🔵 عنوان مقاله
trdl (GitHub Repo)

🟢 خلاصه مقاله:
خلاصه‌ای متن‌باز به نام trdl با تمرکز بر «تحویل مطمئن» آخرین مرحله‌ی توزیع نرم‌افزار را امن می‌کند: رساندن به‌روزرسانی‌ها از Git به کاربر نهایی با کانالی قابل‌اعتماد و قابل‌راستی‌آزمایی. این راهکار با اتصال طبیعی به فرآیندهای مبتنی بر Git و ادغام در اتوماسیون انتشار، تضمین می‌کند آنچه نصب می‌شود همان چیزی است که نگه‌دارندگان منتشر کرده‌اند. با تکیه بر امضا و راستی‌آزمایی رمزنگاری، اصالت، تمامیت و مبدأ به‌روزرسانی‌ها قبل از اعمال بررسی می‌شود؛ در نتیجه ریسک‌های زنجیره تأمین کاهش می‌یابد و امکان انتشارهای قابل‌ممیزی، بازگشت نسخه و سیاست‌های به‌روزرسانی (مانند stable یا pre-release) فراهم می‌شود. trdl متن‌باز است، می‌تواند self-hosted اجرا شود، و از طریق GitHub Repo در دسترس است؛ کاربران و تیم‌های عملیاتی نیز می‌توانند با یک رابط ساده مانند CLI به‌روزرسانی‌های مورد اعتماد را دریافت و اعمال کنند.

#trdl #SupplyChainSecurity #SecureUpdates #Git #OpenSource #DevOps #SoftwareDelivery #CI/CD

🟣لینک مقاله:
https://github.com/werf/trdl?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Introducing CodeMender: an AI agent for code security (5 minute read)

🟢 خلاصه مقاله:
** CodeMender ابزاری مبتنی بر هوش مصنوعی از Google DeepMind است که به‌صورت خودکار آسیب‌پذیری‌های نرم‌افزاری را شناسایی، اصلاح و از بروز آن‌ها پیشگیری می‌کند. این Agent با تحلیل مستمر کد، ضعف‌ها را پیدا کرده و برای آن‌ها Patchهای عملی پیشنهاد می‌دهد تا با تأیید توسعه‌دهندگان اعمال شوند. نتیجه، افزایش امنیت کدهای موجود و کاهش زمان صرف‌شده برای مدیریت دستی آسیب‌پذیری‌هاست. CodeMender با تکمیل مهارت کارشناسان و سازگاری با جریان‌های کاری رایج، به تیم‌ها کمک می‌کند نرم‌افزار ایمن‌تری را سریع‌تر ارائه دهند و رویکردی پیشگیرانه در امنیت اتخاذ کنند.

#CodeMender #GoogleDeepMind #AI #CodeSecurity #CyberSecurity #SoftwareSecurity #DevSecOps

🟣لینک مقاله:
https://deepmind.google/discover/blog/introducing-codemender-an-ai-agent-for-code-security/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

دیروز یه پست از برتنی مولر خوندم که واقعاً ذهنم رو درگیر کرد.
موضوعش «هک شدن مرورگر ChatGPT Atlas فقط در ۴۸ ساعت» بود.

مرورگر هوش مصنوعی OpenAI رو محقق‌ها تونستن با دستورهای پنهان در متن سفید و HTML هک کنن.
روش‌های قدیمی BlackHat دوباره برگشتن، فقط این بار قربانی انسان نیست… هوش مصنوعیه!

برتنی می‌گه مشکل اینجاست که LLM نمی‌تونه فرق بین محتوای واقعی و دستور مخرب رو تشخیص بده.
و این یعنی:
الان کل صفحه مهمه، از کامنت HTML تا متن سفید.
محتوای UGC (نظرات و دیدگاه‌ها) می‌تونه دروازه‌ی حمله بشه.
مرورگرهای هوش مصنوعی در برابر تهدیدات امنیتی هنوز خیلی ضعیفن.

اما کامنت رند فیشکین از اونم جالب‌تر بود:
می‌گه شاید هدف ChatGPT از ساخت مرورگر اصلاً «مرور وب» نبوده…
بلکه یه «اسب تروجان» بوده برای اینکه سایت‌ها دیگه نتونن جلوی خزنده‌ش رو بگیرن.
چون اگه بخوای دسترسی Atlas رو ببندی، در واقع داری جلوی کاربر واقعی مرورگر رو هم می‌گیری.

به نظرم این نقطه‌ی خطرناکیه که سئو، امنیت و مالکیت داده با هم برخورد می‌کنن.
مرورگرها دیگه فقط نمی‌خونن، تصمیم می‌گیرن ، و گاهی شاید بر خلاف منافع صاحب محتوا.

<Shahram Rahbari/>

https://t.iss.one/addlist/AJ7rh2IzIh02NTI0

🔵 عنوان مقاله
In Sprint Test Automation

🟢 خلاصه مقاله:
در آزمون‌سازی درون‌اسپرینت در Agile، هدف این است که تست‌ها همزمان با توسعه نوشته و اجرا شوند تا بازخورد سریع و خطاهای انباشته کاهش یابد. تجربه‌ها نشان می‌دهد موفقیت به چند عامل وابسته است: خرد کردن قصه‌ها به قطعات کوچک و قابل‌آزمون، پذیرش «Definition of Ready» و «Definition of Done» که شامل آزمون خودکار است، همکاری نزدیک Dev و QA با رویکردهای TDD/BDD، و برخورد با تست مثل کد (همان مخزن، همان استراتژی شاخه، همان بازبینی کد).

برای پشتیبانی از این جریان، CI/CD باید سریع و قابل‌اعتماد باشد: اجرای موازی، محیط‌های موقتی مبتنی بر کانتینر، مجازی‌سازی سرویس‌ها و Mockها برای قطع وابستگی‌ها، و مدیریت داده‌ی تست که آزمون‌ها را تکرارپذیر و بدون نوسان نگه می‌دارد. تمرکز بر هرم تست ضروری است: پوشش بالای Unit و Integration/Contract، و تنها یک لایه نازک از E2E UI (مثلاً با Cypress یا Playwright)؛ در کنار آن، سنجه‌هایی مانند زمان رسیدن تغییر تا استقرار، نرخ شکست و زمان ترمیم رصد می‌شوند و تست‌های flaky سریع قرنطینه و اصلاح می‌گردند.

همچنین پرهیز از الگوهای ضدِکیفیت مانند «Hardening Sprint»، عقب‌انداختن اتوماسیون به‌عنوان بدهی، یا اتکا به E2E شکننده توصیه می‌شود. استفاده از Feature Flag، Contract Testing در معماری‌های مبتنی بر سرویس، و مالکیت مشترک کیفیت در کل تیم به تحقق «اتمام واقعی کار» در همان اسپرینت کمک می‌کند.

#Agile #TestAutomation #InSprintTesting #CI_CD #TDD #BDD #DevOps

🟣لینک مقاله:
https://cur.at/46VanjF?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
US Teen Indicted in 764 Network Case Involving Exploitation Crimes (2 minute read)

🟢 خلاصه مقاله:
یک جوان ۱۹ساله از کالیفرنیا به‌اتهام مشارکت در شبکه افراطی «764» تحت پیگرد فدرال قرار گرفته است. به‌گفته دادستان‌ها، این شبکه در دسته‌بندی Nihilistic Violent Extremist قرار می‌گیرد و عمدتاً در فضای آنلاین فعالیت دارد؛ جایی که اعضا به سوءاستفاده از قربانیان خردسال و فروپاشاندن هنجارهای اجتماعی از طریق آزار، دست‌کاری و رفتارهای آسیب‌زا متهم هستند. مقامات می‌گویند این پرونده با رصد فعالیت‌های آنلاین و شواهد دیجیتال پیش رفته و بر توجه روزافزون پلیس به جرایم بهره‌کشی در تلاقی با خُرده‌فرهنگ‌های افراطی آنلاین تأکید دارد. با این حال، کیفرخواست به‌معنای اثبات جرم نیست و متهم تا زمان اثبات اتهامات بی‌گناه فرض می‌شود. این پرونده یادآور پیامدهای جدی قانونی مشارکت در چنین شبکه‌هایی—even اگر با پوشش «ترولینگ» یا پوچ‌گرایی انجام شود—و ضرورت محافظت بیشتر از کودکان، گزارش‌دهی به‌موقع، و همکاری پلتفرم‌ها برای پیشگیری و حمایت از قربانیان است.

#Extremism #OnlineSafety #ChildProtection #Cybercrime #LawEnforcement #USJustice #Indictment #DigitalForensics

🟣لینک مقاله:
https://hackread.com/us-teen-indicted-764-network-case-crimes/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Writing custom Cypress plug-ins that solve common software testing problems

🟢 خلاصه مقاله:
اکوسیستم افزونه‌های Cypress به تیم‌ها اجازه می‌دهد فراتر از امکانات پیش‌فرض، چالش‌های واقعی تست را حل کنند؛ از کاهش ناپایداری تست‌ها و مدیریت محیط و داده تا یکپارچه‌سازی گزارش‌ها و سرویس‌های بیرونی. Kanika Vatsyayan توضیح می‌دهد چگونه با شناسایی یک مسئله تکراری، طراحی یک API ساده، ساخت پکیج npm، ثبت tasks در Node hook، افزودن تنظیمات و مثال‌های عملی، و همچنین تست و TypeScript typings، یک افزونه قابل اتکا بسازید. او بر نسخه‌بندی شفاف، سازگاری با نسخه‌های مختلف Cypress، کارایی، امنیت داده‌ها، مستندسازی و انتشار در npm تاکید می‌کند تا افزونه‌ها قابل نگهداری و قابل استفاده توسط جامعه باشند. نتیجه این است که با چند الگوی ساده و نمونه‌های واقعی، هر کسی می‌تواند راه‌حل‌های خود را به‌صورت افزونه منتشر کرده و به اکوسیستم تست کمک کند.

#Cypress
#SoftwareTesting
#QA
#JavaScript
#Plugins
#Automation
#OpenSource
#EndToEndTesting

🟣لینک مقاله:
https://cur.at/pj9uiDZ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Hackers Use NFC Relay Malware to Clone Tap-to-Pay Android Transactions (2 minute read)

🟢 خلاصه مقاله:
پژوهشگران Zimperium شناسایی کرده‌اند که بیش از 760 اپلیکیشن مخرب روی Android با سوءاستفاده از NFC و Host Card Emulation داده‌های پرداخت را به‌صورت بلادرنگ به مهاجمان رله می‌کنند و این عملیات از طریق بیش از 70 سرور command-and-control (C2) و ربات‌های Telegram هماهنگ می‌شود. مهاجمان با اپ‌های جعلی که ظاهر Google Pay، VTB Bank و Santander را تقلید می‌کنند، کاربران در روسیه، لهستان، برزیل و چند کشور دیگر را فریب داده‌اند تا با گرفتن دسترسی‌های حساس، پرداخت‌های tap-to-pay جعلی را بدون نیاز به کارت فیزیکی انجام دهند. در این حمله، توکن‌ها/جلسات پرداخت از دستگاه قربانی جمع‌آوری و بی‌درنگ به دستگاهی نزدیک پایانه فروش منتقل می‌شود تا تراکنش تکمیل شود. برای کاهش ریسک: فقط از Google Play Store نصب کنید، Android و Play Protect را به‌روز نگه دارید، دسترسی‌های حساس (به‌ویژه accessibility و device admin) را محدود کنید، NFC را هنگام عدم نیاز خاموش کنید و هشدارهای بانکی را فعال کنید.

#Android #NFC #HCE #MobileMalware #Cybersecurity #TapToPay #GooglePay #Zimperium

🟣لینک مقاله:
https://hackread.com/nfc-relay-malware-clone-tap-to-pay-android/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Why QA Keep Losing the Same Battles, even when Automation and AI is integrated

🟢 خلاصه مقاله:
این مقاله می‌گوید با وجود سرمایه‌گذاری در Automation و AI، مشکلات QA تکرار می‌شوند، چون مسأله اصلی کمبود ابزار نیست، بلکه نبود هم‌راستایی بر سر معنای «کیفیت» و شیوه ساختن آن است. به‌گفته Marina Jordão، کیفیت واقعی از انسان‌ها، استراتژی و حمایت از کاربر می‌آید؛ ابزارها فقط سرعت می‌دهند، اما جای تحلیل ریسک، معیارهای شفاف و آزمون اکتشافی را نمی‌گیرند. شکست‌های تکراری زمانی رخ می‌دهد که QA دیر وارد چرخه می‌شود، شاخص‌ها سطحی‌اند و تمرکز از نتایج واقعی برای کاربر دور می‌شود. راه‌حل، دیدن کیفیت به‌عنوان مسئولیت تیمی، درگیر کردن زودهنگام QA، تکیه بر پیشگیری به‌جای صرفاً کشف خطا و به‌کارگیری Automation و AI به‌عنوان تقویت‌کننده قضاوت انسانی است.

#QA #Testing #Automation #AI #QualityEngineering #UserAdvocacy #TestStrategy #DevOps

🟣لینک مقاله:
https://cur.at/UzsHvzU?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Automating LLM Apps Quality: A Survey of Open-Source Evaluation Tools for CI/CD

🟢 خلاصه مقاله:
** این مقاله به‌قلم Tarek Oraby فهرستی کاربردی از ابزارهای متن‌باز برای ارزیابی LLM و خودکارسازی تضمین کیفیت در CI/CD ارائه می‌کند. ابزارها طیفی از نیازها را پوشش می‌دهند: آزمون واحد برای پرامپت و زنجیره، ارزیابی مبتنی‌بر داده و متریک، بازبینی انسانی، گاردریل‌ها و سیاست‌های ایمنی، تولید داده و تست‌های مصنوعی، و مانیتورینگ پس از استقرار. سنجه‌های کلیدی شامل درستی و وفاداری (به‌ویژه در RAG)، ایمنی و سوگیری، پایداری و رگرسیون، و همچنین تأخیر و هزینه است. راهکارهای ادغام با CI/CD شامل تعریف آستانه قبولی/رد، اجرای تست‌ها در هر PR، نسخه‌بندی پرامپت/داده، مقایسه نتایج بین اجراها و گزارش‌دهی خودکار در PRهاست و می‌تواند با GitHub Actions، GitLab CI یا Jenkins پیاده شود. پیشنهاد عملی شروع کوچک با تست‌های طلایی، افزودن تست‌های رگرسیونی برای پرامپت‌های حساس و فعال‌سازی گاردریل‌هاست تا به‌تدریج پوشش و پایداری کیفیت افزایش یابد.

#LLM #CICD #MLOps #OpenSource #AIEvaluation #PromptTesting #QualityAssurance #AISafety

🟣لینک مقاله:
https://cur.at/BRLtRlT?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon