
Tech NewsGrafana 被偷 code 拒交贖金:香港 DevOps 更要查 token
Grafana Labs 確認有攻擊者用被盜 token 進入其 GitHub 環境並下載 codebase,但公司指目前未見客戶資料、個人資料或客戶系統受影響,亦拒絕支付贖金。對香港 IT/DevOps 團隊,呢單事最值得跟進唔係八卦勒索,而係即刻檢查 GitHub、GitLab、CI/CD secret、Grafana service account 同第三方工具權限。