Semgrep
PulseAugur coverage of Semgrep — every cluster mentioning Semgrep across labs, papers, and developer communities, ranked by signal.
-
Shai-Hulud 恶意软件感染 PyTorch Lightning AI 训练库
供应链攻击已导致 PyTorch Lightning AI 训练库(版本 2.6.2 和 2.6.3)受到损害。该恶意代码以《沙丘》中的“Shai-Hulud”为主题,导入后会自动执行,窃取凭证、身份验证令牌和云密钥。此次攻击还试图污染 GitHub 存储库,并通过将恶意代码注入其他包的方式在 npm 生态系统中传播。
-
Replit 发布 AI 安全代理以审计代码漏洞
Replit 推出了新的 AI 驱动的安全代理,旨在开发过程中自动扫描应用程序的漏洞。该代理通过分析代码、构建威胁模型并识别 SQL 注入和跨站脚本等问题,旨在将全面的安全审查时间从几周缩短到不到一小时。它采用了混合方法,将 LLM 与 Semgrep 和 HoundDog.ai 等工具相结合,甚至可以帮助过滤掉传统静态分析工具的误报。
-
Replit 通过纵深防御策略加强 AI 编码安全性
Replit 正在加强其平台的安全性,以解决对 AI 生成代码的担忧,他们称之为“氛围编码”。该公司正在其基础设施中实施纵深防御策略,从开发沙箱到生产部署。关键安全功能包括零信任架构、使用 microVM 的隔离云沙箱以提高隔离性,以及内置工具,如 Replit Auth、使用 Semgrep 进行的预部署安全扫描以及受保护的 Secrets 管理器,以防止敏感凭证意外泄露。
-
DeepSource 开源 Globstar 静态分析工具包,支持 AI 辅助检查
DeepSource 已开源 Globstar,这是一个用于创建自定义代码质量和安全检查器的静态分析工具包。该工具包利用 tree-sitter 解析代码,并利用 ChatGPT 和 Claude 等 AI 助手生成复杂查询,从而简化了开发人员的流程。Globstar 提供 YAML 和 Go 接口,支持超过 20 种语言,并计划添加 C/C++ 支持。