52 notícia(s) relacionada(s).
Reunimos nesta página as publicações do Hack Alerta relacionadas a devsecops.
ZAP reportou vazamento de memória no motor JS que afeta varreduras ativas após inclusão de nova regra JS no add‑on OpenAPI. Nightly/Weekly atualizados e add‑on alterado para desabilitar a regra; stable pendente. Recomendações: atualizar, controlar recursos e, se necessário, usar varredura passiva ou outra ferramenta.
MEDUSA é um scanner SAST open-source com 74 scanners e 180+ regras focadas em riscos de agentes de IA. Suporta 42+ linguagens, relatórios SARIF/JSON e filtro inteligente para reduzir falsos positivos. Publicação cita performance paralela e capacidades de detecção de CVEs, mas faltam auditorias independentes e métricas reproduzíveis.
Pesquisadores atribuem ao grupo DPRK Konni um novo backdoor em PowerShell voltado a ambientes de desenvolvimento de blockchain, visando chaves e ativos de criptomoeda. DarkReading não divulga IoCs ou número de vítimas.
Relato do DarkReading aponta falhas no framework Chainlit que podem conceder poderes perigosos a atacantes em ambientes de nuvem. A cobertura via RSS é genérica e não lista CVEs, versões afetadas ou provas de exploração, exigindo acompanhamento técnico.
CVE-2026-22610 é uma falha de XSS no esquema de sanitização do compilador de templates do Angular que trata atributos href/xlink:href de elementos SVG como strings comuns, permitindo execução de JavaScript. O advisory do GitHub lista versões afetadas e versões corrigidas (incluindo 19.2.18, 20.3.16, 21.0.7 e 21.1.0-rc.0). Aplicações que usam bindings dinâmicos em SVG devem priorizar atualização ou aplicar validação server‑side até o patch.
Pesquisadores identificaram uma campanha que publicou 27 pacotes maliciosos no npm para atuar como infraestrutura de phishing dirigida a equipes comerciais e de vendas. Os artefatos ajudavam a capturar credenciais; mitigação exige SCA, políticas de registro e MFA.
Dark Reading alerta que a crescente adoção de agentes de IA para gerar código torna crítico priorizar a segurança do pipeline em 2026. O alerta pede governança do uso de agentes, validação de artefatos e integração das práticas de análise de segurança ao código gerado automaticamente. O texto disponível destaca a mudança de paradigma, mas não fornece métricas ou exemplos públicos no trecho divulgado.
Docker tornou gratuitos os Docker Hardened Images (DHI) sob Apache 2.0, incluindo SBOMs e SLSA Build Level 3. A iniciativa facilita adoção de imagens seguras, enquanto a oferta Enterprise permanece para SLAs e conformidade.
Pesquisa da Checkmarx demonstra 'Lies‑in‑the‑Loop', técnica que forja diálogos HITL em assistentes de código (Claude Code, Copilot Chat) para induzir RCE. Recomendações incluem isolamento, validação de payloads e exibição do código bruto antes de aprovação.
Chrissa Constantine, em artigo no Dark Reading, afirma que 'vibe coding' — desenvolvimento sem governança estrita — acelera inovação, mas aumenta riscos de segurança. O aviso é qualitativo: o resumo não traz estatísticas nem incidentes vinculados; o foco é recomendação de controles, integração de testes e maturidade no SDLC para equilibrar velocidade e segurança.