 |
Взлом через NPM: как защититься от критической уязвимости?
В популярном пакете Node.js Systeminformation обнаружена критическая уязвимость (RCE — удалённое выполнение кода), что ставит под угрозу безопасность систем, использующих эту библиотеку. Киберэксперт компании «Газинформсервис» Сергей Полунин рекомендует компаниям пересмотреть свои стратегии информационной безопасности и внедрить системы мониторинга безопасности, такие как Security Operations Center (SOC), для обнаружения угроз и реагирования на них в реальном времени. «Уязвимость в популярном NPM-пакете — это всегда серьёзная проблема. Дело в том, что сегодня почти ничего не пишется с нуля, а разработчики используют огромное количество сторонних библиотек и модулей, зачастую даже не задумываясь об их безопасности. Их тоже можно понять: их в большей степени интересует функционал. Поэтому, когда появляется информация об уязвимости, особенно класса RCE, в библиотеке, которую вы используете, то это повод задуматься о том, как вы вообще проектируете своё программное обеспечение. Я не говорю, что всё нужно делать самому. Это как раз, скорее всего, сделает ваше ПО ещё более уязвимым, а вот использовать наложенные средства при тестировании и развёртывании ваших приложений — это хорошая идея. Подключив своё приложение к тому же SOC, выявлять атаки на эксплуатацию уязвимостей будет довольно просто. А ещё правильнее не допускать их в принципе. Для этого существует методология DevSecOps, которая позволяет на каждом этапе разработки ПО контролировать различные аспекты безопасности», — комментирует руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин. Напомним, в мае этого года «Газинформсервис» запустил коммерческий SOC, предоставляющий круглосуточный мониторинг и реагирование на инциденты безопасности. В основе решения лежат SIEM-, VM-, XDR- и UEBA-системы, позволяющие эффективно выявлять и нейтрализовывать угрозы, подобные внедрению команд в популярном пакете NPM Systeminformation. Состав решения может быть адаптирован под потребности конкретного заказчика.
Контактное лицо: Татьяна Манько
Компания: ООО "Газинформсервис"
Добавлен: 23:38, 27.12.2024
Количество просмотров: 313
Страна: Россия
| Быстрее самолётов: в аэрогавани «Нерюнгри» увеличили скорости 4G, МегаФон, 23:05, 30.06.2026, Россия103 |
| Пассажирам и сотрудникам аэропорта «Нерюнгри» в Чульмане стал доступен более быстрый мобильный интернет МегаФона. Техническая служба оператора запустила в воздушной гавани базовую станцию с поддержкой LTE. Благодаря проведённым работам скорости передачи данных теперь достигают 75 Мбит/с. |
| От «умного дома» до прогулок у озера — в Тюмени улучшили связь для тысяч новосёлов, МегаФон, 23:04, 30.06.2026, Россия104 |
| МегаФон запустил новые базовые станции в семи жилых комплексах областного центра Тюменской области: «Юнион», «Централь», «Новый», «Дивный квартал у озера», «Опера», «Мотивы», «Ново Комарово». Новостройки находятся в разных точках города, в общей сложности в них уже проживают несколько тысяч человек. Ещё столько же готовятся к новоселью. |
| МегаФон увеличил покрытие на региональной трассе в Удмуртии, МегаФон, 23:04, 30.06.2026, Россия102 |
| МегаФон запустил новые базовые станции в населённых пунктах, прилегающих к региональной автодороге, соединяющей Сарапул и Камбарку: теперь жители сёл Мазунио и Тарасово будут на связи с близкими и друзьями, смогут пользоваться цифровыми сервисами. Для автомобилистов в этих локациях стали доступны голосовые вызовы, загрузка карт, использование навигационных сервисо |
| ПО «Helius.КУБ» и РЕД ОС 8: подтвержденная совместимость для доверенных ПАК, «Гравитон», 23:02, 30.06.2026, Россия107 |
| Компании «Гравитон», разработчик и производитель российской вычислительной техники, и РЕД СОФТ, разработчик программного обеспечения, объявили о совместимости программного обеспечения «Helius.КУБ» с российской операционной системой РЕД ОС 8. Данный шаг является частью последовательной стратегии компании «Гравитон» по выводу на рынок импортонезависимых ИТ-решений для российских заказчиков. |
| Печатное оборудование «Гравитон» совместимо с сервисами Print-X, «Гравитон», 22:59, 30.06.2026, Россия103 |
| Разработчик и производитель российской вычислительной техники «Гравитон» и компания ПринтИкс (входит в ГК «Айтеко») завершили интеграцию своих решений. Теперь на печатном оборудовании «Гравитон» можно установить приложение Print-X, которое расширяет возможности управления корпоративной печатью и повышает эффективность рабочих процессов. |
| "Андагар" разработал интернет-магазин для бренда одежды, Андагар, 22:58, 30.06.2026, Россия54 |
| ИТ-компания «Андагар» разработала платформу для российского бренда одежды с собственным производством. Решение объединило интернет-магазин, складской учет, логистику, работу с маркировкой «Честный знак» и интеграцию с производством. |
| Связь в амурской тайге: оператор запустил 4G в поселке Береговой, МегаФон, 22:57, 30.06.2026, Россия60 |
| Жители таёжного поселка Береговой в Зейском муниципальном округе Амурской области теперь могут пользоваться 4G в сети МегаФона. Специалисты перевели базовую станцию со спутника на волоконно-оптическую линию, что позволило запустить мобильный интернет на скорости до 50 Мбит/с. Ранее в поселке работала только голосовая связь оператора. |
| Вышла новая версия системы Arenadata Harmony MDM 3.1.1, Arenadata, 22:56, 30.06.2026, Россия105 |  |
| «Гармония» обновила систему Arenadata Harmony MDM (AD.MDM). Среди ключевых изменений – наследование признаков по иерархии классов, автоматическая генерация наименований по шаблонам и асинхронная выгрузка отчетов через реплику базы данных. |
|
 |