Сегодня в подборке новостей:
- Facebook выпустила библиотеку для разработчиков Winterfell.
- Исследование: 85% коммерческих приложений имеют критические уязвимости.
- JetBrains Compose для ПК и Web перевели в альфа-версию.
- АНБ США опубликовало “Руководство по усилению безопасности Kubernetes”.
- Хакеры LockBit вербуют инсайдеров для взлома корпоративных сетей.
- Эксперты: из-за пандемии наблюдается значительный рост сталкерского ПО.
Facebook выпустила библиотеку для разработчиков Winterfell
Facebook выпустила Winterfell — библиотеку с открытым исходным кодом, которая помогает разработчикам проверять целостность произвольных вычислений с использованием технологии STARK. Библиотека доступна в репозитории на GitHub. Winterfell применима для любой программы, написанной на Java, JavaScript и Perl. Библиотека может генерировать CI-доказательство, применяя технику STARK (Scalable Transparent Arguments of Knowledge) — новую схему доказательства правильности вычислений. STARK обладает рядом полезных качеств, включая устойчивость к потенциальным атакам со стороны квантовых компьютеров, полную прозрачность и способность быстро генерировать доказательства при работе с единообразными вычислениями или вычислениями с регулярными структурами. Источник: FacebookИсследование: 85% коммерческих приложений имеют критические уязвимости
Согласно отчету Osterman Research, 100% всех проанализированных приложений содержат уязвимые компоненты с открытым исходным кодом. 85% из них имели хотя бы одну уязвимость, которая считается критической (CVSS 10.0). Майкл Сэмпсон, старший аналитик Osterman Research, заявил, что был удивлен, обнаружив, насколько часто коммерческое программное обеспечение включает уязвимости, которые оцениваются как высокие или критические. “Вызывает тревогу то, что поставщики намеренно выпускают код, который подвергает их клиентов опасности”, — сообщил Сэмпсон. Исследование выявило, что приложения для проведения собраний и почтовые клиенты имеют самое большое количество уязвимостей. Это вызывает особую озабоченность, поскольку инструменты видеоконференцсвязи для многих стали основным способом рабочего общения. Источник: Venture BeatJetBrains Compose для ПК и Web перевели в альфа-версию
Компания JetBrains перевела декларативную структуру пользовательского интерфейса Compose из предварительной в альфа-версию. Compose для ПК и Web позволяет создавать макеты и сопутствующую логику на языке Kotlin, заменяя стандартный механизм компоновки XML в Android. Мультиплатформенная версия Compose поддерживает разработку пользовательских интерфейсов Android, Desktop и Web с одними и теми же артефактами. Помимо плагина Gradle, в альфа-версии появился плагин IDE для IntelliJ IDEA и Android Studio, что улучшает поддержку Compose для ПК и Web. Этот плагин позволяет разработчикам аннотировать составные функции в виде предварительных изображений и просматривать макеты непосредственно в IDE. В новой версии Compose улучшено управление окнами в приложениях. Появился новый API-интерфейс окон, который позволяет разработчикам открывать новые окна с адаптивным, а не фиксированным размером. Источник: JetBrainsАНБ США опубликовало Руководство по усилению безопасности Kubernetes
Агентство национальной безопасности США выпустило 50-страничный отчет под названием “Руководство по усилению безопасности Kubernetes”. В документе подробно описаны угрозы средам Kubernetes и даны рекомендации по настройке. Отчет ориентирован на системных администраторов и разработчиков информационных систем национальной безопасности (NSS). Чтобы избежать ошибок при настройке кластера, специалисты АНБ предлагают использовать 7 стратегий:- Проверять pod и узлы на предмет наличия уязвимостей и некорректных конфигураций.
- Запускать контейнеры и pod с наименьшими возможными привилегиями.
- Сегментировать сети для контроля степени ущерба, который может быть вызван компрометацией.
- Использовать фаерволы для ограничения необязательных сетевых соединений и шифрование для обеспечения конфиденциальности.
- Ввести строгие правила аутентификации и авторизации, чтобы ограничивать права доступа пользователей и администраторов, а также чтобы уменьшить поверхность атаки.
- Проводить аудит и логирование, которые помогают администраторам предотвращать возможную вредоносную активность.
- Периодически проверять все настройки Kubernetes с использованием сканеров уязвимостей, чтобы выявлять риски и применять исправления безопасности.