TAG

#CI/CD

5 篇文章

TechLab 所有關於「CI/CD」嘅文章、評測同教學,由最新排起。

自架 Gitea 用 Docker 要即刻睇:一個 header 已可冒認用戶Tech News

自架 Gitea 用 Docker 要即刻睇:一個 header 已可冒認用戶

iThome 報道 Gitea 漏洞已有人試探,官方 advisory 確認舊版 Docker image 預設信任所有 proxy;只要反向代理登入開咗,攻擊者可用 X-WEBAUTH-USER 冒認用戶。自架 repo、CI secret 同私有 code 要即刻盤點。

7 小時前
Lazarus 扮 Rollup package 混入 npm,香港開發機同 CI 要即刻自查Tech News

Lazarus 扮 Rollup package 混入 npm,香港開發機同 CI 要即刻自查

JFrog 6 月 30 日揭露一批扮 Rollup polyfill 嘅 npm package,iThome 7 月 7 日報道呢波 Lazarus 供應鏈攻擊。麻煩位係 build 工具一入開發機或 CI,就可能摸到 token、browser session 同 crypto wallet。

23 小時前
AI coding agent 可以被測試輸出帶偏?jqwik 事件畀香港開發團隊嘅警號Tech News

AI coding agent 可以被測試輸出帶偏?jqwik 事件畀香港開發團隊嘅警號

Java 測試套件 jqwik 1.10.0 被發現喺 stdout 加入針對 AI coding agent 嘅破壞性字句,事件將 prompt injection 由網頁內容推到 CI log、測試報告同開源依賴層面。

1 個月前
CISA 憑證擺上 GitHub:連網安機構都會犯嘅 secret 泄漏課Tech News

CISA 憑證擺上 GitHub:連網安機構都會犯嘅 secret 泄漏課

美國 CISA 被揭有承包商把雲端 key、SSH private key、token 等敏感資料放入公開 GitHub repo。事件暫未有跡象顯示敏感資料被盜用,但對香港公司同 freelance developer 係一次實用提醒:secret 唔應該入 repo,CI/CD 權限要短期化同可輪換。

2 個月前
Grafana 被偷 code 拒交贖金:香港 DevOps 更要查 tokenTech News

Grafana 被偷 code 拒交贖金:香港 DevOps 更要查 token

Grafana Labs 確認有攻擊者用被盜 token 進入其 GitHub 環境並下載 codebase,但公司指目前未見客戶資料、個人資料或客戶系統受影響,亦拒絕支付贖金。對香港 IT/DevOps 團隊,呢單事最值得跟進唔係八卦勒索,而係即刻檢查 GitHub、GitLab、CI/CD secret、Grafana service account 同第三方工具權限。

2 個月前