Search Results: github (37)

    擁有過億用家的開源程式碼託管平台 GitHub 宣布推出新措施,透過設立「安全開源基金」(Secure Open Source Fund)計劃,全方位支援開源項目的安全性及持續發展。近年平台頻頻成為黑客目標,今年便發生多宗嚴重事故,包括黑客利用平台評論功能的漏洞散播虛假升級檔案,以及將惡意程式刻意改名為知名開源項目,誤導用家下載。相信這次推出新計劃,便是為了改善問題而設。 想知最新科技新聞?立即免費訂閱! 開源項目中發現逾十萬惡意代碼 GitHub 由於擁有龐大的用家群,因而成為黑客熱門的攻擊目標。有網絡安全機構在今年三月曾調查平台上的開源項目,發現超過 100,000 個項目含有惡意代碼,這對開發者造成潛在威脅。研究員指這些數據可見,黑客正在向平台上傳惡意軟件,導致 GitHub 的自動安全掃瞄系統難以檢測和消除這些威脅。 這些惡意代碼包括木馬病毒、蠕蟲、間諜軟件和勒索軟件,可能竊取用家數據或損壞系統。報告內亦指出,開發者可能在不知情的情況下使用這些代碼,導致安全漏洞和聲譽損害。而這情況出現的原因之一,是開發者本身的網絡安全意識不足,因而有必要採取措施減少這種情況發生,其中一個可行的方法便是建立一個社群。 計劃強化開源生態系統安全 這項由微軟旗下 GitHub 推出的基金總額達 125…

    VulnCheck 專家發現,有黑客假扮成網絡安全研究員發表虛假的網絡安全概念驗證(PoC),並通過營運偽冒的 Twitter 及 GitHub 帳戶,吸引同業下載,目的是感染他們的電腦設備。雖然黑客經常透過不同詐騙手法攻擊不同人士,但這次以網絡安全同業為目標,到底有甚麼好處? 想知最新科技新聞?立即免費訂閱 ! 黑客經常使用不同詐騙手法散播惡意軟件,例如以破解版或具有額外功能的遊戲或影片編輯軟件為餌,令相關人士下載安裝,黑客便可將對方的電腦變成殭屍大軍成員,又或偷取對方儲存在電腦內的帳戶認證謀利。而為擴大感染範圍,黑客更會在社交平台上賣廣告,或以暗黑 SEO 方法提升儲存惡意軟件網站的搜尋排名,這些都是近年黑客常用的手法。 假冒網安公司發表研究報告 而在這次由 VulnCheck 專家揭發的釣魚陷阱中,黑客至少在今年五月開始便假冒成 RAPID7 網絡安全公司的研究員發表各式各樣的網絡安全研究報告,例如以公開 Chrome、Discord、Signal、Microsoft Exchange 等常用軟件的零日漏洞概念驗證為名,吸引同業的注意。…

    軟件開發者 Stephen Lacy 最近一份調查發現,開發者經常使用的開源程式碼平台 GitHub 上出現 35,000 個懷疑含惡意功能的專案,它們可以暗中竊取使用者儲存的帳戶驗證資料,其中一條程式碼更可讓黑客遙距執行指令,如經常使用 GitHub 者要留神。 GitHub 是全球最大的開源社群,它可供軟件開發者儲存程式碼專案,亦可讓開發者們之間進行交流,現時 GitHub 上已有超過七千萬會員,會員可以隨意瀏覽或下載其他會員上載的專案,不單有助開發者學習編程,甚至可直接將專案內容套用在自己的軟件內,可說是開發者的必備後台。不過,黑客亦看準 GitHub 的高使用量,因此會用各種方法散播惡意軟件,其中之一是上載有惡意功能的專案,如 GitHub 或其他會員未能發現,便可成功感染下載者的電腦設備。 這次由 Stephen…

    平常一聽到同銀行有關嘅運作程序,一定覺得會安全到不得了㗎啦,但接二連三嘅事實話俾大家知,無論間公司有幾大,規管有幾嚴謹,都一定會有「濕滑」嘅員工。加拿大最大銀行 Scotiabank(加拿大豐業銀行)近日被揭發出低級網絡安全錯誤,低級嘅程度更直逼「布偶級」(muppet-grade),大家明啦! 日前網絡安全研究員 Jason Coulls 揭發,加拿大 Scotiabank 喺 GitHub 嘅儲存庫竟然存有未受保護嘅檔案,當中有外幣匯率 SQL 數據庫系統嘅軟件藍圖及 access key、手機應用軟件程式碼,後台服務及數據庫實例嘅登錄憑證、原始編碼等,簡直係黑客金庫。 Scotiabank 嘅回應當然都估到,首先話呢啲資料並不會危及客戶、員工或合作夥伴,又話已經展開調查、修復問題、移送法律資料中。而加拿大法律規定,銀行出事就要即刻通報,加拿大金融機構監管辦公室方面就已接獲通知,正密切監察事態發展。 GitHub 於去年被 Microsoft 收購,成一時佳話。除咗極多開發者會用,亦有唔少企業機構都會用,因此,保安係其中最大課題。有時開發人員為咗貪方便唔使次次登入,會喺開發階段將…

    網絡安全情報公司 Recorded Future 發表最新報告,稱針對台灣組織的網絡攻擊活動持續增加,特別是針對國家基礎設施及管治部門的情況尤其嚴重,顯示地緣政治活動與網絡攻擊密度有重要關係。此外,開源(Open Source)工具的安全問題日益嚴重,企業必須加強警惕,切勿貪快胡亂使用。 想知最新科技新聞?立即免費訂閱! 香港及美國等機構亦是攻擊目標之一 報告內指稱,在 2023 年 11 月至 2024 年 4 月期間,即台灣進行總統大選前後,一個稱為 RedJulliett 的黑客組織,曾攻擊台灣 70 多個機構,當中包括…

    來到一年之始,每年的這個時候,大家都希望自己擁有一顆能預知未來的水晶球,預視 2024 年的局面及趨勢。2023 年,人工智能(AI)、ChatGPT 和無數先進技術吸引全世界討論,成為全球熱話。來到今年,這些創新科技不應再被視為挑戰;反之,新興技術解鎖各種各樣可能性,我們應該把握箇中機遇。 撰文:Red Hat香港、台灣及澳門區總經理文志鋒 想知最新科技新聞?立即免費訂閱! Red Hat 委託 Economist Impact 進行的《適應型領袖剖析:駕馭新興技術》(Anatomy of adaptive leaders: Navigating emerging technologies)最新調查結果顯示,儘管香港企業在採用新興技術方面取得了相當大的進展,但仍有進步空間。…

    Aqua Security 研究員發表研究報告,指有使用開源倉庫儲存開發計劃的企業或開發人員,未有慎重處理上傳數據中是否包含容器管理平台的帳戶登入憑證,從研究員發現的二百多個計劃中,竟包括多間財富 500 名單上的企業及兩間區塊鏈公司,如被有心人取得,將會引爆破壞力驚人的供應鏈攻擊,企業不可不防。 想知最新科技新聞?立即免費訂閱 ! 以 GitHub 的 API 進行搜尋 不少企業現時都有使用容器技術,因為它具備非常高的彈性及可擴充性,讓企業可在本地環境開發各種應用程序之餘,也能輕易轉移至公共雲或混合雲環境,以應付不同的業務需求。由於容器有輕量及可移植特性,因此亦有快速部署或交付的優勢,並能在不同作業環境保有一致的運行表現,減少硬體需求及營運成本。而為了能有效率地管理容器,企業會選用 Kubernetes 等開源容器管理平台,除了有助管理容器化的應用程序,還可獲得一定的安全性及在故障時根據設定自動重啟服務。 不過,今次 Aqua Security 便針對開源倉庫 GitHub…

    Wiz 雲端安全研究小組發現,Microsoft 員工曾在 GitHub 開源共享平台分享 AI 模型訓練數據,但由於意外地放置了允許從外部訪問 Azure Blob 儲存空間的網址及 SAS tokens,導致 38TB 非公開數據可供外人讀取,而且情況維持足足三年,認真匪夷所思。 想知最新科技新聞?立即免費訂閱 ! AI 訓練模型設定錯誤 導致這次內部數據可被外人讀取的問題,出在 Shared…

    Super Mario 電影版早前大收旺場,有黑客「食住個勢」,借助其電腦遊戲的名氣,推出內藏挖礦及木馬程式的惡意版本,再通過在遊戲討論區、社交平台及暗黑 SEO 技術推廣。雖然未知有多少受害者,但憑著 Mario 電影掀起的熱潮,相信都有不少人會跟風安裝遊戲,真正玩出禍。 想知最新科技新聞?立即免費訂閱 ! Mario 電影大收 遊戲舊作被黑客利用 早前任天堂公司的靈魂遊戲人物 Mario 推出電影《The Super Mario Bros. Movie》,短短兩個多月全球票房已突破十億美元,雖然影評毁譽參半,有人指劇情欠奉,而遊戲迷則大讚畫面重現遊戲各種元素。不過有十億美元票房在手,始終有一定影響力,因此全球各地都掀起 Mario 旋風,就連舊作的下載量都大升。…

    Microsoft Build Hong Kong 於早前完滿舉行,活動由多位 Microsoft 技術專家,為本港開發人員分享最新開發工具及探討最熱門的 AI Copilot 技術發展 ,讓開發體驗變得更加輕鬆完善。 活動當日,更有 GitHub hands-on 體驗工作坊、合作夥伴攤位以及 Happy Hour ,讓各位參加者可以進行技術交流,認識更多 Microsoft的資源及方案,如何提高開發團隊生產力。 (資料及圖片來自…