VSCodeのGitHubリポジトリに対する不正なPushアクセス
はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。 要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。 発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま
Redirecting…
Redirecting… Click here if you are not redirected.
GitHub Actions の self-hosted runner と Amazon EKS を使った Docker の Build Pipeline/Build Pipeline for Docker with GitHub Actions self-hosted runner and Amazon EKS
Kubernetes Meetup Tokyo #32 on 7/28 発表資料
New GitHub Pages domain: github.io
EngineeringNew GitHub Pages domain: github.ioBeginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross domain attacks targeting the… Beginning today, all GitHub Pages sites are moving to a new, dedicated domain: github.io. This is a security measure aimed at removing potential vectors for cross
How we threat model
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
How to safely use GitHub Actions in organizations - Human Who Codes
GitHub Actions1 are programs designed to run inside of workflows2, triggered by specific events inside a GitHub repository. To date, people use GitHub Actions to do things like run continuous integration (CI) tests, publish releases, respond to issues, and more. Because the workflows are executed inside a fresh virtual machine that is deleted after the workflow completes, there isn’t much risk of
Use GitHub actions at your own risk
It all started with a tweet that I made mid december: Am I the only one scared about sharing my access tokens to random @github actions found on the marketplace ? What if one day those random-action@master stored my tokens ? Wouldn't it be as easy as taking control as maintainer of an old action that everybody uses ? — Julien Renaux (@julienrenaux) December 12, 2019 I had a hunch that using Github
yamory | 脆弱性管理クラウド | SBOM対応
株式会社アシュアードが提供するyamoryは、ソフトウェア内部の構成(SCA:ソフトウェアコンポジション解析)からホスト/コンテナ/クラウド/ネットワーク機器など全レイヤーに対応した脆弱性管理ができる国内唯一のクラウドサービスです。 独自のリスクデータベースの活用で、クラウドの設定不備、OSSのライセンス違反やEOLリスクの検知も可能です。
GitHub Security Alertを元にIssueを作成するCLIを書いた
@security-alertというGitHub Security Alertを扱うコマンドラインツール群を作りました。 GitHub Security Alertは、リポジトリに含まれるnpmやgemなどのパッケージの脆弱性情報を通知した一覧管理できる仕組みです。 詳しくは次のドキュメントで紹介されています。 About security alerts for vulnerable dependencies - GitHub Help このGitHub Security AlertからDependabotを使った修正PatchのPull Requestを作成できるようになっています。 一方で、Pull Requestしか作れないため、そのAlertに対してメモや議論するためのIssueを作るのが面倒でした。 そのため、GitHubにGitHub Security Alertの内容を含んだ
Yarn support for security alerts
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
npm Blog Archive: Protecting Package Publishers: npm Token Security and Hygiene now Extend to GitHub
The npm blog has been discontinued. Updates from the npm team are now published on the GitHub Blog and the GitHub Changelog. Protecting Package Publishers: npm Token Security and Hygiene now Extend to GitHub Today, we’re excited to announce that, in collaboration with GitHub’s token scanning partnership program, we’ve taken our existing token revocation efforts a step further. Whenever you commit
ソースコードの安全性を維持する新機能をリリース
私たちはお互いに深くつながり合ったコミュニティの一員であり、私たちが開発するソフトウェアは他のメンバーの作業に基づいて開発されています。新規のソフトウェアプロジェクトの99%にオープンソースコードが使用されており、膨大な量のコードの再利用によって、かつて無いほどスピーディーにソフトウェアを開発できるようになっています。一方で、このような依存関係があるため、脆弱なソフトウェアが配布されてしまうと、私たち全員がリスクにさらされます。すべての開発者が、セキュリティに配慮する開発者になるという重要性が、これまで以上に高まっています。すなわち、誰もが脆弱性情報を開示し、パッチ処理を迅速に行う責任を負っています。 GitHubは、開発者が容易にソースコードの安全性を向上できるを新たなセキュリティ機能を発表しました。 WhiteSourceのデータによるセキュリティ脆弱性アラート:GitHubは2017
Dependabot is joining GitHub
Dependabot has been acquired by GitHub and we couldn't be more excited! Here's what you need to know: We're integrating Dependabot directly into GitHub, starting with security fix PRs 👮♂️ You can still install Dependabot from the GitHub Marketplace whilst we integrate it into GitHub, but it's now free of charge 🎁 We've doubled the size of Dependabot's team; expect lots of great improvements ove
全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG
はじめまして。2019年1月に入社したSREスペシャリストのsonotsです。最近MLOpsチームのリーダーになりました。今回の記事はMLOpsの業務とは関係がないのですが、3月に弊社で実施した会社用GitHub個人アカウントの廃止について事例報告します。 TL;DR 会社用GitHubアカウントを作るべきか否か問題 会社用GitHubアカウントの利用で抱えた問題 1. OSS活動時にアカウントを切り替える必要があり面倒 2. GitHubの規約に準拠していない 会社用アカウントを廃止した場合にセキュリティをどのように担保するか GitHubのSAML single sign-on (SSO)機能について 会社用アカウントの廃止およびSSO有効化の実施 会社用GitHubアカウントを使い続ける場合 私用GitHubアカウントに切り替える場合 Botアカウントの場合 Outside Coll
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Get a repo-scoped GitHub Access Token quickly
GitHub - dependabot/dependabot-core: 🤖 The core logic behind Dependabot's update PR creation
GitHub - GoogleCloudPlatform/wombat-dressing-room: proxy designed to reduce the attack surface of npm publish
https://events19.linuxfoundation.org/wp-content/uploads/2018/07/GitHub-Security-Alerts-OSLS-Presentation.pdf
GitHub - github/enable-security-alerts-sample: This repository contains a sample script which can be used to enable security vulnerability alerts in all of the repositories in a given organization.
https://www.whitesourcesoftware.com/GitHubSecurityAlerts