17 апреля 2025 года состоялся релиз стабильной версии свободного программного сетевого анализатора Wireshark 4.4.6. Первый релиз ветки 4.4 открытого проекта вышел в августе 2024 года. Стабильный релиз Wireshark 1.0.0 состоялся в 2008 году. Код проекта распространяется под стандартной общественной лицензией GPLv2.
В некоммерческой организации MITRE объявили о приостановке финансирования со стороны правительства США (Министерства внутренней безопасности США) программ по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures) и списка видов уязвимостей CWE (Common Weakness Enumeration), что может негативно отразиться на всей глобальной индустрии кибербезопасности.
Интеллект проявляется повсеместно, но его измерение кажется субъективным. В лучшем случае мы приблизительно оцениваем его с помощью тестов и контрольных заданий. Вспомните вступительные экзамены в колледж: каждый год бесчисленное количество студентов записываются на них, заучивают советы по подготовке к экзаменам и иногда получают идеальные баллы. Означает ли одно число, например 100%, что у тех, кто его получил, одинаковый уровень интеллекта — или что они каким-то образом максимально раскрыли свой интеллект? Конечно, нет. Тесты — это приблизительные, а не точные измерения реальных возможностей кого-либо или чего-либо.
Команда Blender Foundation объявила, что ищет помощи у сторонних разработчиков и пользователей для тестирования своего экспериментального бекэнда Vulkan в рамках новых сборок кроссплатформенного ПО для 3D‑моделирования Blender 4.5.0 Alpha.
Эксперты по ИБ из Mitsui Bussan Secure Directions сообщили, что разработчики из команды RARLAB исправили в WinRAR 7.11 ошибку обхода предупреждений безопасности Windows Mark of the Web (MotW), которая получила номер CVE-2025-31334. Уязвимость позволяет злоумышленникам обходить функцию безопасности Windows Mark of the Web (MotW) и выполнять код на компьютерах пользователей при извлечении вредоносных файлов из вложенных архивов в любой версии WinRAR до 7.11.
Портал Neowin представил подборку 20 случаев, когда компьютерные системы публично показали BSOD или другие ошибки ОС.
5 и 6 апреля работаем на конференции по тестированию программного обеспечения Heisenbug, в которой примут участие QA-инженеры, разработчики, тимлиды, директора по качеству. Если пойдёте на конференцию, заходите на стенд РСХБ.Цифра и пройдите тематический квест, который в игровой форме будет знакомить вас с технологиями и продуктами РСХБ. За решение заданий можно будет получить призовые баллы, обменять их на призы и принять участие в розыгрыше фирменного мерча.
Выступления на Heisenbug больше ориентированы на технологии, чем на процессы и методологии. РСХБ.цифра на конференции представят Михаил Палыга, ведущий инженер ЦК развития передовых практик тестирования РСХБ-Интех, и Михаил Герасимов, ведущий инженер ЦК автоматизации тестирования РСХБ-Интех. Тема их доклада — «Это вам не банка огурцов: как мы боролись со сложными SQL-запросами и нетривиальными проверками данных».
Тестирование банковских систем и сущностей в базе данных часто сталкивается с двумя ключевыми проблемами: сложностью написания SQL-запросов для сложных критериев и ограниченной возможностью настройки проверок данных под специфические бизнес-требования. В докладе спикеры расскажут о решении — фреймворке CheckMateDB, который позволяет:
- генерировать SQL-запросы с помощью Java-кода, используя гибкий и понятный инструмент CriteriaBuilder;
- унифицировать доступ к данным через компонент DaoCommon;
- реализовывать кастомные проверки данных на основе бизнес-логики с помощью AssertionUtils.
Участники конференции узнают, как CheckMateDB помогает снизить сложность тестов, уменьшить количество дублируемого кода и повысить читаемость автотестов. В докладе будут и практические примеры его применения, включая интеграцию с банковскими системами, такими как АБС ЦФТ, и опыт миграции с Oracle на PostgreSQL, а также примеры реализации кастомных проверок и идеи, как оптимизировать автотесты, улучшить читаемость кода и снизить затраты на его поддержку.
Заместитель председателя комитета Совета Федерации по конституционному законодательству и госстроительству Артём Шейкин направил заместителю главы Министерства цифрового развития Ивану Лебедеву предложения по регулированию деятельности «белых хакеров», пишет «Коммерсантъ». В частности, член верхней палаты российского парламента настаивает на создании формы сотрудничества таких специалистов с владельцами IT-систем, чтобы находить уязвимости и предупреждать о них без опасности наступления административной или уголовной ответственности.
Для повышения точности результата сканирования разработчики Positive Technologies объединили технологии анализа сторонних компонентов (SCA) и статического анализа кода приложения (SAST), которые ранее использовались в продукте независимо друг от друга. Обновление позволило значительно – в некоторых проектах до 100% – снизить число ложноположительных срабатываний при проверке безопасности подключенных библиотек. Благодаря синергии двух технологий PT Application Inspector получил новые возможности.
Обсудим тестирование по-новому? QA-митап “Shift Happens" — это не просто разговоры, а глубокий dive в тестирование на всех этапах разработки, да ещё и офлайн.
Среда, 9 апреля 19:00, офлайн, Москва (бесплатно, количество мест ограничено).
Формат мероприятия — круглый барный стол, три эксперта с крутыми историями, нетворкинг и напитки для балансировки всех граней shift-left и shift-right тестирования 😉
Ресурсу «Код Дурова» в Telegram прокомментировали сообщение о готовности компании Operation Zero покупать уязвимости нулевого дня в мессенджере для перепродажи.
Русскоязычным специалистам часто приходится разбираться в англоязычных мануалах, переводя сложные технические термины на ходу. Мы решили исправить эту ситуацию и сделали первый полный перевод официальной документации по Playwright JS и TypeScript на русский язык!
Теперь никаких барьеров – все ключевые концепции, примеры кода и лучшие практики изложены на понятном языке. Хотите освоить Playwright с нуля? Уже используете его, но хочется быстрее находить нужную информацию? Теперь у вас есть удобный источник, который поможет ускорить работу и глубже разобраться в инструменте.
📖 Что внутри перевода?
✅ Подробное описание всех возможностей Playwright
✅ Актуальные примеры на JavaScript и TypeScript
✅ Разбор лучших практик автоматизации
✅ Четкий и понятный язык без потери смысла
Мы уверены, что этот перевод ускорит обучение и сделает Playwright доступнее для русскоязычных инженеров.
💡 Где найти перевод?
https://playwright.help/
Делитесь с коллегами, сохраняйте в закладки и присоединяйтесь к обсуждению! 🚀
Пользователи сообщили, что в новых тестовых сборках Windows 11 27802+ в Canary Channel возникла серьёзная ошибка с библиотекой D3D9 (DirectX 9, Direct3D 9 Runtime), которая не позволяет запускать основные приложения в ОС на ПК с видеокартами Nvidia.
В 2024 году Google выплатила $11,8 млн по своей глобальной программе багбаунти исследователям и белым хакерам за выявление уязвимостей в своих сервисах и проектах Chrome, Android, Google Play, продуктах Google и открытом ПО компании. Это на $1,8 млн больше, чем Google заплатила белым хакерам в 2023 году. С 2010 года Google предоставила в качестве вознаграждения $65 млн для экспертов по ИБ.
Google представила открытый инструментарий под названием Zentool под лицензией Apache 2.0 для анализа и изменения микрокода процессоров AMD на базе 1–4 поколений микроархитектуры Zen. Специалисты компании опубликовали руководство по микроархитектуре RISC86, применяемой в микрокоде AMD, а также выложили в общий доступ документацию по созданию собственного микрокода для энтузиастов и исследователей.
Исследователям предстоит искать и реализовывать недопустимые события через возможные уязвимости в девяти продуктах компании: MaxPatrol SIEM, MaxPatrol VM, MaxPatrol EDR, PT Network Attack Discovery, PT Sandbox, PT MultiScanner, PT Application Firewall, PT Application Inspector, PT BlackBox. Размер вознаграждения будет зависеть от уровня опасности сценария. За реализацию самых опасных из них багхантеры могут получить до 2 млн рублей.
Авито представляет новый продукт для бизнеса и разработки, созданный AvitoTech – Trisigma. Это платформа для автоматизации А/B-тестирования и комплексной аналитики цифровых сервисов. Trisigma поможет компаниям принимать решения о качестве и эффективности разработки новых и обновлению существующих продуктов, основываясь на анализе данных и результатах экспериментов.
Под катом — больше о том, что умеет Trisigma и как ее можно использовать.
«Яндекс» подвёл итоги программы «Охота за ошибками» 2024. Компания выплатила 50,8 млн рублей специалистам по ИБ за уязвимости, включая 5,9 млн рублей одному белому хакеру за 28 отчётов. В 2025 году «Яндекс» выделит 100 млн рублей на вознаграждения участников «Охоты за ошибками».
Федеральное бюро расследований США сообщило, что считает хакеров из Северной Кореи ответственными за кражу криптовалюты Ethereum на сумму $1,5 млрд с биржи Bybit.
📅 С 25 февраля по 26 апреля пройдут Международные игры по кибербезопасности — крупнейшее независимое онлайн-соревнование для студентов и молодых специалистов в сфере ИБ. Турнир объединит лучшие команды атакующих и защитников, которым предстоит выявлять уязвимости в инфраструктуре и расследовать инциденты на одном из самых реалистичных киберполигонов — Standoff. Организатором турнира выступает Positive Technologies при поддержке CyberCamp от «Инфосистемы Джет» и CyberED.
📬 Заявки на участие в Международных играх по кибербезопасности принимаются до 10 марта для защитников и до 21 марта для атакующих. Команды, показавшие лучшие результаты, сразятся в финале, который пройдет 24 и 25 апреля, итоги будут подведены 26 апреля. Две лучшие команды атакующих примут участие в Standoff 15 без отборочных этапов, а две сильнейшие команды защитников отправятся на международный киберфестиваль Positive Hack Days с полной компенсацией трансфера и проживания. Кроме того, лидеры турнира получат эксклюзивный мерч, возможность повысить свой рейтинг на платформе Standoff 365 и доступ к образовательным программам партнеров игр.
