🔵 عنوان مقاله
Mesh Security (Product Launch)

🟢 خلاصه مقاله:
مِش‌سکیوریتی با ارائه لایه اجرایی CSMA، توانسته است سطحی جدید از امنیت شبکه را فراهم کند. این لایه بر روی ابزارهای امنیتی موجود قرار می‌گیرد و قابلیت یکپارچه‌سازی زمینه و کنترل در تمامی واحدهای تجاری و محیط‌های مختلف را دارد. هدف این سیستم ارزیابی و هماهنگ‌سازی اقدامات خودکار و در سطح سیستم است تا بتواند به طور مؤثری حفره‌های امنیتی را ببندد، بدون اینکه نیاز به جایگزینی یا تغییر در محصولات امنیتی فعلی باشد. این راهکار، با تمرکز بر همکاری و هماهنگی بهتر میان ابزارها، امنیت شبکه را به سطح جدیدی می‌رساند و امنیت در فضای دیجیتال را تقویت می‌کند.

مِش‌سکیوریتی با این رویکرد نوآورانه، فرایندهای امنیتی را ساده‌تر و کارآمدتر می‌سازد و به سازمان‌ها کمک می‌کند تا در برابر تهدیدات روزافزون، حفاظت قوی‌تری داشته باشند. این محصول، امکان کنترل جامع و هوشمندانه‌ای را فراهم می‌آورد که در عین حال به امنیت سیستم‌های موجود لطمه نمی‌زند و از هزینه‌های اضافی جلوگیری می‌کند. در نتیجه، سازمان‌ها می‌توانند با اطمینان بیشتری به فناوری‌های نوین اتکا کنند و امنیت داده‌های حساس خود را تضمین نمایند.

#امنیت_شبکه #هوشمندسازی_امنیت #حفاظت_سایبری #تکنولوژی_نوین

🟣لینک مقاله:
https://mesh.security/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
OpenSSH Flaw Allowing Full Root Shell Access Lurked for 15 Years (2 minute read)

🟢 خلاصه مقاله:
مدت حدود پانزده سال، یک آسیب‌پذیری خطرناک در نسخه‌های قدیمی OpenSSH وجود داشته است که به مهاجم اجازه می‌داد تا به طور کامل به شل روت دسترسی پیدا کند. این آسیب‌پذیری به دلیل خطایی در بازاستفاده مجدد کد است که باعث می‌شود کاماهای موجود در پرینسیپال‌های گواهینامه SSH به عنوان جداکننده‌های لیست تفسیر شوند. به عنوان مثال، اگر یک گواهینامه شامل "deploy,root" به عنوان پرینسیپال باشد، OpenSSH بر اساس کاما آن را به عنوان دو عنصر جداگانه در نظر می‌گیرد و در نتیجه، به مهاجم امکان می‌دهد تا با اختصاص دادن دسترسی روت، کنترل کامل سیستم را در اختیار بگیرد. نکته جالب این است که این حمله هیچ نشانه‌ای از فیلترینگ یا رد در لاگ‌ها باقی نمی‌گذارد، بنابراین شناسایی آن بسیار دشوار است. متأسفانه، محققان توانستند در عرض بیست دقیقه یک بهره‌برداری عملی از این آسیب‌پذیری را توسعه دهند، نشان می‌دهد که این مشکل تا چه حد جدی است. خوشبختانه، در نسخه ۱۰.۳ OpenSSH، این مشکل برطرف شده است و توسعه‌دهندگان با بروزرسانی نرم‌افزار، امنیت کاربران را ارتقا داده‌اند. این حادثه اهمیت توجه به آپدیت منظم سیستم‌ها و بررسی حفره‌های امنیتی را برای مدیران شبکه و توسعه‌دهندگان نشان می‌دهد.

#امنیت #OpenSSH #حفره_امنیتی #بروزرسانی

🟣لینک مقاله:
https://www.securityweek.com/openssh-flaw-allowing-full-root-shell-access-lurked-for-15-years/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

یه پروژه اُپن سورس به اسم RuView که تو گیت‌هاب ترند شده، با آنالیز کردن امواج WiFi میتونه حرکت افراد تو اتاق رو بدون نیاز به دوربین ببینه!

جالب‌تر اینکه با Machine Learning نه تنها میتونه ببینه چند نفر تو اتاق هستن و چی کار میکنن، بلکه ضربان قلب، الگوی تنفسی، مانیتورینگ خواب، زمین خوردن و... رو هم میتونه تشخیص بده، حتی اگه پشت دیوار باشید!

تمام اینا با یه چیپست ESP32 که قیمتش کمتر از ۱۰ دلاره :)

https://github.com/ruvnet/RuView

<Amir/>

درود و وقت بخیر 🌹

قیمت سرویس از گیگی ۲۵۰ تومان رسید به فقط گیگی ۲۰ تومان! 😍

✅ سرعت بالا
✅ پایداری عالی
✅ امنیت مطمئن
✅ مناسب برنامه‌نویسی، وب‌گردی و شبکه‌های اجتماعی

⏰ اگر قصد خرید دارید، الان بهترین زمانه.
ربات
@SiftalNetBot

چنل اطلاع رسانی
@SiftalNet

🔵 عنوان مقاله
When an Attacker Meets a Group of Agents: Navigating Amazon Bedrock's Multi-Agent Applications (17 minute read)

🟢 خلاصه مقاله:
در دنیای پیشرفته فناوری، سیستم‌های چندعاملی به‌طور فزاینده‌ای در حال رشد هستند و امکانات جدیدی را برای توسعه‌دهندگان فراهم می‌کنند. یکی از این فناوری‌های نوظهور، ویژگی همکاری چندعاملی در پلتفرم آمازون بی‌درک است که امکان هماهنگی و همکاری بین چند عامل یا کاربر را در سرویس‌های مختلف فراهم می‌کند. این فناوری، در عین حال، با چالش‌ها و خطرات امنیتی خاص خود همراه است که تهدیدات زیادی را متوجه سیستم‌های غیرمتمرکز می‌کند.

در یک آزمایش عملی، تیم امنیتی Unit 42 به بررسی این قابلیت پرداخت و شکست‌هایی در سیستم‌های مستقر در آمازون بی‌درک شناسایی کرد. آنان با تمرکز بر روی وضعیت‌های ناپایدار و نبود محافظت‌های کافی، یک روند چهار مرحله‌ای برای حمله به این سیستم‌ها طراحی کردند. این مراحل شامل شناسایی حالت‌های کاری با استفاده از داده‌های ساختگی، کشف عامل‌های همکاری از طریق پرسش‌های مهندسی اجتماعی، ارسال Payloadهای مخصوص هر حالت برای هدف قرار دادن عامل‌های خاص، و درنهایت کشف اطلاعات حساس مانند دستورالعمل‌های سیستم و ساختار ابزارهای مورد استفاده در سیستم بود.

این تحقیق نشان می‌دهد که اگرچه فناوری چندعاملی در بستر آمازون بی‌درک امکانات فوق‌العاده‌ای را برای توسعه‌دهندگان فراهم می‌کند، اما امنیت این سیستم‌ها باید همواره در اولویت قرار گیرد. اطمینان از پیاده‌سازی محافظت‌های چندلایه، مانع از سوءاستفاده‌های احتمالی می‌شود و از دارایی‌های دیجیتال محافظت می‌نماید.

در نتیجه، هر توسعه‌دهنده و کاربر باید از خطرات و تهدیدات این فناوری آگاه باشد و به‌روزترین راهکارهای امنیتی را در پیاده‌سازی سیستم‌های چندعاملی به کار گیرد. حفظ امنیت در فضای دیجیتال، نیازمند نگرشی جامع و آگاهی مستمر است تا بتوان از فرصت‌های این فناوری بهره‌مند شد و در عین حال ریسک‌های آن را کنترل کرد.

#امنیت_فضای_مجازی #توسعه_هوشمند #فناوری_پیشرفته #حفاظت

🟣لینک مقاله:
https://unit42.paloaltonetworks.com/amazon-bedrock-multiagent-applications/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

«در دیجی‌کالا AI قبل از Reviewerها Merge Requestها را Review می‌کند»

یکی از ابزارهایی که هر روز باهاش کار می‌کنیم را آماده کردیم و نسخه متن‌بازش را منتشر کردیم.

معرفی clab: ابزار Code Review مبتنی بر هوش مصنوعی برای مرج ریکوئست‌های GitLab

بررسی خودکار، قبل از Review انسانی ترکیبی از Lint هوشمند و تحلیل معنایی با Ai؛ باگ‌های منطقی، Secret‌های احتمالی، مشکلات امنیتی و ایرادهای رایج، همه‌ی موارد قبل از Reviewer شناسایی می‌شوند.

یادگیری از تاریخچه پروژه clab تاریخچه MR‌های پروژه را تحلیل می‌کند، الگوهای تکرارشونده را استخراج می‌کند و به‌صورت خودکار Rule می‌سازد. هرچه بیشتر استفاده شود، Review‌ها دقیق‌تر می‌شوند، بدون تعریف دستی هیچ قانونی.

یکپارچه با GitLab، بدون داشبورد جداگانه نتیجه بررسی مستقیماً به‌صورت Inline Comment روی MR ثبت می‌شود. بدون سرویس واسط.

نیازی به API Key نیست کافیه به حساب Claude Pro یا Cursor دسترسی داشته باشیم.

آنچه تجربه کردیم:

- اولین فیدبک روی MR ظرف چند دقیقه
- کاهش چشمگیر زمان صرف‌شده برای ایرادهای تکراری و بررسی دقیق‌تر با خطای کمتر
- تمرکز بیشتر Reviewer‌ها روی معماری، طراحی و منطق کسب‌وکار

کد پروژه را متن‌باز کردیم. خوشحال می‌شویم امتحانش کنید.

https://github.com/mberneti/clab

🔵 عنوان مقاله
How to Triage Bugs Without Losing Your Mind (or Your Team's Trust)

🟢 خلاصه مقاله:
در فرآیند مدیریت اشکالات نرم‌افزاری، یکی از چالش‌های اصلی، تعیین اولویت و واکنش مناسب به هر خطا است. در این راستا، فعالان توسعه و تیم‌های فنی باید راهکارهای موثری بیابند که بتوانند به صورت منظم و کارآمد، اشکالات را دسته‌بندی و رسیدگی کنند بدون آن که استرس و سردرگمی موجب کاهش بهره‌وری یا از بین رفتن اعتماد تیم شود.
در این زمینه، اوشو بجون رویکردی مبتنی بر امتیازدهی برای triage یا ارزیابی اشکالات معرفی می‌کند که در آن نه تنها شدت مشکل، بلکه اهمیت و زمان‌بندی لازم برای اصلاح آن نیز در نظر گرفته می‌شود. این روش مدرن به تیم‌ها کمک می‌کند که با تمرکز بر اولویت‌های واقعی، فرآیند رفع مشکلات را به شکلی منظم و منطقی پیش ببرند و از سردرگمی‌های معمول در مدیریت اشکالات جلوگیری کنند.
با بهره‌گیری از این سیستم، سایر تیم‌های توسعه می‌توانند به بهترین شکل ممکن به مشکلات واکنش نشان دهند، زمان‌بندی مناسب را تعیین و منابع لازم را تضمین کنند. در نتیجه، این رویکرد نه تنها به کاهش فشار و استرس در تیم کمک می‌کند، بلکه باعث افزایش اعتماد و هماهنگی در عملیات توسعه می‌شود.
در نهایت، معرفی راهکارهایی مانند این، نقش مهمی در بهبود فرآیندهای تیم‌های فنی و توسعه‌ای دارد و می‌تواند کل فرآیند اشکال‌زدایی را از حالت سردرگمی به سمت روشی منظم و قابل اطمینان سوق دهد.
#مدیریت_اشکالات #توسعه_نرم‌افزار #تیم_فنی #بهبود_فرآیند

🟣لینک مقاله:
https://cur.at/ZpoFQMO?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
VCSA Hardening & Logging Tool (GitHub Repo)

🟢 خلاصه مقاله:
در دنیای فناوری اطلاعات، امنیت و محافظت از سامانه‌های حیاتی همواره از اهمیت ویژه‌ای برخوردار است. یکی از ابزارهای قدرتمند در این زمینه، اسکریپت‌های خودکار سازی هستند که فرآیندهای پیکربندی و سخت‌افزاری را با دقت و کارایی بالا انجام می‌دهند. به عنوان مثال، پروژه‌ VCSA Hardening & Logging Tool بر پایه زبان بش (Bash) توسعه یافته است و هدف آن تضمین امنیت کامل سرورهای vCenter است.

این ابزار، با تغییر وضعیت پیش‌فرض سیستم‌ها از حالت مجاز به حالت محدودتر، رویکرد امنیتی مبتنی بر مدل صفر اعتماد (Zero Trust) را پیاده‌سازی می‌کند. این فرآیند با استفاده از میکرو segmentation در هسته سیستم با iptables، محدود کردن دسترسی‌ها، و همچنین لیست کردن آی‌پی‌های مجاز به پورت‌های SSH، 443 و VAMI شروع می‌شود. علاوه بر این، کنترل‌های خروج داده (Outbound exfiltration) و نرخ محدودکننده‌های حملات بروت‌فورس نیز به بهبود امنیت کمک می‌کنند.

علاوه بر تقویت امنیت، این اسکریپت امکاناتی برای ثبت و نظارت دقیق رویدادهای سیستم در نظر گرفته است. بخش‌های مربوط به افشای خط فرمان (Forensic command auditing) با اصلاح پروفایل شل ریشه، هر دستور اجرایی در Bash را به صورت کامل و با اطلاعات متا در syslog ثبت می‌کند. این قابلیت، نه تنها در پاسخ به حوادث امنیتی، بلکه در جلوگیری از تغییرات مخرب و تقلب اهمیت دارد.

در مجموع، این ابزار مجموعه‌ای کامل از امکانات امنیتی و مانیتورینگ را فراهم می‌کند تا مدیران IT بتوانند سیستم‌های خود را در برابر تهدیدهای روز افزون امن‌تر کنند و از صحت عملکرد آن‌ها اطمینان حاصل نمایند.

#امنیت_سرور #حفاظت_آمیز #آمادگی_نظارتی #مدیریت_امنیت

🟣لینک مقاله:
https://github.com/mandiant/vcsa-hardening-tool?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

♦️دادستان‌های فدرال آمریکا یک مهندس نرم‌افزار گوگل را به استفاده از اطلاعات محرمانه این شرکت برای کسب بیش از ۱.۲">۱.۲ میلیون دلار سود از طریق پلتفرم پیش‌بینی «پلی‌مارکت» متهم کردند.
بر اساس اسناد قضایی، «میکله اسپانیولو» ۳۶ ساله، شهروند ایتالیا و ساکن سوئیس، با دسترسی به داده‌های محرمانه گوگل درباره فهرست پرجست‌وجوترین افراد سال ۲۰۲۵، در بازارهای پیش‌بینی پلی‌مارکت شرط‌بندی کرده و از اطلاعاتی استفاده کرده که هنوز در اختیار عموم قرار نگرفته بود.
به گزارش ان‌بی‌سی، دادستانی منطقه جنوبی نیویورک اعلام کرد اسپانیولو با استفاده از اطلاعات داخلی گوگل درباره فهرست سالانه « مرور سال در جستجو» (Year in Search) در چندین بازار پیش‌بینی فعالیت کرده و از این طریق بیش از ۱.۲">۱.۲ میلیون دلار سود به دست آورده است.
یکی از مهم‌ترین شرط‌بندی‌های مورد اشاره در این پرونده به خواننده «دی‌فورد» (D4vd) مربوط می‌شود. در حالی که بسیاری از کاربران پلی‌مارکت احتمال کمی برای قرار گرفتن نام او در میان پرجست‌وجوترین افراد سال قائل بودند، اسپانیولو به داده‌های داخلی گوگل دسترسی داشت و بر اساس آن شرط‌بندی کرده بود.
وزارت دادگستری آمریکا او را به کلاهبرداری در معاملات کالا، کلاهبرداری اینترنتی و پول‌شویی متهم کرده است. همزمان کمیسیون معاملات آتی کالای آمریکا نیز شکایتی مدنی علیه وی مطرح کرده است.
گوگل اعلام کرده استفاده از اطلاعات محرمانه شرکت برای شرط‌بندی یا کسب منفعت شخصی نقض جدی سیاست‌های این شرکت محسوب می‌شود. پلی‌مارکت نیز گفته است پس از شناسایی فعالیت مشکوک این معامله‌گر، موضوع را به مقام‌های آمریکایی گزارش کرده و با تحقیقات همکاری کرده است.
این پرونده از نخستین مواردی است که مقام‌های آمریکایی استفاده از اطلاعات نهانی در بازارهای پیش‌بینی را تحت پیگرد قضایی قرار داده‌اند.
‌ Indypersian

🔵 عنوان مقاله
Creating a Playwright framework with AI

🟢 خلاصه مقاله:
در این مقاله، کالوم آکه‌هورست-ریان به تجربه‌اش در ساخت یک فریم‌ورک خودکارسازی تست‌های پایان به پایان با ابزار Playwright می‌پردازد. او درباره چگونگی استفاده از هوش مصنوعی، مخصوصاً مدل Claude Code، برای طراحی این فریم‌ورک توضیح می‌دهد و اینکه چگونه توانسته است پوشش گسترده‌ای از فرآیندهای حیاتی و اولویت‌دار را تضمین کند. یکی از نکات کلیدی در موفقیت این پروژه، حفظ نقش انسان در فرآیندهای تصمیم‌گیری و نظارت بر تست‌ها بود؛ چرا که این رویکرد باعث افزایش دقت، اطمینان و انعطاف‌پذیری سیستم شده است.

در واقع، ادغام هوش مصنوعی در فرآیند توسعه و به‌کارگیری آن در کنار تیم‌های انسانی، باعث شده است تا تست‌ها سریع‌تر و دقیق‌تر اجرا شوند و خطاهای احتمالی در مراحل اولیه شناسایی و رفع گردند. این ترکیب انسانی و فناوری، نه تنها باعث صرفه‌جویی در زمان و هزینه‌ها شده، بلکه استحکام و قابلیت اطمینان برنامه‌های نرم‌افزاری را نیز افزایش داده است.

در جمع‌بندی، این تجربه نشان می‌دهد که بهره‌گیری از هوش مصنوعی و حفظ حضور انسان در فرآیندهای کلیدی، راهکاری مؤثر برای توسعه و نگهداری سیستم‌های نرم‌افزاری مدرن است که می‌تواند به بهبود کیفیت و کارایی پروژه‌ها کمک شایانی کند.

#هوش_مصنوعی #فریم‌ورک_تست #پایت‌ورک #توسعه_نرم‌افزار

🟣لینک مقاله:
https://cur.at/7fHwl98?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
What Good Governance Actually Looks Like

🟢 خلاصه مقاله:
مدتی است که سایمن پرایر در زمینه نگارش مقالات تاثیرگذار فعالیت می‌کند و این مقاله جدید نیز از این روند مستثنی نیست. در این نوشته، او بر اصول پایه و عملی مدیریت هوشمندانه و کارآمد فناوری هوش مصنوعی تمرکز کرده است. اهمیت داشتن رهبری قوی و مستدل در حوزه‌ای که تکنولوژی‌های پیشرفته در حال شکل‌دادن به آینده هستند، بر کسی پوشیده نیست. پرایر معتقد است که موفقیت در مدیریت فناوری‌های نوین نیازمند چارچوب‌های مشخص و اصولی است که بتواند هم به توسعه فناوری کمک کند و هم از مسائل اخلاقی و اجتماعی جلوگیری نماید.

در این مقاله، نویسنده بر موارد کلیدی و عملیاتی تمرکز دارد که می‌تواند راهنمایی موثر برای مدیران و سیاست‌گذاران در حوزه هوش مصنوعی باشد. اصولی مانند شفافیت، پاسخگویی، عدالت و ایجاد اعتماد در تمامی مراحل توسعه و پیاده‌سازی فناوری، از جمله موضوعات اصلی مورد بحث هستند. پرایر تأکید می‌کند که داشتن چارچوب‌های منطقی و قابل اجرا، باعث می‌شود کسب‌وکارها و سازمان‌ها بتوانند به صورت مؤثر و مسئولانه فناوری را مدیریت کنند و از بروز خطرات احتمالی جلوگیری نمایند. در نهایت، او پیشنهاد می‌دهد که با رعایت این اصول، می‌توان به سمت حکمرانی خوب و سالم در عرصه فناوری‌های نوین حرکت کرد و آینده‌ای پایدار و عادلانه ساخت.

مدیریت صحیح و اصولی فناوری هوش مصنوعی، نیازمند درک عمیق و اجرای دقیق این اصول است تا بتوانیم از پتانسیل‌های این فناوری بهره‌مند شویم و در عین حال از مخاطرات آن جلوگیری کنیم. این مقاله راهنمایی ارزشمند برای هر فردی است که در این حوزه فعالیت می‌کند، و نشان می‌دهد که با رعایت اصول واضح و عملی، می‌توان به حکمرانی موفق و مؤثر دست یافت.

#حکمرانی_هوشمندانه #مدیریت_فناوری #شفافیت #مسئولیتپذیری

🟣لینک مقاله:
https://cur.at/FcuiqwQ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Caterpillar (GitHub Repo)

🟢 خلاصه مقاله:
کاترپیلار یک اسکنر امنیتی پیشرفته است که به طور مخصوص برای ارزیابی مهارت‌های هوش مصنوعی طراحی شده است. این ابزار قبل از اینکه کاربر اقدام به دانلود مهارت‌های مورد نظر خود کند، آن‌ها را مورد بررسی قرار می‌دهد تا هرگونه الگوی ناسالم یا ضدالگو در آن‌ها شناسایی شود. این فرآیند باعث می‌شود تا کاربران بتوانند از امنیت و سلامت مهارت‌های AI بهره‌مند شوند و از خطرات احتمالی جلوگیری کنند.

کاترپیلار با تحلیل دقیق و جامع، الگوهای منفی و vulnerabilities موجود در مهارت‌های AI را شناسایی می‌کند و به کاربران هشدار می‌دهد. این اقدام به توسعه‌دهندگان و کاربران کمک می‌کند تا ضمن حفظ امنیت سیستم‌های خود، مهارت‌هایی سالم و امن را انتخاب کنند. در نتیجه، این ابزار نقش مهمی در ارتقاء امنیت اکوسیستم هوش مصنوعی ایفا می‌کند و از بروز مشکلات امنیتی جدی جلوگیری می‌کند.

#امنیتAI #اسکنرهوشمند #امنیتسایبری #هوش مصنوعی

🟣لینک مقاله:
https://github.com/alice-dot-io/caterpillar?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Playwright Fixtures: Making Your Tests Clean, Smart & Scalable

🟢 خلاصه مقاله:
در دنیای تست‌های نرم‌افزاری، هر چه پروژه بزرگ‌تر و پیچیده‌تر می‌شود، مدیریت و نگهداری کدهای مربوط به مراحل اولیه آزمایش‌ها اهمیت بیشتری پیدا می‌کند. یکی از بهترین راهکارها برای بهبود کارایی و خوانایی در نوشتن تست‌های Playwright، استفاده از «فیکسچرها» است. فیکسچرها، نقش مهمی در جلوگیری از تکرار کدها دارند و به تیم توسعه کمک می‌کنند تا آزمایش‌ها را به صورت منسجم و قابل توسعه نگه دارند.

در مقاله‌ای که توسط آبارنا میشرا نوشته شده، او به تفصیل توضیح می‌دهد که چگونه می‌توان با استفاده از فیکسچرها و الگوی Page Object Model (مدل صفحه)، روند تنظیم و راه‌اندازی تست‌ها را ساده‌تر و به‌صرفه‌تر کرد. این روش‌ها، مخصوصاً در مواردی که نیاز است چندین آزمایش، عملیات ورود به سیستم یا دیگر مراحل مشترک را انجام دهند، بسیار مؤثر هستند. با بهره‌گیری از این استراتژی‌ها، می‌توانید از تکرار کدهای بی‌دلیل جلوگیری کنید و اسکریپت‌های خود را «هوشمندانه‌تر» و «قابل توسعه»تر سازید.

در نهایت، استفاده‌ از فیکسچرها در کنار POM، نه تنها روند نوشتن تست‌ها را سریع‌تر می‌کند، بلکه نگهداری و به‌روزرسانی آن‌ها را نیز ساده‌تر می‌سازد. این رویکرد، تضمین‌کننده اجرای پایدار و منظم آزمایش‌ها در پروژه‌های بزرگ است و توسعه‌دهندگان می‌توانند با اطمینان بیشتری به کیفیت نرم‌افزار خود اعتماد کنند.

#تست_نرم‌افزار #Playwright #فیکسچرها #توسعه_هوشمند

🟣لینک مقاله:
https://cur.at/65beIdV?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Wiz Security Flashcard: Securing AI Agents (Sponsor)

🟢 خلاصه مقاله:
در دنیای فناوری‌های نوین، هوش مصنوعی یکی از مهم‌ترین و پرطرفدارترین حوزه‌ها است که در بسیاری از بخش‌ها به کار گرفته می‌شود. یکی از مفاهیم کلیدی در این حوزه، "نمایه‌های امنیتی هوش مصنوعی" یا همان "Secure AI Agents" هستند. این نمایه‌ها نقش مهمی در تضمین امنیت و صحت عملکرد ربات‌ها و سیستم‌های مبتنی بر هوش مصنوعی ایفا می‌کنند. برای توسعه‌دهندگان و متخصصان امنیت، درک دقیق نحوه عملکرد این عوامل و چالش‌هایی که در مسیر حفاظت از آنها وجود دارد، امری ضروری است.

در این راهنما مختصر، خلاصه‌ای از مفهوم آژانس‌های هوش مصنوعی و روش‌های مقابله با خطرات و تهدیدات امنیتی آورده شده است. با مطالعه این محتوا، می‌توانید در کمترین زمان، نکات کلیدی پیرامون امنیت هوش مصنوعی و نحوه حفظ انسجام و جلوگیری از نفوذهای مخرب را فرا بگیرید. این منبع، ابزاری سریع و کارا است که به شما کمک می‌کند تا درک بهتری از چالش‌های امنیتی مرتبط با فناوری‌های هوش مصنوعی داشته باشید و راهکارهای موثری برای حفاظت از سیستم‌های خود اتخاذ کنید.

در نهایت، هدف از این کارت‌های فلاش، آگاهی‌بخشی سریع و کارآمد درباره امنیت در حوزه هوش مصنوعی است؛ ابزاری مناسب برای هر فردی که در این زمینه فعالیت دارد و می‌خواهد با دانش و تدابیر مناسب، از سیستم‌های خود در مقابل تهدیدات فضای مجازی محافظت کند.

#امنیت_هوش_مصنوعی #هوش_مصنوعی #حفاظت_سیستم #امنیتهای_دیجیتال

🟣لینک مقاله:
https://www.wiz.io/lp/securing-ai-agents-101?utm_source=tldr-infosec&utm_medium=paid-email&utm_campaign=FY26Q3_INB_FORM_Securing-AI-Agents-101&sfcid=701Py00000RTEWMIA5&utm_term=FY27Q1-tldr-infosec-quicklinks&utm_content=AI-Agents-101

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🧠 چرا موقع خوندن کد سردرگم می‌شیم؟
خیلی وقت‌ها وقتی کدی رو نمی‌فهمیم، فکر می‌کنیم مشکل از خودمونه

ولی معمولاً سردرگمی ما از ۳ دلیل مشخص میاد؛ و هر کدوم راه‌حل خودش رو داره

1) کمبود دانش
یعنی چیزی که جلوته رو اصولاً بلد نیستی
مثلاً:
سینتکس یک زبان برات ناآشناست
معنی یک عملگر یا تابع خاص رو نمی‌دونی
مفهوم بیزنسی یا اصطلاح پروژه رو نمی‌فهمی
این مشکل به حافظه بلندمدت مربوطه.
یعنی اون دانش هنوز توی ذهنت ذخیره نشده

✅ راه‌حل:
مطالعه‌ی مفهوم
دیدن مثال
مرور و تمرین

2) کمبود اطلاعات
اینجا مشکل این نیست که بلد نیستی
مشکل اینه که اطلاعات کامل همون‌جا جلوی چشمت نیست
مثلاً:
یک متد صدا زده شده ولی تعریفش توی فایل دیگه‌ست
مقدار یک متغیر جای دیگه تعیین می‌شه
بخشی از منطق توی کلاس یا ماژول دیگریه
این مشکل بیشتر به حافظه کوتاه‌مدت مربوطه
چون باید چند تکه اطلاعات رو موقت توی ذهنت نگه داری و به هم وصل کنی

✅ راه‌حل:
رفتن به تعریف توابع و متدها
پیدا کردن منبع متغیرها
جمع کردن تکه‌های مرتبط کد کنار هم

3) فشار پردازشی
اینجا هم دانشش رو داری، هم اطلاعاتش هست،
ولی کد از نظر ذهنی سنگینه
مثلاً:
چند حلقه و شرط تو در تو وجود داره
متغیرها مدام تغییر می‌کنن
باید اجرای کد رو مرحله‌به‌مرحله توی ذهنت شبیه‌سازی کنی
این مشکل به حافظه کاری مربوطه
یعنی همون بخشی از ذهن که توش تحلیل، دنبال کردن و حل مسئله انجام می‌دی

✅ راه‌حل:
کاغذ و قلم
نوشتن مقدار متغیرها
دیباگر
شکستن مسئله به بخش‌های کوچک‌تر

📌 یک نکته مهم
مغز ما همیشه دقیق عمل نمی‌کنه
خیلی وقت‌ها از روی عادت، چیزها رو حدس می‌زنه
مثلاً ممکنه در کد اشتباه تایپی وجود داشته باشه
ولی مغزت چون انتظار یک الگوی آشنا رو داره، همون چیزی رو ببینه که «فکر می‌کنه باید باشه»
این میان‌بُرها گاهی کمک می‌کنن سریع‌تر کد بخونیم
ولی گاهی هم باعث می‌شن باگ یا جزئیات مهم رو نبینیم

✅ جمع‌بندی
هر وقت کدی رو نفهمیدی، سریع خودت رو قضاوت نکن

اول مشخص کن مشکل از کدوم دسته‌ست:

چیزی رو بلد نیستم → باید یاد بگیرم
اطلاعات کافی ندارم → باید بگردم و جمعش کنم
ذهنم از پردازش کد خسته شده → باید مسئله رو سبک‌تر کنم

فرق برنامه‌نویس حرفه‌ای با بقیه این نیست که هیچ‌وقت سردرگم نمی‌شه؛
اینـه که می‌فهمه دقیقاً چرا سردرگم شده

#تجربه

🔵 عنوان مقاله
GTA-maker Rockstar Games hacked again but downplays impact (2 minute read)

🟢 خلاصه مقاله:
شرکت توسعه‌دهنده بازی‌های معروف، راک استار گیمز، بار دیگر با هکرها مواجه شده است. هکرهایی که خود را «ShinyHunters» می‌نامند اعلام کردند که توانسته‌اند به داده‌های این شرکت از طریق یک سرویس ابری شخص ثالث دسترسی پیدا کنند. این گروه تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات حساس را فاش خواهند کرد.

در این خبر، راک استار گیمز اعلام کرده است که این حمله تأثیری بر فرآیندهای داخلی و داده‌های کاربران نداشته و در حال حاضر موضوع کنترل‌شده است. با وجود تهدیدهای هکرها، تیم امنیتی این شرکت در حال بررسی وضعیت است و اطمینان دادند که اقدامات لازم برای حفاظت از داده‌های کاربران انجام شده است. این اتفاق نشان می‌دهد که حتی شرکت‌های بزرگ و معتبر در عرصه فناوری و گیمینگ نیز در معرض حملات سایبری قرار دارند، اما مهم‌ترین نکته، نحوه واکنش سریع و ایمن در برابر این تهدیدات است.

در مجموع، این حمله مجدد نشان می‌دهد که امنیت سایبری در دنیای امروز اهمیت بیشتری پیدا کرده است و باید همواره با تهدیدهای جدید و پیچیده‌تر مقابله کرد. شرکت‌ها باید تدابیر لازم برای حفاظت داده‌ها و اطلاعات حساس را در اولویت قرار دهند تا از هرگونه ضرر مالی و اعتباری جلوگیری شود.

#امنیت_سایبری #راکستار_گیمز #حملات_هاکری #بازیهای_ویدئویی

🟣لینک مقاله:
https://www.bbc.com/news/articles/cx2dg5g1le7o?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Why F.I.R.S.T. Testing Still Wins After 20 Years

🟢 خلاصه مقاله:
در دنیای آزمایش‌های علمی و ارزیابی‌های کیفیت، اصول F.I.R.S.T. همچنان پس از گذشت بیش از بیست سال، جایگاه ویژه‌ای دارند. فرناندا نادفی‌تا در مقاله‌ای مجدد به اصول مهم این روش‌ها می‌پردازد و آن‌ها را مورد بررسی قرار می‌دهد. او با ارائه نمونه‌ها و مثال‌های عملی نشان می‌دهد چرا این استانداردها همچنان مورد اعتماد و کارآمد هستند و چگونه می‌توانند در پروژه‌های مختلف به کار گرفته شوند.

در تحلیل دوباره این اصول، نادفی‌تا تأکید می‌کند که فایرست بر پایه پنج ویژگی کلیدی استوار است: سریع بودن، مستقل بودن، تکرارپذیری، خودتأییدی و زمان‌بندی مناسب. این ویژگی‌ها باعث شده‌اند تا آزمایش‌ها نه تنها قابل اعتماد باشند بلکه در زمان مناسب و با هزینه کمتر، نتایج دقیقی ارائه دهند. او نشان می‌دهد که این اصول در بسیاری از پروژه‌های واقعی، چه در صنعت و چه در تحقیق، پاسخگو و مؤثر عمل کرده‌اند و همچنان مورد تایید قرار دارند.

در انتها، نادفی‌تا با مثال‌هایی زنده و ملموس، اثبات می‌کند که اصول F.I.R.S.T. نه فقط یک رویکرد نظری بلکه یک راهکار عملی است که می‌تواند کارایی و اعتمادپذیری در ارزیابی‌ها را به حداکثر برساند. این مقاله مجالی است برای تجدیدنظر در مفروضات پیشین و تأکید بر اهمیت حفظ و ارتقاء استانداردهای کیفیت در آزمایش‌ها.

#آزمایش #کیفیت #FIRST #مطالعات

🟣لینک مقاله:
https://cur.at/UonuHhJ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Pentest of a 100% vibe-encoded app: complete security analysis of an AI-generated app (4 minute read)

🟢 خلاصه مقاله:
در یک آزمایش نفوذ جامع، یک برنامه تحت وب ساخته شده کامل با کدگذاری وایت-پای ۱۰۰٪ مورد بررسی قرار گرفت. این برنامه که با فناوری کریپتو و هوش مصنوعی ساخته شده بود، در حالت نیمه‌مخبری (gray-box) و با استفاده از اطلاعات کاربری عادی مورد آزمایش قرار گرفت. نتیجه‌گیری‌های اولیه نشان دادند که آسیب‌پذیری‌های جدی و سریع نمایان شدند؛ از جمله یک آسیب‌پذیری مسیر ناپایدار (LFI) که از طریق پارامتر unfiltered full_path، به فایل حساس /etc/passwd دسترسی پیدا کرد و درهای نفوذ از راه دور (RCE) را باز کرد.

در ادامه، یکی دیگر از مشکلات مهم، مربوط به پایگاه داده داخلی برنامه بود، که با سوءاستفاده از آسیب‌پذیری نوع IDOR در مسیر /employee/{guid}، امکان استخراج اطلاعات حساس کارمندان مانند ایمیل‌ها، نقش‌ها و هش‌های پسورد آن‌ها فراهم شد. این آسیب‌پذیری به‌راحتی و با برداشت شناسه‌های GUID از یک API عمومی لیست برترین‌ها قابل بهره‌برداری بود.

در قسمت فرانت‌اند، نرم‌افزار با نسخه Vite 5.4.10 اجرا می‌شد که آسیب‌پذیری‌های شناخته‌شده‌ای در آن وجود داشتند. کدهای تولیدشده توسط هوش مصنوعی، به دلیل نادیده گرفتن تایید ورودی و ضعف‌های امنیتی دیگر، علاوه بر ارائه امکانات، در معرض خطر قرار داشتند. در مجموع، این آزمایش نشان داد که فناوری‌های نوین و کدهای هوشمند نیازمند مراقبت‌های امنیتی ویژه و به‌روزرسانی‌های مداوم هستند تا از بروز آسیب‌پذیری‌های آسیب‌پذیر جلوگیری شود.

#امنیت_برنامه_وب #آسیب‌پذیری #نفوذگرایى #کدهای_هوشمند

🟣لینک مقاله:
https://www.hackmosphere.fr/en/pentest-of-a-100-vibe-encoded-app-complete-security-analysis-of-an-ai-generated-app/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Trusted Access for the Next Era of Cyber Defense (3 minute read)

🟢 خلاصه مقاله:
در دنیای امنیت سایبری رو به رشد امروز، دسترسی مطمئن و معتبر به سیستم‌ها و ابزارهای مختلف اهمیت حیاتی دارد. در این راستا، شرکت OpenAI برنامه «دسترسی مطمئن برای عصر بعدی دفاع سایبری» خود را گسترش داده است تا هزاران نفر از مدافعان معتبر و فعال در حوزه امنیت سایبری بتوانند به طور مؤثر از این فناوری بهره‌مند شوند. هدف این برنامه تقویت توانایی‌ها و سرعت واکنش در مقابل حملات سایبری است، به گونه‌ای که تیم‌های امنیتی بتوانند بهتر و سریع‌تر به تهدیدها پاسخ دهند و از زیرساخت‌های خود محافظت کنند.

در ادامه، این شرکت از معرفی GPT‑5.4‑Cyber خبر داده است؛ مدلی پیشرفته و مجاز که به طور خاص برای وظایف دفاعی طراحی شده است. این مدل توانمندی‌های خاصی دارد، مانند مهارت در تحلیل و مهندسی معکوس فایل‌های باینری، که اغلب در شناسایی و نابودی بدافزارها و تهدیدات سایبری کاربرد دارد. با افزوده شدن این فناوری‌های نوین، تیم‌های امنیتی قادر خواهند بود دفاع‌های قوی‌تر و هوشمندانه‌تری را پیاده‌سازی کنند، و به مقابله با چالش‌های امنیتی پیچیده‌تر بپردازند.

این تحولات نشان می‌دهد که آینده امنیت سایبری با تکنولوژی‌های هوشمند و دسترسی‌های مطمئن، بسیار مطمئن‌تر و کارآمدتر خواهد شد. شرکت OpenAI همچنان در مسیر توسعه ابزارها و فناوری‌هایی است که نه تنها امنیت را ارتقاء می‌دهند، بلکه فرآیندهای مقابله با تهدیدات سایبری را سرعت می‌بخشند و ظرفیت دفاعی سازمان‌ها را افزایش می‌دهند.

#امنیت_سایبری #هوشمصنوعی #مدیریت_تهدیدات #فناوری_پیشرفته

🟣لینک مقاله:
https://openai.com/index/scaling-trusted-access-for-cyber-defense/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Waterfall Strikes Back

🟢 خلاصه مقاله:
در حین بررسی یک الگوی جالب، Patrick Prill توجه‌اش را به نکته‌ای مهم جلب کرد. او متوجه شد که توسعه بر اساس مشخصات نمونه‌محور (Spec-Driven Development) از توسعه‌دهندگان می‌خواهد که ابتدا مشخصات کاملی و بی‌نقص تهیه کنند. این رویه، در واقع همان روشی است که در دوران آبشاری (Waterfall) به آن اعتراف می‌کردیم و آن را اشتباه می‌دانستیم؛ زمانی که فرآیند توسعه به صورت مرحله‌ای و خطی بود و تیم‌ها در هر مرحله منتظر پایان کار قبل برای شروع مرحله بعد می‌ماندند. پیش از ظهور روش‌های چابک (Agile)، این رویکرد به عنوان استاندارد معمول در صنعت تلقی می‌شد، اما اکنون مشخص است که این روش در بسیاری موارد ناکارآمد است و منجر به محصول نهایی ناقص یا نیازهای تغییرپذیر بازار ناپایدار می‌شود.

در واقع، بازگشت به این الگو نشان‌دهنده این است که پس از گذر از دوره‌ای انتقادی، دوباره در مسیر اشتباه حرکت می‌کنیم. این نکته برای تیم‌های توسعه اهمیت دارد که بدانند نیاز نیست هر چیزی را در ابتدا به صورت کامل مشخص و برنامه‌ریزی کنند، بلکه باید فرآیند را انعطاف‌پذیر و مبتنی بر تغییرات و بازخوردهای بی‌وقفه نگه دارند. این رویکرد، همان چیزی است که Agile آن را ترویج می‌کند و نشان می‌دهد که در عمل، انتظار داشتن مشخصات کامل از اول، اغلب منجر به عدم انطباق با نیازهای واقعی و بازار می‌شود.

#توسعه_نرم‌افزار #آبشار #چابک #مدیریت_پروژه

🟣لینک مقاله:
https://cur.at/2iupJ7N?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon