-
Trail of Bits
14/11/2025 09:00
O time de criptografia da Trail of Bits trouxe à tona implementações em puro Go do ML-DSA e SLH-DSA, dois algoritmos de assinatura pós-quântica. A parte mais interessante é garantir que a implementação do ML-DSA seja de tempo constante, evitando ataques, como o KyberSlash, que usaram divisão como ponto fraco. Em um mundo onde a segurança é essencial, esses cuidados são como não deixar o gato mexer nas linhas de código da aplicação.
-
Trail of Bits
13/11/2025 09:00
Checksec Anywhere chega para dar um tapa na cara da fragmentação no mundo da análise de binários. O fato de analisá-los diretamente no navegador, sem uploads e sem dependências cabeludas, é como uma versão tech de um serviço de streaming: prático e eficiente. Além disso, "todos os processamentos acontecem localmente"—ponto extra para a privacidade. Com suporte para ELF, PE e Mach-O, finalmente não vai ser preciso intercalar um monte de ferramentas para cada formato. Aquele sonho de um único lugar para ver os resultados é real, e ainda por cima é rápido como um flash.
-
Drew DeVault
08/11/2025 00:00
É assustador saber que ferramentas como ChatGPT podem ter implicações tão graves. O autor traz à tona questões de responsabilidade e impacto emocional, não só para quem usa as tecnologias, mas também para quem as desenvolve. Como ele aponta, "tragedy is the inevitable result of that recklessness" e isso levanta um alerta importante sobre como inovações precisam ser tratadas com cuidado. Para quem trabalha com esses modelos, a pressão pode ser intensa e não podemos esquecer que, por trás dos algoritmos, existem pessoas. Se você está passando por um momento difÃcil, mais uma vez, vale lembrar que existem profissionais prontos para ajudar.
-
Drew DeVault
07/11/2025 21:00
É uma situação complicada e dolorosa a que o artigo se refere. A responsabilidade que recai sobre os desenvolvedores de IA, como os da OpenAI, é colossal – estamos falando de ferramentas que, se mal orientadas, podem ter consequências sérias. A reflexão sobre "a irresponsabilidade na implementação de LLMs" é crucial, e é válido lembrar que, por trás da tecnologia, existem vidas. É preciso manter o equilÃbrio entre inovação e ética, porque não dá pra resolver problemas de saúde mental com uma API de modelo de linguagem.
-
Trail of Bits
07/11/2025 20:00
O aviso aqui é claro: uma falha de arredondamento que estava escondida no código há anos trouxe problemas sérios para o Balancer. É mais um lembrete de que, no mundo DeFi, a matemática pode ser tão traiçoeira quanto um bug em um código JavaScript mal escrito. Como alertado, "rounding must favor the protocol" não é mais suficiente; precisamos de testes mais abrangentes, pois como hackers tornaram-se mais astutos, nossa defesa também precisa evoluir. Para quem estava pensando em auditar contratos inteligentes, esse caso mostra que uma boa auditoria é como um patch de segurança: melhor prevenir do que remediar.
-
Trail of Bits
31/10/2025 08:00
Sabia que passaportes modernos são tipo dispositivos embutidos com filesystem completo e protocolos de criptografia? Esses documentos não só liberam você da conversa no controle de fronteira, como protegem seus dados de espionagem e falsificação. O artigo menciona que, "ele suporta protocolos legados inseguros", o que é uma bela armadilha para quem pensa que tecnologia e segurança andam sempre de mãos dadas. A parte mais interessante é o potencial para aplicações como provas de identidade de conhecimento zero. Vamos ver como isso se desenvolve na prática.
-
Trail of Bits
30/10/2025 08:00
A Trail of Bits acaba de nos lembrar que nem todo super-herói tem a capa justa; no caso, o LUKS2 revela vulnerabilidades que permitem que pessoas mal-intencionadas acessem e modifiquem dados confidenciais. Com os CVEs 2025-59054 e 2025-58356, a proteção dos dados em ambientes de computação confidenciais pode ser mais ilusória do que o manto do Superman. Importante que quem usa essas VMs atualize para as versões mais recentes para evitar problemas. Afinal, em segurança, quem não atualiza pode acabar sendo o alvo de algum vilão de plantão.
-
Drew DeVault
22/10/2025 00:00
A FUTO parece estar se divertindo com a definição de "open source", jogando no mesmo saco software comercial com a promessa de doações. A parte mais preocupante é a tentativa de se associar a projetos respeitáveis sem a devida autorização, o que parece mais uma jogada de marketing do que compromisso verdadeiro com a comunidade. E, claro, as ligações a figuras polêmicas como Eric S. Raymond não ajudam em nada a sua credibilidade. Será que FUTO é apenas um projeto de fachada, ou eles realmente querem mudar o mundo com seu modelo "aberto"? Vamos manter um olho neles e ver como essa saga se desenrola.
-
Drew DeVault
21/10/2025 21:00
A FUTO parece estar mergulhada em um mar de confusão e controvérsias, especialmente ao usar a etiqueta de 'open source' de forma duvidosa. Com uma mistura de 'manifestos bizarros' e um descaso pela definição real de software livre, a situação levanta mais questions do que respostas. É irônico como essa organização, que prometia ser uma doadora de projetos, poderia estar mais para um cavalo de Troia do que para uma verdadeira apoiadora da comunidade. No fim das contas, é sempre bom desconfiar de quem tenta transformar o open source em open cash.
-
Fly.io Blog
07/10/2025 21:00
Ah, o clássico ataque de phishing: um "oi, tudo bem?" digital que acaba com a auto-estima de qualquer CEO. Kurt Mackey, da Fly.io, teve a honra de ser capturado por um truque psicológico onde, aparentemente, memes de desenvolvedor vieram a calhar. Nesse mundo de "não clique em links", é bom lembrar que a curiosidade (e um leve desespero com a juventude) pode ser uma armadilha. Adotem autenticação resistente a phishing, porque só dizer "não clique" não vai salvar ninguém.
-
Drew DeVault
17/09/2025 00:00
O ataque à cadeia de suprimentos mais devastador da história poderia ser o empurrão que a comunidade JavaScript precisa para finalmente enfrentar seus problemas com gerenciamento de dependências. Como mencionado, "esse modelo de gerenciamento de dependências é imprudente e perigoso". A esperança de que gigantes como Google e Mozilla desenvolvam uma biblioteca padrão real pode ser tão promissora quanto a possibilidade de eu arrumar meu código legado. Mas, sejamos realistas, um futuro onde os pacotes são bem gerenciados e seguros parece mais ficção cientÃfica do que um roadmap realista.
-
Drew DeVault
16/09/2025 21:00
O que estamos vendo com o ataque à cadeia de suprimentos é a prova de que a gestão de dependências em JavaScript precisa de um reboot. O texto menciona que "após a crise, o ecossistema pode se reorientar para resolver as falhas fundamentais que permitiram isso", e eu concordo – mas quanta fé temos nisso? Enquanto isso, o npm vai continuar empilhando microdependências como se fosse a A Tower of Babel do mundo dev. O caminho para um futuro melhor pode ser óbvio, mas o que realmente importa é se eles vão ter coragem para mudar.
-
GitHub Engineering
brian m. carlson
15/09/2025 13:00
O GitHub finalmente decidiu dar um passo rumo ao futuro quântico – e não estamos falando do DeLorean do Marty McFly. Eles estão implementando métodos de troca de chaves que são resistentes a ataques quânticos, o que basicamente significa que seus dados ficam mais seguros enquanto viajam pela internet. Essa mudança vem no momento certo, já que a computação quântica é a nova ‘a grande questão’ na segurança, e ninguém quer que seus repositórios sejam alvo de um ataque hackeado com um computador quântico de brinquedo. Afinal, quem precisa de mais problemas quando já temos o Git?
-
Evan Ovadia se juntou à equipe do compilador Mojo e está claramente animado com essa nova jornada. Ele menciona a "Santa Graça" que está em busca, que parece ser uma abordagem mais robusta para segurança de memória. O fato de que linear types estão na mesa é interessante e promete um sistema de tipos ainda mais poderoso, podendo rivalizar com outras linguagens emergentes. Afinal, quem não quer um compilador que faça mais e grite menos?
-
Fly.io Blog
17/08/2025 21:00
Calibração de confiança é o tópico que todo dev de IA deveria ter na prancheta. O conceito gira em torno de alinhar a confiança que os usuários têm em nossas ferramentas com o que elas realmente podem fazer. Afinal, ninguém quer ser aquele programador que confiou demais na sugestão do assistente e acordou com um bug no sistema. Tem que ter cuidado para não deixar os usuários acreditarem que a IA é seu novo guru, mas também não podemos fazer com que ela pareça inútil. O estudo de 2023 é um lembrete de que calibrar confiança não é só uma questão de bonitinhos gráficos com scores de confiança. Na prática, isso envolve ensinar seus usuários a entender até onde podem ir com suas ferramentas.
-
Mitchell Hashimoto
13/08/2025 21:00
A reescrita do Ghostty GTK traz à tona a intersecção entre Zig e GObject de um jeito que até o mais persistente dos bugs teria dificuldades para escapar. O que antes era uma bagunça de gerenciamento de memória se torna algo mais coeso, permitindo que funções nativas do GTK, como eventos e propriedades, sejam aproveitadas sem virar um labirinto de referências. "O reloading de configuração", que antes era uma tarefa que exigia um esforço de CPU considerável, agora flui como uma referência contada, o que é uma verdadeira vitória em eficiência e estabilidade. No final das contas, é tudo sobre deixar a máquina mais esperta, e Ghostty parece estar seguindo esse caminho.
-
Drew DeVault
08/08/2025 00:00
Himitsu 0.9 traz melhorias interessantes, como um novo prompter que substituiu o antigo de Python por um em GTK4, feito em Hare! Agora ele se parece menos com um app da década de 90 e mais com algo que não vai fazer você querer gritar ao tentar configurar. E para o pessoal que gosta de manter seus segredos em segurança, a integração com o dbus Secret Service API promete ser um alÃvio, tornando-o uma alternativa viável ao gnome-keyring. Vamos torcer para que o Himitsu ganhe mais adeptos – não que o mundo precise de mais uma ferramenta de gerenciamento de segredos, mas quem somos nós para julgar?
-
Drew DeVault
07/08/2025 21:00
A nova versão do Himitsu, um gerenciador de segredos para Linux, promete ser um upgrade interessante para quem precisa de mais que um simples gerenciador de senhas. O destaque aqui é o novo prompter GTK4, que deixa a experiência de uso bem mais suave, em vez daquela coisa meio janky que era antes. Além disso, a integração com o dbus Secret Service API pode ser um divisor de águas para quem quer substituir o gnome-keyring com algo mais robusto. Claro, fica o alerta: nada foi auditado ainda, então é bom manter um olho bem aberto enquanto testamos essas novidades.
-
Drew DeVault
30/06/2025 00:00
Esse texto nos dá um vislumbre das tensões na comunidade de software livre. O que impressiona é a dinâmica entre decisões técnicas e o clima social, onde "ninguém no time de segurança expressou interesse em colaborar" por causa de conexões polÃticas que mais parecem ter saÃdo de uma deep web alternativa. Enquanto uma abordagem mais direta como a do Chimera Linux, que usa "ridÃculo" como resposta, é eficaz para evitar discussões improdutivas, a verdade é que a manutenção do X precisa de colaboração mais antiga que o próprio green screen. É um dilema clássico do mundo dev: como equilibrar a pureza ideológica sem perder o fio da aplicação.
-
Drew DeVault
29/06/2025 21:00
Parece que no mundo do software livre, o debate técnico muitas vezes se desvirtua em questões polÃticas. A segurança da comunidade precisa de foco, e, segundo o autor, o envolvimento com grupos reacionários simplesmente não ajuda. "A necessidade de manter X vivo e em bom estado" é legÃtima, mas trazer discursos polÃticos ao invés de discussões técnicas é o caminho mais fácil para frustrar os devs. O recado é claro: priorize a manutenção profissional e não dê palco para quem não tem interesse em colaborar.