「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
Linux 6.8リリース、メインラインのGitオブジェクト数はまもなく1000万に | gihyo.jp
Linux Daily Topics Linux 6.8リリース、メインラインのGitオブジェクト数はまもなく1000万に Linus Torvaldsは2024年3月10日(米国時間)、「Linux 6.8」の正式版を公開した。通常のカーネルサイクルと同様に開発期間に約2ヵ月、7本のリリース候補版を経ての公開となる。 Linusはリリースにあたって「いくつかの作業に行き詰まりはあったが、リリースを予定より遅らせる理由は何もない。Linux 6.8はすべての点で平均的なリリースで、新しいファイルシステムやアーキテクチャの採用はない。目立つことといえば、Gitオブジェクトの数が1000万未満となる最後のメインラインカーネルになることくらいかな。オブジェクトの数は999万6,000個に達しており、linux-nextツリーではすでに超えている。もっともすばらしくキリが良い数字という以
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
GitHub、脆弱性のあるリポジトリの修正でセキュアコーディングを学ぶ「Secure Code Game」シーズン2を開始
GitHubは2024年2月15日(米国時間)、セキュアコーディングをゲーム感覚で学べる「Secure Code Game」シーズン2の提供を開始した。 Secure Code Gameは、意図的に追加された脆弱(ぜいじゃく)性のあるコードリポジトリの探索、コードの修正、テストの実行を通じて、セキュアコーディングやワークフローにセキュリティを組み込む方法を学ぶことができる開発者や学生向けの学習コンテンツだ。 関連記事 なぜ、いま「セキュアコーディング」なのか? 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 Googleが激推しする「セキュリティのシフトレフ
GitHubやVimeoなどの人気サイトが「前代未聞」の難読化機能を備えたマルウェアキャンペーンに悪用されていたことが判明
Google傘下のサイバーセキュリティ会社・Mandiantが、一見無害に見えるテキストファイルやランダムなURLの文字列を複雑に組み合わせた一連のサイバー攻撃を特定したと発表しました。Mandiantは、動画共有サイト・Vimeo、ソフトウェア開発プラットフォーム・GitHub、有名なIT系ニュースサイト・Ars Technicaがこのマルウェアキャンペーンの踏み台として利用されたことを確認しています。 Evolution of UNC4990: Uncovering USB Malware's Hidden Depths | Mandiant https://www.mandiant.com/resources/blog/unc4990-evolution-usb-malware Ars Technica used in malware campaign with never-befo
GitHubがサイバー犯罪者によるマルウェア配信の温床として悪用されているという指摘
ソフトウェア開発のプラットフォームであるGitHubは、記事作成時点で1億人以上の開発者によって利用されています。しかし、その人気と実用性の高さと裏腹に、サイバー犯罪者によるマルウェアの配信にGitHubが利用されていることが指摘されています。 Flying Under the Radar: Abusing GitHub for Malicious Infrastructure | Recorded Future https://www.recordedfuture.com/flying-under-the-radar-abusing-github-malicious-infrastructure Flying Under the Radar: Abusing GitHub for Malicious Infrastructure - cta-2024-0111.pdf (PDFファイル)
GitHub、GitHub Innovation Graphを公開 ―世界各国の開発者の動きを見える化 | gihyo.jp
GitHub、GitHub Innovation Graphを公開 ―世界各国の開発者の動きを見える化 GitHubは2023年9月21日(米国時間)、GitHubを利用している世界中のソフトウェア開発者の動きや影響をオープンデータとインサイトとして可視化するGitHub Innovation Graphを公開した。 GitHub Innovation Graphを公開 -GitHubブログ GitHub Innovation Graph URL:https://innovationgraph.github.com/ GitHub Innovation Graphは、2020年にさかのぼり、gitプッシュ、開発者、組織、リポジトリ、プログラミング言語、ライセンス、トピックおよび経済的な関係国に関する四半期ごとのデータをWebページでビジュアルに提供するもの。さらに深く知りたい利用者
OpenTF、TerraformのフォークをGitHubで公開 | gihyo.jp
The OpenTF Foundationは2023年9月6日、HashiCorp製の構成管理プラットフォームTerraformのフォークを作成し、GitHubリポジトリで公開した。 The OpenTF fork is now available! -OpenTF Foundation HashiCorpは2023年8月10日、それまでMozilla Public License v2.0の元で公開してきたTerraformをはじめとする同社製品のライセンスをBusiness Source License v1.1に変更した。このため、オープンソースとしてTerraformを利用してきたユーザやコミュニティでライセンス違反となり使用できなくなる懸念が生じている。Terraformはスタンダードな構成管理基盤として多くの組織で利用されており、HashiCorpのライセンス変更はこれらの組織
GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回の記事ではその脆弱性に関して解説を行います。 なお、本記事で解説している脆弱性はGitHub Bug Bountyプログラムのセーフハーバーに則り行われた脆弱性調査の結果発見され、公開を行う許可を得たものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHubが開発するプロダクトやサービスに脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 GitHub Enterprise Im
GitHubがPasskeyに対応し、パスワードレスでログイン可能に
GitHubはPasskeyの対応をパブリックベータとして開始したことを発表しました。従来のパスワードおよび2要素認証の代わりに、Passkeyによるパスワードレスな認証を行うことが可能になります。 Moving past passwords is for better account security. Today we’re launching passkey support on https://t.co/VDZYKUklba - you can enable passkeys today and ditch that password. https://t.co/nvTweiY0Tk — GitHub (@github) July 12, 2023 Passkeyを有効にするには、自分のダッシュボード画面から右上のアイコンをクリックし、表示されたメニューから「Feature Pre
ハッカーがTwitterやGitHubでセキュリティ研究者になりすましてWindowsやLinuxにマルウェアを感染させる「偽の概念実証エクスプロイト」を公開している
ハッカーがTwitterやGitHubでサイバーセキュリティ研究者になりすまし、WindowsやLinuxにマルウェアを感染させるため、偽の「ゼロデイ脆弱性の概念実証エクスプロイト」を公開していると、セキュリティ企業のVulnChackが報告しています。 Fake Security Researcher GitHub Repositories Deliver Malicious Implant - Blog - VulnCheck https://vulncheck.com/blog/fake-repos-deliver-malicious-implant Fake zero-day PoC exploits on GitHub push Windows, Linux malware https://www.bleepingcomputer.com/news/security/fake-z
あなたの会社でオープンソース担当部門を立ち上げて機能させるには? GitHubがドキュメント群をオープンソースで公開
この記事は新野淳一氏のブログ「Publickey」に掲載された「GitHub、あなたの会社にオープンソース担当部門「Open Source Program Office」を立ち上げて機能させるためのドキュメント群をオープンソースで公開」(2023年4月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 ソフトウェアの開発や運用において、さまざまなオープンソースが重要な役割を果たすようになってきており、現在ではオープンソースを抜きにソフトウェア開発や利用を行うことがほとんど困難な時代になってきました。 オープンソースと適切に関わり、活用や推進をしていくことは、ソフトウェアに関わる企業にとって(それ以外の企業にとっても)戦略的に取り組むべき事項になってきているといえます。 そうした中で「Open Source Program Office」(OSPO)と呼ばれる組織
「GitHub Sponsors」、企業からのスポンサーシップに対応
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GitHubは米国時間4月4日、「GitHub Sponsors」が企業からの資金提供によるスポンサーシップに正式に対応したことを発表した。 GitHub Sponsorsは、オープンソースソフトウェアの作成に携わっている開発者を資金面で支援するためのツールで、より持続可能なオープンソースエコシステムというビジョンとともに2019年に提供が開始された。現在までに世界の68の地域で3300万ドル以上がオープンソースを支援に向けて支払われたとGitHubは述べる。 GitHub Sponsorsは、個人による資金援助にこれまで対応していたが、オープンプロジェクトに対する需要の大部分は企業から来ており、企業も自らが依存しているプロジェクトをよ
[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO
セキュリティの観点から、GitHub Actionsからsave-stateとset-outputのコマンドが2023年5月31日を持って廃止されます。告知そのものは2022年10月11日に出ていました。ポイントは、期限以降はwarningメッセージにとどまらず、workflowそのものが実行失敗するようになる可能性を含むところです。 十二分に時間の猶予はあるはずですが、もしかして未だ対処していない、或いは知らなかったという人がいるかもしれないと思い、改めて書いてみることにしました。なお、DevIOの過去記事を見る限りではあまり触れられておらず、執筆勢が手を付けている範囲での利用例が無かったのかもしれません。 問題 現在、Actionsのrunnnerを2.298.2以降にした上でsave-state及びset-outputを利用するとwarningのメッセージが出力されます。 詳細は以下
![[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
Secret scanning alerts are now available (and free) for all public repositories
Open SourceSecuritySecret scanning alerts are now available (and free) for all public repositoriesSecret scanning alerts are now generally available for all public repositories. Admins can now turn on the alert experience with one click. In December, we announced the public beta for free secret scanning alerts across public repositories. Since its release, 70 thousand public repositories have turn
無償のランサムウェア被害復旧ツールを当局がGitHubで公開、裁判所システムなど全世界で3800台以上のサーバーが被害を受けた大規模攻撃に終止符か
アメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)が2023年2月8日に、ランサムウェア「ESXiArgs」の被害を受けた仮想マシンの復元用ツール「ESXiArgs-Recover」をリリースしました。ESXiArgsは2月上旬から世界的に猛威を振るっており、フロリダ州の裁判所システムなどを含む3800台以上のサーバーが被害を受けたと報告されています。 ESXiArgs Ransomware Virtual Machine Recovery Guidance | CISA https://www.cisa.gov/uscert/ncas/alerts/aa23-039a CISA releases recovery script for ESXiArgs ransomware victims https://www.bleepingcomputer.com/news/secur
GitHubがハッキングされる、デスクトップアプリの更新が必要
GitHubが「GitHub Desktop」や「Atom」に関連するリポジトリへの不正な侵入を検出したと報告しました。GitHubは証明書の無効化を実施しており、macOS版GitHub DesktopとAtomのユーザーに対してアップデートの適用を呼びかけています。 Action needed for GitHub Desktop and Atom users | The GitHub Blog https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/ GitHubによると攻撃が発生したのは2022年12月6日で、攻撃者は不正な個人用アクセストークンを用いてGitHub DesktopやAtomの開発リポジトリをクローンしたとのこと。GitHubは翌日に攻撃を検出し、侵害された資格情報
「日本の開発者はプルリクエスト経由でコードを出す割合が最も高い」などGitHubの2022年のトレンドまとめ
GitHubリポジトリやオープンソース関連の分析を手がけるOSS Insightが、2022年のGitHub利用実態のトレンドを発表しました。これにより、各国の開発者の特色やオープンソース開発でよく使われる言語などの傾向が浮き彫りとなっています。 Open Source Highlights: Trends and Insights from GitHub 2022 | OSS Insight https://ossinsight.io/2022/ まず、2022年1月1日~9月30日までの期間にGitHubで発生したイベントを集計し、それらを行った開発者がいる地域の上位10カ国をまとめたのが以下です。日本の開発者はプルリクエストでコードを出すことが最も多く、日本の開発者による「PullRequestEvent」イベントの割合は「PullRequestEvent」イベント全体の10%でした
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
UUUMグループ管理下の全ソースコードを取得可能な認証キーがGitHubで公開状態に | ScanNetSecurity
