Bullet Train (2022)
Вредоносные pull request стали новой проблемой CI/CD
654 репозитория в одном сканировании оказались потенциально уязвимы к новой схеме атак, а более 300 из них исследователи назвали полностью эксплуатируемыми. Для разработчиков и DevOps-команд это неприятный сигнал: вредоносные pull request теперь бьют не только по коду, но и по самому конвейеру сборки, где лежат токены, ключи подписи и доступ к облаку. О новой слабости под названием Cordyceps сообщает Dark Reading. Речь не о баге в одном продукте и не о классической дыре с готовым CVE, а о типовом...