Big Tech Vendors Object to US Gov SBOM Mandate

Big Tech Vendors Object to US Gov SBOM Mandate

Home › Cyberwarfare Big Tech Vendors Object to US Gov SBOM Mandate By Ryan Naraine on December 07, 2022 Tweet The U.S. government’s mandates around the creation and delivery of SBOMs (software bill of materials) to help mitigate supply chain attacks has run into strong objections from big-name technology vendors. A lobbying outfit representing big tech is calling on the federal government’s…

View On WordPress

09 de Enero, 2022

Internacional

Corrompe las bibliotecas de NPM rompiendo miles de aplicaciones

El desarrollador detrás de las populares bibliotecas NPM de código abierto 'colors' (también conocido como colors.js en GitHub) y 'faker' (también conocido como 'faker.js' en GitHub) introdujo intencionalmente compromisos maliciosos en ellos que están impactando miles de aplicaciones que dependen de estas bibliotecas.

 E.@. El desarrollador detrás de las populares bibliotecas NPM de código abierto 'colors' (también conocido como colors.js en GitHub) y 'faker' (también conocido como 'faker.js' en GitHub) introdujo intencionalmente compromisos traviesos en ellos que están afectando a miles de aplicaciones que dependen de estas bibliotecas. Ayer, los usuarios de proyectos populares de código abierto, como el kit de desarrollo en la nube de Amazon (aws-cdk), quedaron atónitos al ver que sus aplicaciones imprimían mensajes incomprensibles en su consola.

Inicialmente, los usuarios sospecharon que las bibliotecas 'colors' y 'faker' utilizadas por estos proyectos estaban comprometidas, de forma similar a como las  bibliotecas coa, rc y ua-parser-js fueron secuestradas el año pasado por actores malintencionados. El ciclo infinito introducido en el código seguirá ejecutándose indefinidamente; imprimiendo la secuencia de caracteres no ASCII sin sentido en la consola para cualquier aplicación que use 'colores'.

La razón detrás de esta travesura por parte del desarrollador parece ser una represalia contra las megacorporaciones y los consumidores comerciales de proyectos de código abierto que dependen en gran medida del software gratuito e impulsado por la comunidad pero que, según el desarrollador, no retribuyen a la comunidad. En noviembre de 2020, Marak advirtió que ya no apoyará a las grandes corporaciones con su "trabajo gratuito" y que las entidades comerciales deberían considerar bifurcar los proyectos o compensar al desarrollador con un salario anual de "seis cifras".

Fuente

Endor Labs Joins Race to Secure Software Supply Chain

Endor Labs Joins Race to Secure Software Supply Chain

Home › Cyberwarfare Endor Labs Joins Race to Secure Software Supply Chain By Ryan Naraine on October 10, 2022 Tweet It’s officially a venture capital funding frenzy in the software supply chain security space. Less than two weeks after Ox Security banked a whopping $34 million in seed-stage financing, a new Silicon Valley startup called Endor Labs announced the closing of a $25 million seed round…

View On WordPress

Researchers Flag 'Significant Escalation' in Software Supply Chain Attacks

Researchers Flag ‘Significant Escalation’ in Software Supply Chain Attacks

Home › Cyberwarfare Researchers Flag ‘Significant Escalation’ in Software Supply Chain Attacks By Ryan Naraine on July 06, 2022 Tweet Security researchers at ReversingLabs are warning of a “significant escalation in software supply chain attacks” after discovering more than two dozen malicious NPM packages siphoning user data from mobile and desktop applications. The latest attack, dubbed…

View On WordPress