npm 12 blockiert standardmäßig die automatische Ausführung von Installationsskripten, Git-Abhängigkeiten und externe URLs — erfordert künftig explizite Genehmigung für diese Vorgänge.
Mindestens 32 Red Hat npm-Pakete wurden mit einem Credential-Stealer infiziert, der zugleich GitHub-Workflows manipulierte, um weitere Packages mit gefälschten SLSA-Attesten zu publizieren und Supply-Chain-Zugriff zu erweitern.
Project Glasswing ist eine globale Initiative zur Stärkung der Softwaresicherheit durch systematische Identifikation und Behebung von Sicherheitslücken in kritischen Systemen weltweit.
Projekt Glasswing hat in einem Monat über 10.000 kritische Sicherheitslücken in wichtiger Software gefunden. Der Engpass verlagert sich von der Erkennung zur Verifizierung und Behebung von Schwachstellen.
