Targeted security pass — advisories patched, CI hardened
Another maintenance week. We took a focused look at known advisories in our dependencies and patched what we could without breaking API or UI compatibility — a second security pass in as many weeks.
What we did
- Frontend packages secured. Several JavaScript packages in the dashboard were updated to close upstream security advisories. Nothing in the UI changes — the patching happens below the surface.
- Backend packages secured. Four Python packages on the API side received targeted updates, each addressing a known upstream advisory.
- Security scan accuracy improved. Our CI security gate now separates production dependencies from build-time tooling, so the security posture report reflects only what actually ships to customers — no more noise from packages that never leave the build server.
Why this matters for customers
A dependency with a known advisory sitting in production is a liability we'd rather not carry. This week we cleared several without waiting for the next major release cycle. We run this check weekly, patch what's safe to patch, and document anything that needs a larger coordinated upgrade for a later sprint.
There's no action required from you. If something is coming that will need your attention — an agent update, a new feature that requires opt-in — we'll say so clearly in advance.
The Trust Center publishes our full software bill of materials on every release. It lists the exact library versions running in production — always up to date, always linkable in your compliance records.
Цілеспрямований security-прохід — advisories закрито, CI уточнено
Ще один тиждень технічного обслуговування. Ми цілеспрямовано перевірили відомі вразливості в наших залежностях і закрили все, що можна без порушення сумісності API та UI — другий security-прохід поспіль.
Що ми зробили
- Захищено frontend-пакети. Кілька JavaScript-пакетів у дашборді оновлено для закриття upstream security advisories. В UI нічого не змінюється — патчинг відбувається під поверхнею.
- Захищено backend-пакети. Чотири Python-пакети на стороні API отримали цільові оновлення, кожне з яких закриває відому upstream-вразливість.
- Підвищено точність сканування безпеки. Наш CI security gate тепер розрізняє продуктові залежності та інструменти збірки, тому звіт про стан безпеки відображає лише те, що реально потрапляє до замовників — більше жодного шуму від пакетів, що ніколи не виходять за межі build-сервера.
Чому це важливо для замовників
Залежність з відомою вразливістю в продакшені — це ризик, якого не варто тримати. Цього тижня ми закрили кілька таких, не чекаючи наступного великого релізного циклу. Ми проводимо цю перевірку щотижня: патчимо те, що безпечно оновити, а все, що потребує більшого координованого апгрейду, документуємо і плануємо на окремий спринт.
Від вас жодних дій не потрібно. Якщо щось наближається, що вимагатиме вашої уваги — оновлення агента, нова функція з потребою підключення — ми повідомимо про це заздалегідь і чітко.
Trust Center публікує повний software bill of materials при кожному релізі. Там перелічено точні версії бібліотек, що працюють у продакшені — завжди актуально, завжди доступно для посилання в ваших compliance-документах.