Supply Chain

В 2025‑м атаки на npm, PyPI и Docker Hub показали: проблема не в «хитрых письмах», а в архитектуре реестров. Слабая аутентификация, отсутствие проверяемого происхождения артефактов и трудности с удалением заражённых образов превращают единичный инцидент в системный риск. Разбираемся, почему так происходит, и что разработчики могут сделать сами: подписи и SLSA/прованенс, закрепление версий, SBOM и непрерывное сканирование.

Исследователи предупреждают: ИИ-инструменты дают киберпреступникам опасные возможности — от скрытых подсказок в письмах до автономных «агентов» в браузерах. На кону — данные, деньги и целые цепочки поставок.