Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web
tag

cadeia de suprimentos

5 artigos com esta tag

CVSS9.82026-06-12

Vazamento em massa do MOVEit (2023) — como um zero-day de SQL injection alcançou mais de 2.700 organizações, e como se defender

A entrada foi um zero-day de SQL injection (CVE-2023-34362) no MOVEit Transfer, exposto à internet. Um web shell (LEMURLOOT) foi plantado e dados foram roubados em massa do banco de dados de retaguarda, atingindo mais de 2.700 organizações e cerca de 93,3M de pessoas. A maioria das vítimas foi arrastada indiretamente porque um fornecedor usava o MOVEit. No seu ambiente: patch rápido de KEV, minimizar a exposição, menor privilégio e segmentação entre web↔DB, inventário de fornecedores e minimização de dados.

2026-06-11

Instalando e usando o osv-scanner: encontre CVEs nas suas dependências

O osv-scanner escaneia lockfiles e containers para revelar CVEs nas suas dependências, de graça. Este guia percorre a instalação, a execução e a integração ao CI, além de quando usá-lo vs. npm/pnpm audit vs. Dependabot. A visão deste site: a ferramenta certa é decidida pela SUA configuração — use o osv-scanner em projetos multi-ecossistema ou sem GitHub, e o pnpm audit embutido para uma única árvore npm.

2026-06-11

Git auto-hospedado vs. GitHub: qual é de fato mais seguro?

Auto-hospedar o Git não te torna 'mais seguro' — realoca o risco. A classe de exposição pública acidental desaparece, mas aplicar patches no servidor, backups e detecção de segredos pré-commit passam para você. A escolha certa se você paga o preço; pior que o GitHub se você o negligencia. A visão deste site: a auto-hospedagem só funciona junto com seus controles compensatórios.

2026-06-07

Vazamento da Codecov (2021) — quando uma 'ferramenta confiável' no CI foi sequestrada e segredos vazaram

Uma ferramenta de CI confiável (o Bash Uploader curl|bash) foi alterada na origem. Como o seu próprio código permaneceu intocado, passou despercebido por cerca de 2 meses enquanto segredos de CI vazavam; uma verificação de checksum o pegou. No seu CI: verifique artefatos baixados, segredos de menor privilégio, rotação, monitoramento de egress.

2026-06-07

O backdoor do XZ Utils (CVE-2024-3094) — quando a própria confiança era o alvo

Um mantenedor confiável plantou um backdoor no xz — um ataque à cadeia de suprimentos. O 'isto parece lento' de um engenheiro o pegou pouco antes da versão estável. O alvo não era o código — eram as pessoas e a confiança. Minimize dependências, fixe versões, faça builds reprodutíveis, persiga anomalias e apoie os mantenedores.

← Todas as tags