Escrito por Geovana & Guisso
Curiosidade do mês#
Em outubro de 2019, o Google revelou a vulnerabilidade “StrandHogg” no sistema Android. Esta falha permitia a aplicativos maliciosos se passarem por apps legítimos, coletando dados sensíveis dos usuários. O problema foi resolvido com atualizações de segurança, enfatizando a importância de manter os dispositivos atualizados e revisar permissões de aplicativos.
Manifest Confusion no PyPI#
O Manifest Confusion é um problema no ecossistema PyPI, o repositório principal de pacotes Python. Ele surge por inconsistências entre metadados no PyPI e nos arquivos baixados por ele, levando a diferentes resoluções de dependências por ferramentas de gerenciamento e segurança de pacotes. Isso pode resultar na instalação de pacotes maliciosos ou vulneráveis. A solução recomendada é utilizar o PEP 658 em vez da API JSON do PyPI para resolver dependências.
O enorme bug no coração do ecossistema npm#
O texto descreve um problema no ecossistema npm, onde a validação de informações do manifesto com o conteúdo do pacote tarball não é feita pelo Registro Público do npm. Em vez disso, é deixado para os clientes compatíveis com npm, o que pode levar a várias questões, como envenenamento de cache, instalação de dependências desconhecidas, execução de scripts não listados e possíveis ataques de downgrade. O autor sugere que a documentação dos APIs do Registro Público do npm seja feita rapidamente e encoraja os desenvolvedores a entrar em contato com os mantenedores de ferramentas que dependem dos dados do manifesto, incentivando o uso do conteúdo do pacote para metadados sempre que apropriado.
Uma visão geral da segurança no OpenAPI#
O artigo aborda as opções de segurança disponíveis no OpenAPI, discute como empresas de diferentes tamanhos estão implementando segurança em suas APIs e oferece orientações para construir uma API segura.
Passkeys estão disponíveis no Github#
As Passkeys são uma nova forma de autenticação mais segura para contas do GitHub, reduzindo a dependência de métodos facilmente passíveis de phishing, como senhas. Agora, estão disponíveis para todos os usuários. O suporte amplo da indústria por parte de empresas como Apple, Google e Microsoft tem sido crucial para o sucesso das Passkeys, com aprimoramentos recentes no Windows e Chrome aprimorando a compatibilidade entre dispositivos e ecossistemas.
Obtenha todos os benefícios do IMDSv2 e desative o IMDSv1 em sua infraestrutura AWS#
O Instance Metadata Service (IMDS) soluciona um desafio de segurança na nuvem ao oferecer credenciais temporárias, eliminando a necessidade de distribuir manual ou programaticamente credenciais confidenciais para instâncias. O IMDSv1, por não ter autenticação para buscar dados do terminal IMDS, um invasor pode obter acesso a informações confidenciais presentes no serviço de metadados. Portanto, a atualização para o IMDSv2 é crucial, e é exatamente isso que o artigo aborda.
Milhares de GitHub Comments vazam chaves de API ativas#
No artigo, você verá uma pesquisa que conclui que os desenvolvedores inadvertidamente expõem credenciais no GitHub através de comentários públicos, resultando em milhares de chaves e senhas vazadas. Essa prática difere dos vazamentos em commits. A maioria dos casos ocorre em texto, não em código, e editar os comentários não os remove completamente. É crucial varrer regularmente os comentários, girar chaves expostas e utilizar o TruffleHog para verificação.