Linuxカーネルで「AIが生成したコードのすべての行、およびそれに起因するバグやセキュリティ上の欠陥の法的責任」を提出した人間がしっかりと負うことに
by Mike Cohen Linuxカーネルの開発コミュニティが数ヶ月にわたる議論を経て、AIが生成したコードの寄稿に関する正式なプロジェクト全体のポリシーを策定しました。LinuxカーネルのBDFLであるリーナス・トーバルズ氏とメンテナーたちの合意によって成立したこの規定は、AIを単なる一つのツールとして認める実利的な姿勢を基本としており、AIの全面禁止は実効性がないとして否定され、人間が責任を持ってツールを使いこなすことを前提としたガイドラインとなっています。 linux/Documentation/process/coding-assistants.rst at master · torvalds/linux https://github.com/torvalds/linux/blob/master/Documentation/process/coding-assistants.r
GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド
Home Blog GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド 【注意事項】 ⚠ 本ブログに記載のコマンドや確認手順は、読者自身の環境における影響確認を支援する目的で提供している。組織の環境で実行する場合は、必ずシステム管理者またはセキュリティ管理者の許可を得ること。すべての操作は自己の責任において実施されたい。 【2026年3月31日 19:00 JST 更新】 以下の情報を追記・更新 - axios npm パッケージのサプライチェーン攻撃情報を追加(3/31発生、影響バージョン: 1.14.1 / 0.30.4)。チェックリスト、タイムライン、影響バージョン一覧(セクション2.7新設)、確認方法(セクション3.6新設)、C2/IoC情報を追加 - 同一マルウェアを配布する追加パッケージ(@shadanai
【開催レポート】FutureVuls 第1回ユーザー会|参加者満足度100%! お客さまの熱気に満ちた、未来を共創する一夜
Home Blog 【開催レポート】FutureVuls 第1回ユーザー会|参加者満足度100%! お客さまの熱気に満ちた、未来を共創する一夜 去る2025年7月30日、フューチャー株式会社は、SaaS型脆弱性管理ツール「FutureVuls」をご利用のお客さまをお招きし、記念すべき第1回となるユーザー会を大崎の本社にて開催いたしました。中には本イベントの為に関西からお越し頂いた方もいらっしゃる等、当日は多くのお客さまにお越し頂き、後日実施したアンケートでは参加者満足度100%という大変嬉しい評価をいただきました。ご参加いただいた皆さまのFutureVulsに対する高いご関心と熱意に、運営一同、身が引き締まる思いでした。本記事では、大盛況のうちに幕を閉じた本会の様子を、当日の熱気とともにお届けいたします。 お客さまの知見が交差する、貴重な事例共有セッション ユーザー会は、事業責任者である林
2026年3月19日の Trivy 再侵害の概要と対応指針
2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要
Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー
はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする
自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記 はてな支店
物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター
作品概要 | アニメ「こうしす!」公式サイト
――長く使われた物には魂が宿ると言いますが、このシステムに宿っていたのはゴミでした。 ここは姫路と京都を結ぶ中堅私鉄、京姫鉄道株式会社。 その広報部システム課に配属された新入社員、祝園アカネ(ほうその あかね)は、オフィスワークに喜んだのもつかの間……。今日も今日とてセキュリティトラブルにてんてこ舞い。大丈夫!? 私の会社のセキュリティ。 社内システムエンジニアの悲哀を描く技術系コメディが、ここに始まる! 二次創作OK! オープンソースのアニメーション作品 「こうしす!」オリジナルシリーズはすべてがフリー素材です。 注記のない限り、映像も、音声も、クリエイティブ・コモンズ表示 4.0 国際ライセンスのもとに、ご自由にお使いいただけます。 さらに、完成品だけでなく、素材も公開しております。こうしす!は、日本でも数少ないオープンソースのアニメーション作品です。 わたしたちがこのような形で作品を
OSSすぐ死ぬ - kmuto’s blog
(結論はなく、ダラダラ昔話を書いただけ。) サービスやプロダクトの開発にあたって、自社外で開発されたオープンソースソフトウェア(OSS)を外部コンポーネントとして使うという場面は今や当たり前だと思うけど、そのOSSができるだけ長く保守開発を続けてくれるにはどうしたらよいか、ということまで考えることは少ないだろう。 OSSはそのライセンス遵守の上では金銭を支払うことなく自由にサービスやプロダクトに使えるし、うまく機能がハマれば開発の費用・時間コストを大幅に軽減できる。 ただ、そうしてできた素晴しいサービス、プロダクトのアーキテクチャを見返してみると、個人の手弁当のOSSが危ういバランスを支えてSPOF的に存在していることがある。ジェンガの絵がよく出てくるよね( File:dependency.png - explain xkcd )。 Someday ImageMagick will fin
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
