[Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок

Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной экосистеме. Поэтому подход проекта к безопасности CI/CD интересен не только мейнтейнерам других опенсорс-проектов: те же паттерны полезны любой команде, которая собирает прод-артефакты в GitHub Actions. Команда VK Cloud перевела статью с конкретными YAML-конфигами, дизайн-решениями и честным списком того, что у Cilium пока не сделано.

https://habr.com/ru/companies/vk/articles/1040540/

#vk_cloud #github_actions #supply_chain #devsecops #cilium #kubernetes #sigstore #slsa #sbom #безопасность

AGENTS.md создавали, чтобы помогать агентам. Я использую его, чтобы их вычислять

Вместе с растущей AI-индустрией приходят и её побочки. Я мейнтейнер библиотеки react-native-tdlib и довольно быстро заметил: все больше PR выглядят как чистый вывод агента. Сначала я честно реагировал — писал в каждый такой PR вопросы: тестировали ли вы это, что именно меняет ваш код, зачем вот эта строчка. В какой-то момент понял, что трачу время на переписку с людьми, которые сами не знают, что написали. Первая мысль была — написать большой README или CONTRIBUTING и прямым текстом сказать: «сгенерированный код не принимаю». Но тут же упёрся в вопрос: а как доказать, что код сгенерирован? Аргумент «чую, тут пахнет Claude Code» — так себе позиция для публичного спора в комментариях к PR. Решение оказалось довольно простым — AGENTS.md . Он конечно не доказывает, что PR сгенерирован, но отлично ловит самые очевидные автоматические PR, где автор, кажется, вообще не участвовал в процессе.

https://habr.com/ru/articles/1038786/

#AGENTSmd #AIагенты #open_source #pull_request #спам #React_Native #GitHub_Actions #code_review #мейнтейнер #Claude_Code

AGENTS.md создавали, чтобы помогать агентам. Я использую его, чтобы их вычислять

Вместе с растущей AI-индустрией приходят и её побочки. Я мейнтейнер библиотеки react-native-tdlib и довольно быстро заметил: все больше PR выглядят как чистый вывод агента. Сначала я честно реагировал — писал в каждый такой PR вопросы: тестировали ли вы это, что именно меняет ваш код, зачем вот эта строчка. В какой-то момент понял, что трачу время на переписку с людьми, которые сами не знают, что написали. Первая мысль была — написать большой README или CONTRIBUTING и прямым текстом сказать: «сгенерированный код не принимаю». Но тут же упёрся в вопрос: а как доказать, что код сгенерирован? Аргумент «чую, тут пахнет Claude Code» — так себе позиция для публичного спора в комментариях к PR. Решение оказалось довольно простым — AGENTS.md . Он конечно не доказывает, что PR сгенерирован, но отлично ловит самые очевидные автоматические PR, где автор, кажется, вообще не участвовал в процессе.

https://habr.com/ru/articles/1038786/

#AGENTSmd #AIагенты #open_source #pull_request #спам #React_Native #GitHub_Actions #code_review #мейнтейнер #Claude_Code

RustDesk Pro в России не купить. После долгих лет администрирования мы собрали своё честное решение

Берем официальный RustDesk (AGPLv3), не делаем форк, патчим его на лету в GitHub Actions при каждой сборке клиента. Поверх - российская инфраструктура: серверы в РФ, оплата по счёту юр.лицам, корпоративный SSO через Active Directory и Яндекс ID, защита от мошенничества на Android. К концу мая - стабильный релиз. Меня зовут Артур Валиев. Я делаю не «решение для импортозамещения с сертификацией ФСТЭК» ради закупок. Просто работающий продукт, который я бы сам хотел использовать десять лет назад, когда сидел на саппорте у клиентов.

https://habr.com/ru/articles/1038580/

#RustDesk #удалённый_рабочий_стол #импортозамещение #AGPL #GitHub_Actions #российский_SaaS #B2B #Active_Directory #Yandex_ID #антифрод

Mini Shai-Hulud Worm Compromises TanStack, Mistral AI, Guardrails AI & 169 Packages

A large-scale supply chain attack targeted npm and PyPI packages from major projects like TanStack, Mistral AI, UiPath, and OpenSearch, exploiting GitHub Actions vulnerabilities to steal credentials and publish malici...

🔗 https://salehgnutux.github.io/GT-NEWSTECH/en/ai/mini-shai-hulud-supply-chain-attack/

#Mini_Shai-Hulud #Cybersecurity #Supply_Chain #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions

دودة Mini Shai-Hulud: هجوم سلسلة توريد يطال TanStack وMistral AI و169 حزمة برمجية

هجوم واسع النطاق لسلسلة التوريد استهدف حزم npm وPyPI الخاصة بمشاريع كبرى مثل TanStack وMistral AI وUiPath وOpenSearch، مستغلاً ثغرات في GitHub Actions لسرقة الشهادات ونشر برمجيات خبيثة مع أدوات إثبات صحة مزورة.

🔗 https://salehgnutux.github.io/GT-NEWSTECH/ar/ai/mini-shai-hulud-supply-chain-attack/

#Mini_Shai-Hulud #أمن_سيبراني #سلسلة_توريد #npm #PyPI #TanStack #Mistral_AI #GitHub_Actions

Взлом GitHub-репозиториев Grafana Labs: как атака на цепочку поставок npm привела к краже кодовой базы и вымогательству

Часть I: Первопричина - атака Mini Shai-Hulud на экосистему TanStack Цепочка поставок как вектор атаки 11 мая 2026 года, в промежутке с 19:20 до 19:26 UTC , произошло одно из наиболее технически изощрённых событий в истории атак на цепочку поставок npm. Группировка TeamPCP опубликовала 84 вредоносные версии пакетов в рамках 42 пакетов из пространства имён @tanstack/* - и всё это за шесть минут. Кампания получила название Mini Shai-Hulud - отсылка к гигантским песчаным червям из вселенной «Дюны» Фрэнка Герберта. Это не первая волна активности TeamPCP: до этого они скомпрометировали сканер Trivy от Aqua Security в марте 2026-го и npm-пакет Bitwarden CLI в апреле 2026-го. Каждая следующая волна технически сложнее предыдущей. Как работала атака: три уязвимости в одной цепочке Атака объединила три уязвимости, каждая из которых по отдельности была бы недостаточна. Злоумышленник создал форк репозитория TanStack/router, открыл pull request, который запустил workflow с триггером pull_request_target , и отравил кэш GitHub Actions через границу доверия fork↔base. Когда легитимный workflow сработал, отравленный кэш был восстановлен, а вредоносный код извлёк OIDC-токен прямо из памяти процесса runner'а. Ключевой момент: злоумышленники не крали статические npm-токены. Вместо этого они извлекали runtime OIDC-токены напрямую из памяти процесса runner'а, что позволило им аутентифицироваться легитимным образом через trusted publisher bindings и публиковать скомпрометированные обновления в npm-реестр. Масштаб заражения

https://habr.com/ru/articles/1037180/

#devsecops #devops #grafana #github #информационная_безопасность #github_actions #кибербезопасность #npm #ransomware #supply_chain

Настраиваем CI/CD в GitHub для Python-проекта с нуля

Настройка CI/CD часто кажется новичкам чем-то сложным и доступным только DevOps-инженерам. На самом деле автоматизировать рутину Python-проекта можно всего за полчаса. В этой статье мы по шагам разберем, как с нуля настроить GitHub Actions для простого FastAPI-приложения: от автоматического запуска тестов и быстрого линтера Ruff до сборки Docker-образа и публикации его в Docker Hub.

https://habr.com/ru/articles/1037002/

#python #github_actions #docker #pytest #автоматизация #fastapi #туториал

Безопасность GitHub Actions: модель угроз, атаки и меры защиты. Часть 1

GitHub Actions давно стал одной из самых опасных точек в supply chain. Ошибка в workflow может открыть доступ к секретам, токенам и инфраструктуре — именно так развивались атаки на tj-actions, Ultralytics и Trivy. В статье разберем, как работают уязвимости вокруг pull_request_target, expression injection и сторонних actions, и почему «просто CI» сегодня требует полноценной threat model. Разбор атак

https://habr.com/ru/companies/otus/articles/1036996/

#github_actions #ci_cd #безопасность_CI_CD #supply_chain_атаки #pull_request_target #GitHub_secrets #DevSecOps #GitHub_Actions_security

📢 Post-mortem : compromission de la chaîne d'approvisionnement npm de TanStack (mai 2026)
📝 ## 🔍 Contexte

Le 11 mai 2026, TanStack a publié un post-mortem détaillé d'une **compromission de chaîne d'approvisionnement npm** sur...
📖 cyberveille : https://cyberveille.ch/posts/2026-05-13-post-mortem-compromission-de-la-chaine-d-approvisionnement-npm-de-tanstack-mai-2026/
🌐 source : https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
#GitHub_Actions #IOC #Cyberveille