-
The New Stack
Meredith Shubel
27/03/2026 13:37
Parece que o Copilot não é só um assistente dos códigos, mas também um pequeno ‘espião’ em potencial. Como diz a matéria, "GitHub anunciou essa semana" que usará nossos dados para treinar seus modelos de IA. Isso levanta algumas questões sobre privacidade, tipo discutir com um amigo sobre quem realmente tem o controle remoto da TV: você ou a paqueteria? No fim das contas, cada linha de código vai um pouquinho mais para Big Brother Microsoft.
-
Simon Willison
26/03/2026 23:58
O ataque de malware ao LiteLLM é um lembrete de que até na galáxia dos pacotes do PyPI, temos vilões à espreita. Como o Callum McMahon relatou, a confirmação da vulnerabilidade foi feita com a ajuda do Claude, que atuou como um sidekick digital, sugerindo o contato de segurança da PyPI. Afinal, quem não gostaria de um algoritmo que oferece ajuda em momentos de crise? É uma oportunidade para repensar a segurança na cadeia de suprimentos de software. O lema é: primeiro a segurança, depois a diversão com pacotes.
-
OSnews
Thom Holwerda
26/03/2026 22:41
A Comissão Federal de Comunicações dos EUA decidiu dar um chega pra lá nos roteadores estrangeiros, especialmente os provenientes da China, que dominam o mercado. Com 60% do setor de roteadores em suas garras, essa medida vai deixar muitos usuários em busca de alternativas. E sim, adivinhe: isso provavelmente só vai encarecer ainda mais a conexão com a internet. Se você pensava que o preço do seu Wi-Fi já estava alto, prepare-se para um novo golpe na carteira.
-
LWN.net
jzb
26/03/2026 13:10
As distribuições Linux estão tendo uma sexta-feira antecipada com todas essas atualizações de segurança. Debian, Fedora, Mageia e mais estão na lista, o que é bom para quem prefere se manter longe de problemas na hora de instalar que nem um novato em um repositório qualquer. O mais interessante é a quantidade de pacotes afetados; parece que todos os desenvolvedores decidiram ter um dia de limpeza geral. Se você não atualizou sua distro, talvez seja hora de parar de adiar e se inspirar na sabedoria zen de "não deixe para amanhã o que você pode atualizar hoje".
-
InfoQ
Steef-Jan Wiggers
26/03/2026 10:04
Depois de 18 anos de caos com colisões de nomes de buckets, a AWS finalmente decidiu dar uma organizada. Com o novo formato, as coisas vão fluir melhor, evitando aqueles ataques do tipo "deputado confuso" – que é meio como ter vários amigos com o mesmo nome em uma chamada de Zoom. Agora, ao invés de um bucket chamado "minha-imagem", você vai ter algo como "minha-imagem-{account-id}-{region}-an", ou seja, cada um na sua galáxia, sem treta. CloudFormation e IAM também ganharam presentinhos, o que deve facilitar a vida dos devs no dia a dia.
-
LWN.net
jzb
26/03/2026 00:41
Nesta edição do LWN.net, vemos um mix interessante que vai de "colaboração em segurança" a "licenciamento de PHP". O desenvolvimento do kernel ganha destaque com ferramentas novas e patches que prometem melhorar ainda mais a performance - um verdadeiro banquete para os devs do backend. E não dá pra deixar de mencionar a atualização do Firefox, sempre mantendo a guerra de navegadores acesa como um bom Server-Side vs. Client-Side. No fundo, tudo isso é mais um lembrete de que a tecnologia avança mais rápido que o seu último commit.
-
Rust Blog (oficial)
The Rust Release Team
26/03/2026 00:00
A equipe do Rust lançou a versão 1.94.1, uma atualização que promete deixar seu código ainda mais robusto. "Rust é uma linguagem de programação que está capacitando todos a construir software confiável e eficiente", e essa atualização resolve algumas questões que estavam incomodando os desenvolvedores, como problemas com threads em wasm32. Além disso, a atualização aborda correções de segurança, especialmente um detalhe que pode ter afetado usuários do FreeBSD. Quem diria que um simples comando como 'rustup update stable' poderia trazer tanta tranquilidade? É como passar a vassoura no chão do desktop: sempre bom ter tudo limpinho.
-
Simon Willison
25/03/2026 21:57
A nova versão do datasette-files-s3 trouxe uma atualização que vai deixar os devs mais tranquilos, especialmente com a adição de um mecanismo para buscar configurações do S3 periodicamente. Isso significa que agora podemos usar credenciais IAM temporárias e limitadas a um prefixo dentro de um bucket, evitando aquele drama de segurança que todos amamos evitar. No mundo do armazenamento na nuvem, esse tipo de inovação é sempre bem-vinda, quase como um patch que melhora a jogabilidade de um jogo clássico.
-
OSnews
Thom Holwerda
25/03/2026 21:07
Olha, a confusão em torno da verificação de idade é como tentar debugar código legado: cheia de armadilhas. Com estados dos EUA e o Brasil se mobilizando para que sistemas operacionais se tornem guardiões da idade dos usuários, fica a dúvida de quem vai carregar esse fardo. O que é interessante é que, segundo o texto, "nada sobre isso remotamente constitui 'verificação de idade'". Ou seja, mais como um checkbox vazio do que um sistema de segurança fortificado. Vamos deixar os desenvolvedores continuarem seus trabalhos e quem sabe a situação se esclareça sem termos que apresentar a certidão de nascimento para acessar o terminal.
-
Simon Willison
25/03/2026 17:21
Parece que o LiteLLM virou o novo meme da temporada, com 47 mil downloads do pacote comprometido em apenas 46 minutos. Analisando o dataset do BigQuery, o Daniel Hnyk destacou que 88% das 2.337 dependências do LiteLLM não estavam versionadas corretamente, ou seja, elas saÃram na vibe 'o que pode dar errado?'. É um alerta para a galera que ainda não entendeu o conceito de travar versões. Vamos lá, pessoal, segurança não é apenas uma feature, é um estilo de vida!
-
LWN.net
jake
25/03/2026 17:07
Se tem uma coisa que a comunidade de segurança precisa aprender, é que sozinhos somos como um programador tentando depurar um código sem logs. Farzan Karimi trouxe à tona a importância da colaboração entre os 'caras do bem', ressaltando como alguns incidentes de segurança foram solucionados com cooperação, enquanto outros se tornaram verdadeiros caos em modo solo. Afinal, a predação dos hackers só funciona quando eles se juntam em sua 'baia de desenvolvimento maligno'.
-
Ars Technica
Dan Goodin
25/03/2026 15:49
Parece que o Google decidiu dar um empurrão nos desenvolvedores para abandonar de vez o RSA e EC. Com o aviso de que a nova data é 2029, a vibe é tipo um ultimato para a indústria: ou você se adapta ou estará vivendo em um filme de ficção cientÃfica onde os algoritmos estão de punhos cerrados. É aquele momento em que você percebe que sua biblioteca antiga de criptografia pode acabar virando um artefato de museu mais rápido do que seu último projeto em Python. Melhor começar a planejar a transição com calma, galera.
-
LWN.net
jzb
25/03/2026 15:10
O artigo do Tor Blog traz à tona o lado não técnico da instalação de um Relay Tor, mostrando que por trás de toda a tecnologia há um labirinto institucional. O estudante de ciência da computação da National Taiwan Normal University não apenas se deparou com a burocracia, mas também deixou um modelo para futuros aventureiros que ousarem explorar o mundo das redes anônimas. Embora não tenha sido uma solução mágica, sua experiência destaca um caminho prático em um ambiente onde o fluxo de informações é controlado como um código-fonte em repositório privado.
-
LWN.net
corbet
25/03/2026 14:32
O mapa direto do kernel permite que código em modo kernel acesse diretamente toda a memória fÃsica, o que é muito conveniente, mas também traz algumas dores de cabeça, especialmente em termos de segurança. A discussão sobre a remoção de algumas páginas desse mapa já está no forno há um tempo, e essas novas propostas de patch mostram que, sim, é possÃvel gerenciar eficientemente a memória removida. Chegou a hora de os desenvolvedores do kernel esvaziar um pouco a casa e repensar quem realmente precisa ter acesso à memória.
-
LWN.net
jzb
25/03/2026 13:57
Mais uma quarta-feira, mais uma chuva de atualizações de segurança. A lista de distribuições abrangerá desde Debian até Ubuntu, abordando pacotes populares como Chromium e vim. Enquanto alguns podem achar que isso é um "patch" diário, lembrar que a segurança é como uma boa prática de codificação: impossÃvel demais deixar para depois. Vamos ficar de olho nessas atualizações sem perder o foco na nossa próxima sprint.
-
The New Stack
Darryl K. Taft
25/03/2026 12:00
OpenClaw, um projeto de IA open source que explodiu com 247 mil estrelas no GitHub em apenas 60 dias, agora está virando o Tetris das vulnerabilidades. Jentic, buscando ser o Mario nessa fase, quer corrigir as questões de segurança que parecem ter surgido mais rápido que um bug em produção. No fim das contas, quem diria que a popularidade poderia trazer tantos desafios? Se até o código-fonte precisa de um bom antivÃrus, estamos mais em um cenário de "DevOps: O Retorno do Jedi" do que de "Star Wars: A Esperança".
-
Trail of Bits
25/03/2026 11:00
O novo plugin de análise dimensional para o Claude promete revolucionar a maneira como auditamos código. Ao invés de apenas procurar bugs, ele "anota seu código com tipos dimensionais" e aponta as discrepâncias de forma mais precisa, alcançando 93% de recall. É como se estivéssemos usando um Jedi para catalogar nossos seres de código em vez de esperar que eles lutem contra o Império das vulnerabilidades. Vale a pena dar uma olhada, especialmente se você já está cansado de resultados medÃocres dos métodos tradicionais.
-
InfoQ
Sonya Moisset, Andra Lezza, Stefania Chaplin, Celine Pypaert, Emma Yuan Fang
25/03/2026 09:04
Esse painel traz à tona a preocupação crescente com as ameaças à cadeia de suprimentos de software, mencionando desde 'typosquatting' até vulnerabilidades geradas por IA. Sério, quem diria que nós, devs, terÃamos que nos preocupar com teclas erradas? A discussão sobre adotar uma mentalidade de 'zero trust' nas pipelines de CI/CD é importante, porque confiar em dependências externas sem uma verificação adequada é como deixar a porta da garagem aberta em uma noite chuvosa. Vale a pena ouvir esses especialistas, porque a segurança nunca foi tão necessária como agora.
-
Simon Willison
24/03/2026 23:57
O modo automático do Claude Code parece uma tentativa de dar um controle mais seguro sobre permissões, como um Gandalf digital dizendo 'Você não pode passar' quando as intenções são duvidosas. Com um classificador que analisa ações antes de serem executadas, a ideia aqui é bloquear comportamentos arriscados sem que você precise ser um Jedi das permissões. Curioso ver como a Claude Sonnet 4.6 está na linha de frente disso, permitindo personalizações e filtros para deixar o usuário mais tranquilo. Vamos ver se esse novo superpoder realmente ajuda ou se é só mais uma máscara de um bug esperando para ser explorado.
-
Simon Willison
24/03/2026 21:11
É sempre importante lembrar que ao instalar pacotes, mais vale a precaução do que a velocidade do Flash. A ideia de "cooldowns de dependência" é como dar um tempo para o pacote pegar um ar e para a comunidade dar uma olhada: "uma chance de detectar se foram subvertidos de alguma forma". Com os gerenciadores de pacotes como Yarn e npm adotando essas práticas, parece que a galera está finalmente ouvindo o chamado da segurança do supply chain. No fim das contas, é melhor prevenir do que remediar, né?