Claude Code Skills for safe PHP and JS package updates
用Claude Code技能安全更新PHP和JS包,避免历史重演。
It's not abnormal for projects to go weeks, or dare I say months, between dependency updates. And when people finally do update, they do it in full fo…
用Claude Code技能安全更新PHP和JS包,避免历史重演。
It's not abnormal for projects to go weeks, or dare I say months, between dependency updates. And when people finally do update, they do it in full fo…
GitHub官方揭秘如何为每个仓库赋予「持久所有者」,解决代码所有权丢失的安全隐患
GitHub had over 14,000 repositories. Fewer than half had clear ownership. Here's how we gave every active repository a validated owner in under 45 day…
全球最大功率半导体晶圆厂启用,英飞凌斥资50亿欧元提前投产,助力AI革命与供应链安全。
IT之家 7 月 3 日消息,Infineon(英飞凌)德国当地时间本月 2 日宣布,其位于萨克森州德累斯顿的智能功率晶圆厂 (Smart Power Fab) 正式开幕启用,投产进度原计划提前数月。 该项目总投资达 50 亿欧元(现汇率约合 387.88 亿元人民币),是 英飞凌历史上规模最大的单…
苹果联手塔塔调查630GB数据泄露,涉及台积电高通等供应商机密文件。
IT之家 6 月 27 日消息,路透社昨日(6 月 26 日)发布博文,报道称苹果公司已携手印度供应商塔塔电子(Tata Electronics),共同调查、应对本月初发生的数据泄露事件, 已收紧敏感系统的内部访问权限,并聘请全球顾问展开取证审计。 在泄露数据方面,勒索软件组织 World Leak…
用真实攻击案例揭示AI助手权限下放的供应链安全风险:OIDC令牌被盗、Sigstore签名伪造,SLSA隔离要求形同虚设。
Three vulnerabilities from the last few months, three different layers of the AI-coding-agent stack, one root cause. None of them is the model getting…
Socket Security实时监控开源依赖中的恶意行为,尤其能发现Postinstall自动安装脚本投毒,保护供应链安全
IT之家 6 月 7 日消息,网络安全公司 Socket 研究团队发文,透露有黑客利用“Postinstall”自动安装脚本发起供应链攻击,目前已污染超过 700 个 GitHub 公开代码库。 Socket 表示,黑客在此次攻击事件中首先对 GitHub 多个上游代码仓库动手,悄悄修改 packa…
消除原生模块供应链风险,llm-cli-gateway 2.0.0 改用 Node 内建模块,实现零依赖生产部署,安全升级不容忽视。
llm-cli-gateway 2.0.0 went out on 4 June 2026. npm now reports 2.0.0 as the latest version, and the public GitHub release carries the platform binarie…
2026年npm包评估新指南:安全、质量、维护性全面升级,开发者必读。
#788 — June 2, 2026 Read on the Web JavaScript Weekly Hocuspocus 4: Add Real-Time Collaboration to Any App — A plug-and-play real-time collaboration …
Red Hat云服务发现多个恶意npm包,涉及广泛版本号,用户需立即检查更新。
Article URL: https://github.com/RedHatInsights/javascript-clients/issues/492 Comments URL: https://news.ycombinator.com/item?id=48356625 Points: 675 #…
首次揭示LLM水印的PRNG信任假设漏洞,提出不可检测的完整性破坏攻击,颠覆现有安全认知。
arXiv:2605.28632v1 Announce Type: cross Abstract: Cryptographic watermarking is a leading defense for attributing text generated by large language mod…
AI编码代理正悄悄安装无人认领的软件包,供应链安全红灯已亮,开发者也该警惕这类新型攻击路径。
Article URL: https://thenewstack.io/aikido-ai-agents-security/ Comments URL: https://news.ycombinator.com/item?id=48299458 Points: 1 # Comments: 0
用AI代理技能自动审计软件供应链漏洞,开源工具助力安全排查
Article URL: https://github.com/javaid-codes/audit-supply-chain-agents Comments URL: https://news.ycombinator.com/item?id=48296630 Points: 1 # Comment…
AI代理在12分钟内攻破裸机供应链容器,展示了自主渗透测试的惊人效率与安全隐患
Article URL: https://dennysentinel.com/blog/deepseek-owned-supply-chain-12-minutes/ Comments URL: https://news.ycombinator.com/item?id=48247425 Points…
聚焦软件供应链安全实战,从Axios投毒事件到法规要求,揭示企业最欠缺的三个关键行动,而非工具。