pl.x321.org

Nowości i edukacja. Krótko, rzeczowo.

Tematy, o których teraz się mówi No198

🧠 Problemy Okty z NextJS-OAuth: bezpieczeństwo kontra AI
Przykład ten doskonale pokazuje narastające napięcie między wkładem człowieka a kodem generowanym przez AI — szczególnie tam, gdzie kluczowe są odpowiedzialność, dokładność i bezpieczeństwo.
Badacz zgłosił poważne luki w zabezpieczeniach projektu Okta auth0/nextjs-auth0, w tym możliwość wstrzyknięcia parametrów OAuth umożliwiającą nadużycia tokenów i przejęcie kont. Po przesłaniu poprawki, opiekun projektu zastąpił ją kodem wygenerowanym przez AI, błędnie przypisując autorstwo nieistniejącej osobie i używając AI nawet do wystosowania przeprosin. Sprawa rodzi pytania o nadużycia AI, odpowiedzialność deweloperów i etykę w zarządzaniu bezpieczeństwem open source.
🔗Czytaj Więcej🔗

💻 Nowy system operacyjny ma zapewnić (częściową) zgodność z macOS
🔗Czytaj Więcej🔗

🔐 Znaleziono błędy kryptograficzne w bibliotece Elliptic dzięki Wycheproof
To ujawnienie przypomina, jak istotne jest ciągłe testowanie automatyczne bibliotek kryptograficznych — nawet tych najczęściej używanych w projektach open source.
Zespół Trail of Bits ujawnił kilka podatności w popularnej bibliotece kryptografii eliptycznej dla JavaScriptu — Elliptic. Luki te mogły umożliwić fałszowanie podpisów lub błędne odrzucanie prawidłowych, a jedna z nich pozostaje niezałatana mimo upływu 90 dni od zgłoszenia. Problemy wykryto przy użyciu zestawu testowego Wycheproof firmy Google, co doprowadziło do nadania wielu identyfikatorów CVE.
🔗Czytaj Więcej🔗

⏳ Wszyscy powinniśmy stosować „okresy chłodzenia” zależności
Praktyczna i tania propozycja poprawy bezpieczeństwa w open source — pokazuje, że czas i dobre praktyki społeczności bywają skuteczniejsze niż kosztowne narzędzia.
Autor bloga przekonuje, że projekty open source powinny wprowadzić tzw. „dependency cooldowns” — opóźnienia między wydaniem zależności a jej użyciem — aby ograniczyć ataki na łańcuch dostaw. Wyjaśnia, że większość takich ataków wykorzystuje krótkie okna czasowe, a cooldowny, łatwe do wdrożenia np. w Dependabocie czy Renovate, znacząco zmniejszają ryzyko.
🔗Czytaj Więcej🔗

,
Authentication, Authorization, CICD, Compatibility, CPlusPlus, DeveloperTooling, DevEx, Encryption, Frontend, JavaScript, Linux, NextJS, OAuth2, OpenSource, OperatingSystems, QualityAssurance, SecureCoding, SoftwareTesting, SystemsThinking, Testing, VersionControl, WebSecurity