Transcript
00:00:00Итак, сейчас утро среды, и я намеренно не стал делать эпизод об огромной атаке на цепочку поставок — новой масштабной атаке, произошедшей вчера, когда пострадало более 600 NPM-пакетов, еще одна атака через перехват, потому что я не хочу говорить об этом каждую неделю.
00:00:23Но пару часов назад я проснулся и прочитал, что GitHub расследует взлом около 4000 внутренних репозиториев из-за компрометации устройства сотрудника через вредоносное расширение VS Code.
00:00:43И я, честно говоря, просто устал. Не проходит и недели без подобных серьезных инцидентов безопасности. На прошлой неделе у нас была волна атак на цепочку поставок, связанных с Tanstack, на этой неделе — еще одна, а теперь вот этот взлом GitHub, и пока что, судя по тому, что опубликовал GitHub, он
00:01:07в кавычках, затронул их репозиторий, произошла утечка около 4000 внутренних репозиториев, не клиентских, и уж точно не приватных клиентских репозиториев, просто внутренних репозиториев GitHub, но все равно, едва ли проходит неделя без подобного инцидента.
00:01:27И я имею в виду, что у нас также есть все эти уязвимости, которые обнаруживаются, как, опять же, в случае с GitHub — та, что была найдена пару недель назад и позволяла выполнять удаленный код.
00:01:38Ее обнаружили и исправили до того, как ею успели воспользоваться, но кибербезопасность, очевидно, становится огромной проблемой, и я знаю, что говорил об этом раньше, и говорил о роли ИИ, которая, конечно, огромна, потому что ИИ помогает находить уязвимости,
00:02:00он помогает писать вредоносный код, помогает проводить атаки на цепочки поставок, и это делает такие атаки намного интереснее для злоумышленников, потому что сейчас так много новых людей пишут код, кода пишется больше, чем когда-либо, есть агенты, которые пишут код и устанавливают пакеты — сейчас это просто дикий запад.
00:02:24Это действительно раздражающая ситуация, скажу я вам. Я полностью согласен с тем, что нужно адаптироваться к существованию ИИ, что нужно учиться работать с этими инструментами.
00:02:40И этим я занимаюсь уже много месяцев, именно поэтому я создал курсы по Claude Code или Codex, а также мой коллега Мануэль недавно создал курс по работе с Claude Code, потому что мы хотим поделиться тем, что узнали об этих инструментах, как мы их используем, как вы можете, возможно, использовать их, чтобы быть эффективнее, и как совершить этот переход от традиционного написания кода к разработке с помощью ИИ.
00:03:03Но в то же время, давайте будем честны: я бы хотел, чтобы времена были проще, с меньшим количеством инцидентов безопасности, с меньшим числом генеральных директоров, твердящих мне, что вся офисная работа исчезнет через месяц или около того, но что есть, то есть.
00:03:21Вот мы здесь, с очередным инцидентом безопасности сегодня, а сейчас только утро среды, как я уже упоминал, так что посмотрим, что еще произойдет до конца недели.
00:03:30И единственное, что мы можем сделать прямо сейчас, помимо того, чтобы уйти из индустрии, конечно — что некоторые разработчики уже сделали или рассматривают, — это, если вы решили остаться в индустрии, конечно, адаптироваться и учиться использовать эти ИИ-инструменты, но что касается безопасности, то отнестись к этому очень серьезно.
00:03:50И я знаю, что уже упоминал об этом в прошлых эпизодах, но именно поэтому, например, я создал целое бесплатное видео на другом моем YouTube-канале, ссылку на которое я снова оставлю ниже, где я показываю основные шаги, которые вы можете предпринять для создания более безопасной среды разработки.
00:04:08И это включает в себя такие вещи, как использование менеджера пакетов, например pnpm, или bun, который более безопасен по умолчанию. Например, последняя версия pnpm имеет минимальный возраст релиза в один день, что означает, что если вы устанавливаете пакеты через него, он не будет подтягивать пакеты, которым меньше одного дня.
00:04:29Таким образом, снижается опасность пострадать от атак на цепочку поставок, поскольку большинство из них, хотя, конечно, не обязательно все — гарантий нет, — но большинство из них обнаруживаются довольно быстро, так что это хорошо, и, очевидно, вы можете настроить все эти параметры.
00:04:44А менеджеры, подобные этому, а также bun, например, блокируют выполнение скриптов, которые могут быть прикреплены к пакетам, которые вы устанавливаете.
00:04:55И, конечно, есть другие шаги, такие как запуск в dev-контейнере или на виртуальной машине, выполнение разработки там, а не хранение секретов в открытом виде на вашей машине.
00:05:05Но, конечно, также стоит задаться вопросом, как в случае с GitHub компрометация устройства одного сотрудника, как это звучит, может привести к массовой утечке данных, поэтому, очевидно, крупным компаниям или любым компаниям, в которых больше нескольких сотрудников, придется переосмыслить, насколько велики их радиусы поражения и какой ущерб может нанести один сотрудник.
00:05:31И все это происходит в то время, когда теоретически вы хотите предоставить ИИ-агентам массовый доступ ко всем видам данных, чтобы сделать их эффективными, чтобы агенты могли сканировать огромные объемы данных и взаимодействовать со всеми видами систем, так что сейчас у нас есть эти сталкивающиеся реальности.
00:05:53И правда в том, что вы находитесь в большой опасности, если не ограничиваете права доступа, права на использование данных, информационную безопасность и все то веселое, о чем никто не заботился много-много лет, но сейчас становится серьезно: ИИ делает эти атаки легче и выгоднее.
00:06:12Веселые времена, веселое время быть разработчиком, но эй, вероятно, дальше будет только лучше, посмотрим.
Community Posts
No posts yet. Be the first to write about this video!
Write about this video