foobugs / René Oelke

find-compromised-dependencies find-compromised-packages

🛡️ Der letzte Angriff auf das #Node / #NPM Ökosystem betrifft mittlerweile über 500 Node Packages.

Basierend auf #mani hier ein kleines Open Source Projekt zum Finden kompromittierter Dependencies in euren Repos.

codeberg.org/reneoelke/fi...

#security #development #shaihulud

🗓️ Vom 14. bis 15. Mai findet wieder die wichtigste Konferenz Deutschlands für uns freiberuflich Selbständige statt, die Freelance Unlocked 2025. Besonders spannend finde ich The Unconference am 2. Tag (Donnerstag, 15. Mai). Freu mich auf die Themen und Community.

#freelanceunlocked #fun25

ebay argumentiert ein "berechtigtes Interesse" für die Verwendung personenbezogener Daten zur Entwicklung und zum Training von KI (der eigenen KI-Modelle sowie von KI-Modellen von Drittanbietern).

ebay ändert seine AGBs, u.a. mit einer default aktivierten Option "Verwendung personenbezogener Daten für die Entwicklung und das Training von KI".

Schaut am besten mal selbst in euren Kontoeinstellungen (accountsettings.ebay.de/ai-preferences), wo ihr die Option deaktivieren könnt. ✅

Deep Dive 174 – Codeberg mit Andreas Shi... | programmier.bar Quasi alle Entwickler:innen da draußen nutzen Code-Versionierungssysteme. Alle haben einen GitHub-Account – manche nutzen Alternativen wie GitLab od...

I recommend this podcast session (german): www.programmier.bar/podcast/deep...

Eines der Ziele von Docker Hub könnte sein, die Anzahl der Accounts zu erhöhen, um diese später durch weitere Maßnahmen (z.B. mehr Account Limits) zu monetarisieren.

Fühlt sich unangenehm an, ist aber wirtschaftlich nachvollziehbar. Docker Hub soll Gewinne einbringen.

GitHub - mdn/mdn-http-observatory: Backend for HTTP Observatory on MDN Backend for HTTP Observatory on MDN. Contribute to mdn/mdn-http-observatory development by creating an account on GitHub.

Und wer das Ganze in seiner Pipeline laufen lassen will, muss nicht ständig die Mozilla API abfragen, sondern kann das entsprechende Tool mdn-http-observatory dafür nutzen (github.com/mdn/mdn-http...). Das ist das Schöne an #OpenSource! Danke @mozilla.org 🙏

HTTP Header Security Test - HTTP Observatory | MDN Test your site’s HTTP headers, including CSP and HSTS, to find security problems and get actionable recommendations to make your website more secure. Test other websites to see how you compare.

Thema Frontend Security (CSP, CORS, HSTS etc.). Kennt ihr schon das @mozilla.org HTTP Observatory (developer.mozilla.org/en-US/observ...)? Sehr nützliches Tool! Damit könnt ihr eure Seiten scannen und konkrete Lösungshinweise umsetzen (inkl. Verlinkung zu technischen Details).

So to say. But better would be: Codeberg is Forgejo.

Jetzt updaten! Zero-Day-Sicherheitslücke in Chrome wird angegriffen Google hat dem Webbrowser Chrome ein Update spendiert. Es schließt eine Zero-Day-Lücke, die bereits angegriffen wird.

🔥 Achtung Chrome-Windows-Anwender, schnell updaten! Betrifft alle Chromium-basierten Browser (Edge, Brave …).

Die kritischen Sicherheitsprobleme mit Chrome (und Chromium-Browsern) und Windows häufen sich. Denkt über Alternativen nach (Firefox, Linux, macOS). 🤔

www.heise.de/news/Jetzt-u...

Docker Hub reduziert weiter die freien, anonymen Pull Limits. Das hat Auswirkungen auf eure Pipelines. Bevor es Probleme gibt, solltet ihr handeln.

I am currently moving to #Codeberg which is #forgejo in its core.

Ingress-nginx CVE-2025-1974: What You Need to Know Today, the ingress-nginx maintainers have released patches for a batch of critical vulnerabilities that could make it easy for attackers to take over your Kubernetes cluster. If you are among the over...

Ingress-nginx CVE-2025-1974: What You Need to Know-

🛡️ Na dann mal fix aktualisieren! #IngressNightmare

kubernetes.io/blog/2025/03...

Deep Dive 174 – Codeberg mit Andreas Shi... | programmier.bar Quasi alle Entwickler:innen da draußen nutzen Code-Versionierungssysteme. Alle haben einen GitHub-Account – manche nutzen Alternativen wie GitLab od...

Tolle Deep Dive Folge der @programmier.bar zum Thema #Codeberg!

Auf geht's. Account erstellt. Hallo #Codeberg!

www.programmier.bar/podcast/deep...

Auch User älterer Versionen der Action waren betroffen.

Eher ein unhandlicher Workaround als eine nachhaltige Lösung: Statt Versionsnummern die Action mittels Commit-Hash einbinden.

Besser wäre, immutable Git Tags zu ermöglichen.

Attacke über GitHub-Action-Tool spähte Secrets aus und legte sie in Logdatei ab Das Open-Source-Tool tjactions/changed-files hat im CI-Prozess mit GitHub Actions nach sensiblen Informationen gesucht und sie im Build-Log gespeichert.

Angriffe auf die Supply Chain der Software-Entwicklung sind vielfältig und hochgradig kritisch.

Hier ein aktuelles Beispiel, um per komprimierter GitHub Action an Secrets fremder Pipelines zu gelangen. Betroffene sollten trotz Mitigation ihre Buildlogs checken.

www.heise.de/news/Attacke...

FBI-Warnung: Betrügerische Online-Dateikonverter schleusen Trojaner in Dokumente Wer kostenlose Onlinedienste zum Umwandeln von etwa Textdateien nutzt, kann sich Malware einfangen. Darauf weist das FBI hin.

Vorsicht bei Online-Dateikonvertern!

Eigentlich braucht es derartige Warnungen nicht mehr, sollte man meinen. Anscheinend ist es immer noch ein lohnendes Geschäft.

Virenscanner helfen wenig weiter. Die beste Empfehlung ist: Nutzt keine derartigen Angebote!

www.heise.de/news/Malware...

Prinzipiell nichts. KeePassXC ist mMn die beste Desktop-Anwendung für die Verwaltung von Keepass-Passwörtern. Leider nur für den Desktop.

Ich benötige meine Secrets auch auf dem Smartphone, weswegen ich Strongbox so interessant fand.

Applause ist zwar keine unbekannte, aber auch keine unbeflekte Firma. Ungewiss, was das zukünftige Geschäftsmodell aber auch die nötigen Sicherheitsmaßnahmen betrifft. Vertrauen muss nun erstmal wieder neu aufgebaut werden. 2/2

Keepass-Client Strongbox aufgekauft – Nutzer beunruhigt Der beliebte Keepass-Client für Apple-Geräte gehört nun einem Entwickler-Team, dessen vorherige Einkäufe erhebliche Kritik wie Verunsicherung auslösten.

Als ich noch Keepass genutzt habe, war mir eine gute und vertrauenswürdige App sehr wichtig. Mit Strongbox hatte ich auch geliebäugelt. Nun wird Strongbox verkauft, was einige User wohl recht bedenklich finden. 1/2

www.heise.de/news/Keepass...

Undokumentierte Befehle reißen Sicherheitsleck in Bluetooth von ESP32 Berichte über undokumentierte Bluetooth-HCI-Befehle von ESP32-Chips machen die Runde. Sie reißen eine Sicherheitslücke auf.

Da könnte ein größeres Security-Problem draus werden. Diese ESP32-Chips sind massenhaft in diversen Geräten verbaut.

Wäre toll, wenn es irgendwann eine Liste mit möglichen betroffenen Produkten gäbe. heise.de/-10309527

Stoppt die Scheinselbstständigkeit! Unsichere Regeln gefährden Freelancer und Unternehmen. Wir fordern klare Kriterien, Wahlfreiheit und praxisgerechte Lösungen: Wir machen es Dir einfach, was zu ändern: In nur 2 Minuten Brief an deine…

Stoppt die #Scheinselbstständigkeit!

Fehlende Rechtssicherheit schadet der Wirtschaft: Selbstständige geben auf oder wandern ab, Unternehmen finden keine Fachkräfte. Wir fordern klare Regeln für stabile Rahmenbedingungen!

#Freelancer

LLMs bieten so unfassbar viele und flexible Angriffsmöglichkeiten, dass die Ausmaße heute noch gar nicht abzuschätzen sind. Danke an die @programmier.bar für diesen wertvollen Deep Dive.

Bösartiger Code in 200 GitHub-Repositories stiehlt knapp 500.000 Euro Eine Malware-Kampagne in GitHub-Repositories hat es auf Bankdaten und Bitcoin-Wallets abgesehen. Der Schadcode wird oft erst zur Build-Zeit ausgeführt.

Es wird immer schwieriger, bösartige Repos von nützlichen zu unterscheiden. Mit Hilfe von KI scheinen Angreifer eine sehr effektive Methode gefunden zu haben.

Daher gilt heutzutage um so mehr: Nehmt euch Zeit bei der Prüfung der Repos, die ihr nutzen wollt. 🧐

www.heise.de/news/Boesart...

VSCode extensions with 9 million installs pulled over security risks

Linus Torvalds würde Maintainer-Veto zu Rust-Kernel-Code übergehen Der Begründer des Linux-Kernels will Betreuer des Linux-Kernel-Codes übergehen, die sich gegen Rust-Unterstützung in ihrem Subsystem sträuben.

Linus würde im Falle von Rust-Code von seiner "Richtlinienkompetenz" Gebrauch machen. 💪

www.heise.de/news/Linus-T...

Sicherheitsupdate OpenSSH: Angreifer können sich in Verbindungen einklinken In der aktuellen OpenSSH-Version haben die Entwickler zwei Schwachstellen geschlossen. Attacken sind aber an bestimmte Voraussetzungen gebunden.

In der aktuellen OpenSSH-Version haben die Entwickler zwei Schwachstellen geschlossen. Attacken sind aber an bestimmte Voraussetzungen gebunden. #Security

I like #AsciiDoc. The adoc Studio also makes a very good impression. Would be nice if it were available in #SetApp at some point.