Productos FTTH
Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
4151
)
-
▼
mayo
(Total:
848
)
-
Un YouTuber crea una chaqueta futurista de Cyberpu...
-
Ya disponible Wireshark 4.6.6: corrige error de ci...
-
Ataque de cadena de suministro TrapDoor distribuye...
-
Juzgado frena multas de LaLiga a las VPN
-
Lazarus lanza el RAT RemotePE basado en memoria co...
-
Anthropic lanzará sus modelos de clase Mythos al p...
-
GitHub añade publicación escalonada a npm para blo...
-
Tesla cobra 99 euros al mes por su FSD
-
NotebookLM: añade fuentes más rápido
-
Rust podría eliminar el 80% de los CVE de Linux
-
El costoso error de sustituir programadores por IA
-
Google y la IA amenazan el periodismo
-
Microsoft degrada a GitHub
-
Microsoft parchea vulnerabilidad de BitLocker en W...
-
La IA empieza a superar a los ingenieros de chips ...
-
Canadiense arrestado por botnet KimWolf por usar 2...
-
Facebook quiere ser el nuevo Reddit de Zuckerberg ...
-
Ubiquiti corrige tres vulnerabilidades críticas en...
-
PS5 en Linux: ¿qué implica para Xbox Project Helix?
-
Ataque Megalodon en GitHub afecta a 5.561 reposito...
-
Europa actúa ante la amenaza bancanria de Claude M...
-
Lenovo logra facturación récord gracias a la IA
-
CISA advierte sobre vulnerabilidad de Trend Micro ...
-
Vuelve el Samsung Galaxy Z Roll
-
Filtraciones de datos en la web móvil de Trump jus...
-
Alternativas gratis a Microsoft 365
-
768GB de memoria Intel Optane barata para ejecutar...
-
El cerebro aprende mejor con libros de papel
-
Ola de malware Shai-Hulud afecta a 600 paquetes de...
-
Splunk corrige vulnerabilidades que permiten ataqu...
-
El nuevo engaño del phishing: cómo el consentimien...
-
FBI advierte sobre Kali365: roban credenciales de ...
-
PS5 con trazado de trayectorias en Linux: 35 FPS a...
-
Malware usa MSHTA de Internet Explorer en Windows 11
-
Ucrania identifica al operador de un infostealer v...
-
Costes de memoria de Nvidia suben 485%, sistemas d...
-
AMD Hammer Lake: vuelve el Hyper Threading con la ...
-
Filtrado el Samsung Galaxy S27 Pro
-
Claude Mythos AI detecta 10.000 vulnerabilidades g...
-
La venta de tarjetas gráficas cae un 41% en 2026 p...
-
Huawei desarrolla un SSD de 122 TB con un empaquet...
-
DeepSeek desploma precios de IA en China
-
npm implementa controles de instalación y publicac...
-
No borres la nueva carpeta SecureBoot de Windows 11
-
Gemini gratuito ya no es ilimitado: limites diario...
-
Explotan vulnerabilidad CVE-2026-48172 en plugin d...
-
Demócratas critican recortes de Trump en cibersegu...
-
Google publica código de exploit para fallo de Chr...
-
Usan Hugging Face para malware en ataque a npm
-
Autoridades desmantelan "First VPN" usada en ataqu...
-
Mini Shai-Hulud compromete paquetes npm de @antv p...
-
EE. UU. y Canadá detienen y acusan al presunto adm...
-
Los AMD Ryzen AI Max 400 son oficiales, el refrito...
-
Exdirector de Samsung prevé fin de crisis de RAM e...
-
Rusia comprará chips chinos para GigaChat
-
Usan falsas descargas de Teams para desplegar Vall...
-
Campaña de phishing con invitaciones falsas roba c...
-
Construyen un PC gaming Steampunk hecho de cobre q...
-
Malware Megalodon comprometió más de 5.500 reposit...
-
Rusia pone publicidad en sus cohetes por crisis ec...
-
Flipper One: el sucesor con IA y Linux
-
Spotify impulsa su IA en música y podcasts
-
Ataque Mini Shai-Hulud obliga a npm a reiniciar to...
-
LibreOffice critica formato de Microsoft y desata ...
-
PC gaming extremo con 13 pantallas internas, 15.00...
-
Ubiquiti parchea vulnerabilidades críticas de UniF...
-
Chrome en riesgo por nueva vulnerabilidad crítica ...
-
Descubren que las claves de API de Google siguen a...
-
Firefox Nova: el gran rediseño del navegador libre
-
El navegador Vivaldi 8.0 se renueva
-
La memoria es un 435% más cara en los racks de ser...
-
Lenovo vende consola con juegos piratas en China
-
El FBI alerta sobre Kali365 ante el aumento del ph...
-
Google expone fallo grave en Chromium
-
Discord activa cifrado de extremo a extremo en vid...
-
YouTube Premium Lite gratis con el plan Google AI Pro
-
España y LaLiga bajo sospecha por incumplir la DSA
-
NVIDIA se lanza a por el mercado CPU con Vera y am...
-
Las CORSAIR Vengeance DDR5 se actualizan en silenc...
-
La IA no reemplazará todos los empleos
-
Detenido en Canadá el operador de la botnet Kimwol...
-
ZeroWriter Fold: el portátil solo para escribir
-
RHEL 10.2 potencia IA, modo imagen y seguridad pos...
-
Vulnerabilidades críticas en Chrome permiten ejecu...
-
SUSE pide a la UE priorizar el código abierto
-
Nvidia superará a Intel y AMD en CPUs
-
Policía interviene el servicio “First VPN”, utiliz...
-
Robots de Figure clasifican paquetes sin pausa
-
PC con RTX 5080 silencioso termina siendo un horno
-
Fraude de clics en Android: 455 apps maliciosas
-
Data Brokers de la Dark Web venden filtraciones an...
-
Requisitos mínimos de GTA VI para PC
-
PS5 hackeada ejecuta Linux y juegos AAA
-
Malware TamperedChef usa apps productivas firmadas...
-
Nuevos 0-days de Microsoft Defender explotados act...
-
Vulnerabilidad de 9 años en el kernel de Linux per...
-
Demandan a Team Group por 1,1 millones debido a pu...
-
Sound Blaster AE-X: Creative vuelve al mercado de ...
-
AMD responde a NVIDIA y Apple con Ryzen AI Halo: u...
-
Vulnerabilidad crítica de Cisco Secure Workload pe...
-
-
▼
mayo
(Total:
848
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
Las gafas inteligentes Ray-Ban de Meta se abrirán a aplicaciones de terceros mediante Android XR para ampliar su compatibilidad. -
Existen cuatro videojuegos diseñados para aprender Linux desde cero o mejorar conocimientos mediante retos prácticos y divertidos . -
Cinco aplicaciones gratuitas y de código abierto se presentan como alternativas a Microsoft 365 , la suite ofimática líder del mercado.
GitHub añade publicación escalonada a npm para bloquear ataques de cadena de suministro
GitHub ha introducido una actualización de seguridad importante para el ecosistema npm con la disponibilidad general de la publicación por etapas y nuevos controles en el momento de la instalación, destinados a reducir los ataques automatizados a la cadena de suministro dirigidos a paquetes de código abierto.
La función de publicación por etapas, recién lanzada, cambia la forma en que se publican y distribuyen los paquetes de npm.
En lugar de hacer que un paquete esté disponible inmediatamente después de publicarlo, npm ahora coloca el archivo tarball del paquete precompilado en una cola de espera.
Un mantenedor humano debe aprobar explícitamente el paquete antes de que sea instalable públicamente.
GitHub añade el estado de espera (staging) a npm
Este enfoque introduce un punto de control de seguridad crítico, especialmente para los flujos de trabajo automatizados de CI/CD que suelen ser el objetivo de los ataques a la cadena de suministro.
Incluso si un atacante compromete un pipeline o inyecta código malicioso, el paquete no puede ser lanzado sin una aprobación manual.
Los beneficios clave de seguridad incluyen:
- Aprobación humana obligatoria aplicada con autenticación de dos factores (2FA).
- Visibilidad de los paquetes en espera a través de la CLI de npm y npmjs.com.
- Protección contra intentos de publicación no autorizados o automatizados.
- Prueba de presencia reforzada para los mantenedores durante el lanzamiento.
La función está disponible a partir de la versión 11.15.0 de la CLI de npm y requiere que cambies el comando tradicional npm publish por npm stage publish para los flujos de trabajo por etapas.
GitHub recomienda combinar la publicación por etapas con la publicación confiable utilizando OpenID Connect (OIDC).
Esta configuración permite que los sistemas de CI/CD publiquen paquetes directamente en la cola de espera sin exponer credenciales de larga duración.
Las organizaciones pueden imponer políticas de publicación únicamente por etapas, asegurando que:
- Se rechacen los comandos directos de
npm publish. - Solo se permita
npm stage publishdesde los pipelines de CI. - La aprobación final sea completada por un mantenedor en un dispositivo de confianza.
Este modelo reduce significativamente el riesgo de robo de credenciales y lanzamientos maliciosos automatizados.
Además de la publicación por etapas, GitHub ha introducido nuevas banderas (flags) de seguridad al momento de la instalación en npm 11.15.0.
Estas banderas proporcionan un control granular sobre dónde se pueden instalar las dependencias, ayudando a prevenir fuentes maliciosas o inesperadas.
Las nuevas banderas incluyen:
--allow-file: Controla las instalaciones desde archivos locales o tarballs.--allow-remote: Restringe las dependencias obtenidas de URLs remotas.--allow-directory: Gobierna las instalaciones desde directorios locales.--allow-git(existente): Controla las instalaciones desde repositorios Git.
Cada bandera admite dos modos: all (predeterminado) o none, y se puede configurar a través de .npmrc o package.json.
Estos controles te permiten implementar políticas estrictas de listas blancas, reduciendo la superficie de ataque de fuentes que no pertenecen al registro y que a menudo se utilizan en ataques de inyección o confusión de dependencias.
Impacto en la seguridad
GitHub también confirmó que en la versión 12 de la CLI de npm, el comportamiento predeterminado para --allow-git cambiará de all a none, señalando un cambio hacia configuraciones de seguridad predeterminadas más estrictas.
Se te anima a adoptar estas restricciones pronto configurando manualmente las nuevas banderas.
Por ejemplo, una organización puede configurar su entorno para bloquear todas las instalaciones que no provengan del registro:
- Establecer
--allow-remote=none - Establecer
--allow-file=none - Establecer
--allow-directory=none - Permitir solo paquetes del registro de confianza
Combinado con la publicación por etapas, esto crea un pipeline controlado donde tanto la creación como el consumo de paquetes están estrechamente asegurados.
Estas actualizaciones abordan directamente los vectores comunes de ataque a la cadena de suministro, incluyendo:
- Inyección de código malicioso en pipelines de CI/CD.
- Confusión de dependencias a través de fuentes externas.
- Publicación de paquetes no autorizada.
Al introducir la validación humana y controles de dependencias más estrictos, GitHub está moviendo a npm hacia un modelo de cadena de suministro de confianza cero (zero-trust).
Se recomienda encarecidamente a las organizaciones que utilicen npm actualizar a la CLI de npm 11.15.0 o posterior y actualizar sus flujos de trabajo para aprovechar plenamente estas nuevas protecciones.
Fuentes:
https://cybersecuritynews.com/github-adds-staged-publishing-to-npm-to-block-automated-supply-chain-attacks/
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.