// Popular Articles
Faraday: nền tảng quản lý lỗ hổng mã nguồn mở dành cho red team
Faraday là 'IDE cho pentester' — open-source, GPL-3.0, gom output từ 80+ scanner (Nmap, Burp, Nessus, ZAP, Metasploit...) vào một workspace duy nhất, dedupe và cho cả team cùng làm việc real-time. 6.4k sao GitHub, v5.20.0 vừa ra ngày 10/04/2026.
OSV-Scanner: Vũ khí săn lỗ hổng chuỗi cung ứng miễn phí của Google cho pipeline DevSecOps
OSV-Scanner v2.3.5 của Google quét dependencies, container và source code cho CVE thật với false positive thấp nhờ call analysis, layer-aware container scan và guided remediation. Apache-2.0, plug thẳng vào CI.
Strix: AI hacker mã nguồn mở tự pentest app, tự viết PR fix
Strix là open-source AI agent (Apache-2.0) chạy code thật, tìm lỗ hổng, validate bằng PoC sống, rồi tự đẻ merge-ready fix PR. 24.4k stars GitHub, plug thẳng vào GitHub Actions, chặn code dính lỗ hổng trước khi lên production. Đọc nhanh kiến trúc Graph of Agents, cách so với SAST/DAST, use case CI/CD, và giới hạn thực tế.
Socket và Docker phát hiện malicious KICS Docker images: vụ Checkmarx supply chain đã lan rộng hơn công bố
Socket và Docker vừa xác nhận malicious images trong chính official checkmarx/kics Docker Hub repo, cùng nhiều bản VS Code extension gần đây. Vụ TeamPCP không chỉ dừng ở GitHub Actions như Checkmarx công bố — nó đang lan rộng qua toàn bộ chuỗi phân phối.
Replit Auto-Protect: Bảo vệ app 24/7, tự vá CVE trong lúc bạn ngủ
Replit vừa ra mắt Auto-Protect — lớp giám sát bảo mật luôn-bật, tự quét CVE mới, chuẩn bị sẵn patch đã test, rồi gửi email link 1-click để dev apply. Dành cho solo builder và vibe coder không có team security.
Secrets Patterns DB: 1600+ regex vá lỗ hổng leak secrets cho Gitleaks & TruffleHog
Mazin Ahmed mở mã nguồn database regex lớn nhất cho detect secrets — 1600+ pattern, format-agnostic, ReDoS-safe, export sang Gitleaks TOML hoặc TruffleHog JSON/YAML chỉ một lệnh. Gấp đôi rule set mặc định của TruffleHog v3 và gấp 27 lần Gitleaks gốc.
secox: công cụ quét bí mật viết bằng Rust không chỉ tìm — mà còn tự fix luôn giùm bạn
Một dev vừa thả open-source công cụ secox (MIT, Rust) với pre-commit hook chặn leak API key, 43 rule, 13 provider verify live, và flow resolve tương tác hướng dẫn bạn rotate + rewrite git history chỉ với vài phím bấm.
Axios npm bị hack: 100 triệu lượt tải/tuần, RAT đa nền tảng, Bắc Triều Tiên đứng sau
Ngày 31/3/2026, hai phiên bản axios (1.14.1 và 0.30.4) bị tiêm dependency độc hại plain-crypto-js, thả RAT xuyên nền tảng lên macOS/Windows/Linux. Chạy npm install trong 3 giờ cửa sổ là dính. Đây là mổ xẻ đầy đủ và hướng dẫn khắc phục.
AgentShield: Scanner bảo mật đầu tiên chuyên cho AI coding agent — 102 rules, grade A–F, tích hợp Opus 4.6 red-team
AgentShield là CLI open-source quét .claude/ directory, phát hiện hardcoded secrets, prompt injection, hook abuse, MCP supply-chain risk và permission misconfig. 102 rules chia 5 nhóm, xuất báo cáo grade A–F kèm pipeline red-team/blue-team/auditor chạy trên Claude Opus 4.6. Miễn phí CLI + GitHub Action (MIT), Pro tier $19/seat/month.