「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
Linux 6.8リリース、メインラインのGitオブジェクト数はまもなく1000万に | gihyo.jp
Linux Daily Topics Linux 6.8リリース、メインラインのGitオブジェクト数はまもなく1000万に Linus Torvaldsは2024年3月10日(米国時間)、「Linux 6.8」の正式版を公開した。通常のカーネルサイクルと同様に開発期間に約2ヵ月、7本のリリース候補版を経ての公開となる。 Linusはリリースにあたって「いくつかの作業に行き詰まりはあったが、リリースを予定より遅らせる理由は何もない。Linux 6.8はすべての点で平均的なリリースで、新しいファイルシステムやアーキテクチャの採用はない。目立つことといえば、Gitオブジェクトの数が1000万未満となる最後のメインラインカーネルになることくらいかな。オブジェクトの数は999万6,000個に達しており、linux-nextツリーではすでに超えている。もっともすばらしくキリが良い数字という以
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
GitHub、脆弱性のあるリポジトリの修正でセキュアコーディングを学ぶ「Secure Code Game」シーズン2を開始
GitHubは2024年2月15日(米国時間)、セキュアコーディングをゲーム感覚で学べる「Secure Code Game」シーズン2の提供を開始した。 Secure Code Gameは、意図的に追加された脆弱(ぜいじゃく)性のあるコードリポジトリの探索、コードの修正、テストの実行を通じて、セキュアコーディングやワークフローにセキュリティを組み込む方法を学ぶことができる開発者や学生向けの学習コンテンツだ。 関連記事 なぜ、いま「セキュアコーディング」なのか? 多くのソフトウェアが脆弱性を抱えたまま出荷され、不正アクセスや攻撃の脅威にさらされているいま、セキュアな開発に関する技術や経験を有するプログラマがいっそう求められるようになりました。この連載ではC/C++言語を例に、セキュアコーディングで特に重要となるトピックスを紹介していきます。 Googleが激推しする「セキュリティのシフトレフ
GitHubがサイバー犯罪者によるマルウェア配信の温床として悪用されているという指摘
ソフトウェア開発のプラットフォームであるGitHubは、記事作成時点で1億人以上の開発者によって利用されています。しかし、その人気と実用性の高さと裏腹に、サイバー犯罪者によるマルウェアの配信にGitHubが利用されていることが指摘されています。 Flying Under the Radar: Abusing GitHub for Malicious Infrastructure | Recorded Future https://www.recordedfuture.com/flying-under-the-radar-abusing-github-malicious-infrastructure Flying Under the Radar: Abusing GitHub for Malicious Infrastructure - cta-2024-0111.pdf (PDFファイル)
GitHub、GitHub Innovation Graphを公開 ―世界各国の開発者の動きを見える化 | gihyo.jp
GitHub、GitHub Innovation Graphを公開 ―世界各国の開発者の動きを見える化 GitHubは2023年9月21日(米国時間)、GitHubを利用している世界中のソフトウェア開発者の動きや影響をオープンデータとインサイトとして可視化するGitHub Innovation Graphを公開した。 GitHub Innovation Graphを公開 -GitHubブログ GitHub Innovation Graph URL:https://innovationgraph.github.com/ GitHub Innovation Graphは、2020年にさかのぼり、gitプッシュ、開発者、組織、リポジトリ、プログラミング言語、ライセンス、トピックおよび経済的な関係国に関する四半期ごとのデータをWebページでビジュアルに提供するもの。さらに深く知りたい利用者
OpenTF、TerraformのフォークをGitHubで公開 | gihyo.jp
The OpenTF Foundationは2023年9月6日、HashiCorp製の構成管理プラットフォームTerraformのフォークを作成し、GitHubリポジトリで公開した。 The OpenTF fork is now available! -OpenTF Foundation HashiCorpは2023年8月10日、それまでMozilla Public License v2.0の元で公開してきたTerraformをはじめとする同社製品のライセンスをBusiness Source License v1.1に変更した。このため、オープンソースとしてTerraformを利用してきたユーザやコミュニティでライセンス違反となり使用できなくなる懸念が生じている。Terraformはスタンダードな構成管理基盤として多くの組織で利用されており、HashiCorpのライセンス変更はこれらの組織
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
GitHubがPasskeyに対応し、パスワードレスでログイン可能に
GitHubはPasskeyの対応をパブリックベータとして開始したことを発表しました。従来のパスワードおよび2要素認証の代わりに、Passkeyによるパスワードレスな認証を行うことが可能になります。 Moving past passwords is for better account security. Today we’re launching passkey support on https://t.co/VDZYKUklba - you can enable passkeys today and ditch that password. https://t.co/nvTweiY0Tk — GitHub (@github) July 12, 2023 Passkeyを有効にするには、自分のダッシュボード画面から右上のアイコンをクリックし、表示されたメニューから「Feature Pre
あなたの会社でオープンソース担当部門を立ち上げて機能させるには? GitHubがドキュメント群をオープンソースで公開
この記事は新野淳一氏のブログ「Publickey」に掲載された「GitHub、あなたの会社にオープンソース担当部門「Open Source Program Office」を立ち上げて機能させるためのドキュメント群をオープンソースで公開」(2023年4月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 ソフトウェアの開発や運用において、さまざまなオープンソースが重要な役割を果たすようになってきており、現在ではオープンソースを抜きにソフトウェア開発や利用を行うことがほとんど困難な時代になってきました。 オープンソースと適切に関わり、活用や推進をしていくことは、ソフトウェアに関わる企業にとって(それ以外の企業にとっても)戦略的に取り組むべき事項になってきているといえます。 そうした中で「Open Source Program Office」(OSPO)と呼ばれる組織
「GitHub Sponsors」、企業からのスポンサーシップに対応
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GitHubは米国時間4月4日、「GitHub Sponsors」が企業からの資金提供によるスポンサーシップに正式に対応したことを発表した。 GitHub Sponsorsは、オープンソースソフトウェアの作成に携わっている開発者を資金面で支援するためのツールで、より持続可能なオープンソースエコシステムというビジョンとともに2019年に提供が開始された。現在までに世界の68の地域で3300万ドル以上がオープンソースを支援に向けて支払われたとGitHubは述べる。 GitHub Sponsorsは、個人による資金援助にこれまで対応していたが、オープンプロジェクトに対する需要の大部分は企業から来ており、企業も自らが依存しているプロジェクトをよ
[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO
セキュリティの観点から、GitHub Actionsからsave-stateとset-outputのコマンドが2023年5月31日を持って廃止されます。告知そのものは2022年10月11日に出ていました。ポイントは、期限以降はwarningメッセージにとどまらず、workflowそのものが実行失敗するようになる可能性を含むところです。 十二分に時間の猶予はあるはずですが、もしかして未だ対処していない、或いは知らなかったという人がいるかもしれないと思い、改めて書いてみることにしました。なお、DevIOの過去記事を見る限りではあまり触れられておらず、執筆勢が手を付けている範囲での利用例が無かったのかもしれません。 問題 現在、Actionsのrunnnerを2.298.2以降にした上でsave-state及びset-outputを利用するとwarningのメッセージが出力されます。 詳細は以下
![[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
GitHubがハッキングされる、デスクトップアプリの更新が必要
GitHubが「GitHub Desktop」や「Atom」に関連するリポジトリへの不正な侵入を検出したと報告しました。GitHubは証明書の無効化を実施しており、macOS版GitHub DesktopとAtomのユーザーに対してアップデートの適用を呼びかけています。 Action needed for GitHub Desktop and Atom users | The GitHub Blog https://github.blog/2023-01-30-action-needed-for-github-desktop-and-atom-users/ GitHubによると攻撃が発生したのは2022年12月6日で、攻撃者は不正な個人用アクセストークンを用いてGitHub DesktopやAtomの開発リポジトリをクローンしたとのこと。GitHubは翌日に攻撃を検出し、侵害された資格情報
「日本の開発者はプルリクエスト経由でコードを出す割合が最も高い」などGitHubの2022年のトレンドまとめ
GitHubリポジトリやオープンソース関連の分析を手がけるOSS Insightが、2022年のGitHub利用実態のトレンドを発表しました。これにより、各国の開発者の特色やオープンソース開発でよく使われる言語などの傾向が浮き彫りとなっています。 Open Source Highlights: Trends and Insights from GitHub 2022 | OSS Insight https://ossinsight.io/2022/ まず、2022年1月1日~9月30日までの期間にGitHubで発生したイベントを集計し、それらを行った開発者がいる地域の上位10カ国をまとめたのが以下です。日本の開発者はプルリクエストでコードを出すことが最も多く、日本の開発者による「PullRequestEvent」イベントの割合は「PullRequestEvent」イベント全体の10%でした
UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置
有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。 6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。 UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。 個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールな
GitHubユーザーの認証情報や二要素認証盗むフィッシングキャンペーンに注意
GitHubは9月21日(米国時間)、「Security alert: new phishing campaign targets GitHub users|The GitHub Blog」において、脅威者がCircleCIになりすましてユーザーの認証情報や二要素認証(2FA: Two-Factor Authentication)コードを窃取するフィッシングキャンペーンを展開し、GitHubユーザーを標的にしていたことを伝えた。GitHubはこのキャンペーンを2022年9月16日に知ったと伝えており、GitHub自体は被害を受けなかったが、多くの被害組織が影響を受けたと報告している。 Security alert: new phishing campaign targets GitHub users|The GitHub Blog このキャンペーンでは、ユーザーのCircleCIセッション
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを
UUUMグループ管理下の全ソースコードを取得可能な認証キーがGitHubで公開状態に | ScanNetSecurity
GitHubユーザーを標的とした新たなフィッシング詐欺 認証情報と2FAコードを窃取する手法とは
