Apa yang tidak mereka katakan tentang pengkodean getaran: • Moltbook mengekspos 1,5 juta token autentikasi. Pemiliknya belum menulis satu baris kode pun. • Tea App membocorkan 72.000 ID pemerintah. Basis data baru saja terbuka, tidak perlu peretasan canggih. • Seorang peneliti mengendalikan komputer seorang jurnalis melalui permainan berkode getarannya sendiri, tanpa satu klik pun. Kode berjalan dengan baik dalam ketiga kasus, tes lulus, ulasan terlihat bersih, dan tidak ada yang mengibarkan bendera. Itulah masalah yang tidak dibicarakan siapa pun. Teams melakukan pengiriman lebih cepat dari sebelumnya. AI menulis kode. CI menangkap kegagalan build. Pengujian menangkap regresi. Observabilitas menangkap pemadaman. Tetapi tidak ada yang mengajukan satu pertanyaan yang benar-benar penting: Apa yang bisa dilakukan penyerang dengan ini, sekarang? Karena kemacetan tidak lagi menulis kode. Ini adalah memahami apa yang sebenarnya diekspos oleh kode itu setelah ditayangkan. Ulasan PR melewatkan kasus tepi autentikasi. Pengujian unit tidak menyelidiki kontrol akses yang rusak. Lingkungan pementasan tidak mensimulasikan perilaku permusuhan. Dan cacat logika bisnis terlihat baik-baik saja sampai seseorang memutuskan untuk merusaknya dengan sengaja. Strix adalah alat sumber terbuka yang mengisi celah ini. Ini meninjau aplikasi yang sedang berjalan seperti penyerang: - Merayapi aplikasi dan memetakan setiap rute dan alur yang terbuka - Memeriksa jalur penyalahgunaan secara dinamis, tidak hanya pada waktu build - Mengembalikan temuan dengan bukti konsep dan perbaikan yang disarankan Strix dibandingkan dengan 200 perusahaan nyata dan repositori sumber terbuka, di mana ia menemukan 600+ kerentanan terverifikasi termasuk CVE yang ditetapkan. ...