サプライチェーンアタック対策とdependabot活用 | おそらくはそれさえも平凡な日々
注: 本記事は執筆時点(2026年4月)の情報をもとに書いています。実際のご利用にあたっては、公式ドキュメント等の最新情報を参照し、正確性を確認の上ご利用ください。 さて、axiosへの攻撃の件で、サプライチェーンアタックの恐ろしさを改めて感じさせられました。外部ライブラリを使う場合、基本的にはセキュリティ面も含めて最新バージョンを使いたいわけですが、その更新作業は脆弱性が入り込みやすいタイミングでもあるというジレンマがあるわけです。 なので、以下のようなポリシーとフローでの外部ライブラリ利用が現状の推奨要件と言えるでしょう。 基本は最新バージョンを使う 機能面、パフォーマンス、セキュリティ面でより良い 追随を怠ると更新が困難になり、新機能が使えないだけではなく、セキュリティリスクも高まる ただし、新バージョンリリース直後ではなく、しばらくしてから最新版を適用する 最新バージョンに問題が無
【必須】GitHubとnpmで脆弱なパッケージを入れないための防御設定 8選 - Qiita
はじめに こんばんは、mirukyです。 2026年3月31日、npmの Axios パッケージ(週間1億ダウンロード)がサプライチェーン攻撃を受けました。攻撃者はメンテナーへの標的型ソーシャルエンジニアリングでセッションを乗っ取り、悪意ある依存 plain-crypto-js を注入した axios@1.14.1 と axios@0.30.4 をレジストリに公開しました。このパッケージは postinstall フックで多段階RATを展開し、macOS・Windows・Linuxすべてに対応する本格的なバックドアを設置するものです。影響はOpenAIのmacOS署名パイプラインにまで及び、証明書のローテーションが実施される事態となりました。 OWASP Top 10:2025でも Software Supply Chain Failures(サプライチェーンの障害)が第3位 に新設される
Claude Code の流出したソースコードを GitHub に公開した人が著作権違反を回避した方法がヤバすぎ - Qiita
3月31日、AnthropicのAIコーディングツール「Claude Code」の全ソースコードが突如としてネット上に流出しました。 原因はなんと、npmパッケージに含まれた .map(sourcemap)ファイル 。 Bunでビルドしたときにデフォルトで生成されるsourcemapに、元々のTypeScriptソースが丸ごと埋め込まれていたのです。 これによりソースマップ経由でソースコードが流出しました。しかし、ヤバいのはここからです。 流出→即バックアップ→DMCA連発 最初に流出を報告したのは Fried_rice 氏。 公開されたZIP(src.zip)には、Claude Codeの全アーキテクチャ、システムプロンプト、ツール群、未公開機能フラグ(KAIROS、BUDDY、ULTRAPLANなど)、Undercover Modeまで完璧に含まれていました。 すぐに realsigr
GitHub Actions侵害 — 相次ぐ事例を振り返り、次なる脅威に備える
弊社ウェビナー ( https://flatt.tech/takumi/event/github-actions-compromise-202603 ) におけるCTO米内の講演資料です。
自分のOSSリポジトリにGitHubのセキュリティ設定を入れ、自分用の手順書を作った - $shibayu36->blog;
昨今GitHub上で提供されている有名なOSSに対して攻撃がなされることが多い(例: Nxの2025/08の事例)。自分もそこから学び、最低限GitHub上でセキュリティ周りの設定を入れた方が良いと考えた。 設定を考えるにあたって、とくに次の3つの記事が参考になった。 リポジトリを保護するためのクイック スタート - GitHub ドキュメント Nx の攻撃から学べること #s1ngularity | blog.jxck.io GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう これらを参考にAIと協力して最低限のセットアップドキュメントを作ったので共有する。もっとこういう設定を入れるべきなどあれば、教えてもらえると嬉しい。 GitHub OSS セキュリティ最低限セット チェックリスト [ ] Dependabot Alertsを有効化
VS Code + GitHub Copilotで「”半自動”マルチエージェント」開発をやってみた
はじめに 最近、AI開発のトレンドとして「マルチエージェント」という言葉をよく耳にするようになりました。 しかし、これを試すには複雑なPythonライブラリ(CrewAIやAutoGenなど)を導入したり、API利用料を気にしながらクラウドで動かしたりと、ハードルが高いのが現状です。 そこで本記事では、 普段使っている「VS Code」と「GitHub Copilot」だけ を使って、ローカル環境で疑似的にマルチエージェントシステムを構築・運用してみた事例を紹介します。 特別なツールや外部サービスは一切不要。「プロンプトファイルによる役割分担」という工夫だけで、いつもの開発体験がどう変わるのかを共有します。 そもそも「マルチエージェント」とは? 「マルチエージェント」を知らない方のために、簡単にイメージを説明します。 通常のチャットAI(ChatGPTやCopilot)が 「何でもできる一
ISMSの文書管理をGitHubに移行したお話 - カミナシ エンジニアブログ
コーポレートエンジニアの @sion_cojp です。 この記事では、ISMS関連の文書を Google Docs から GitHub に移行した理由と運用方法 について紹介します。 ISMSで管理する文書とは? ISMS(Information Security Management System)は、情報セキュリティを組織として継続的に管理・運用するための仕組みです。 ISO/IEC 27001(JIS Q 27001)は、そのISMSをどのように構築・運用・改善していくべきかを定めた規格になります。 例えば、規格では「付属書A 9.4.5 プログラムソースコードへのアクセス制御」が要求事項として定められており、これに対応する形で社内文書には「ソースコードのアクセスおよび管理方法」を記載します。 ISMS というと「文書が多い」「運用が大変」というイメージを持たれがちですが、本質は 文
GitHub Japanに入社しました | おそらくはそれさえも平凡な日々
しばらくフリーランスとしてフラフラしていましたが、縁とタイミングが合って、12/16付でGitHub Japanにシニアソリューションエンジニアとして入社しました。開発職ではなく技術営業職で、担当は主にエンプラ領域の予定です。 GitHubが好き 「SongmuさんてGitHub好きですよね」 Mackerelのプロダクトマネージャーをやっていた頃、一緒に事業を手がけていたビジネスマネージャーのnkakoさんにそう言われたことを覚えています。これは「そういうふうに見えているのか」という気付きを与えてくれました。GitHubはもちろん嫌いではありませんでしたが日常的に使うサービスなので、好き嫌いはそこまで意識してはいませんでした。 ただ、MackerelのPdM時代はかなりGitHubを意識していた事は確かです。個人の道具としても仕事でも使えることや使いたくなるサービスであることを目指してい
もうこれ以下は無理というぐらい最低限なバージョン管理
いいからgit使え もうファイル名に日付とか「最終」とか付けるな.文字しか書いてないWordファイルとかExcel方眼紙とかはこの際目をつぶる.それはもう仕方ない.だがファイル名によるバージョン管理だけは駄目だ. まずGitHubにアカウントを作れ.そんな名前も知らない会社のウェブサービスは使いたくないだって?お前Word使ってるだろ. それからSourceTreeをインストールしろ.そんな名前も知らない(略)お前Trello使ってるだろ.使ってない?今すぐ使え. よし,準備は出来たな. 新しい仕事を始める時,まず何をする?そう,空のフォルダを作るよな.ちょっと待った.今後は手元のコンピュータ上に空のフォルダを作るんじゃなくて,GitHubに作るんだ.GitHubに作るフォルダはリポジトリと言うぞ.リポジトリはただのフォルダじゃなくて,ファイルの履歴を管理できるんだ.うっかり全世界公開して
GitHub、マイクロソフトCoreAI部門の一部になることが明らかに。CEOのトーマス・ドムケ氏は退任
GitHub、マイクロソフトCoreAI部門の一部になることが明らかに。CEOのトーマス・ドムケ氏は退任 GitHub CEO トーマス・ドムケ氏は8月11日、同社CEOからの退任を発表しました。と同時に、GitHubはマイクロソフトのCoreAI部門の一部となることが明らかにされました。 After nearly four years as CEO, I’m leaving GitHub to become a startup founder again. With more than 1B repos and forks, 150M+ developers, and Copilot continuing to lead the most thriving market in AI with 20M users and counting, GitHub has never been st
自分のOSSのマルウェア入り偽物を作られたので通報した - 酒日記 はてな支店
物騒な世の中です。皆様お気をつけください。 3行でまとめ 自作の OSS、fujiwara/apprun-cli のマルウェア入り偽物を作られて GitHub で公開されました 偽物には大量の新規アカウントがスターを付けていたため、検索でオリジナルのものより上位に表示される状態でした GitHub に通報したところ、偽物を作ったアカウントはbanされたようです 経緯 2024年末に、さくらのAppRun用デプロイツール apprun-cli という OSS を公開しました。 github.com 2025年2月10日 12時過ぎのこと、謎の人物が X で apprun-cli を宣伝しているのを見つけました。 どう見ても自分の物と同じ(コピー)なのですが、妙にスターが多い。リポジトリをのぞいてみると、fork ではなくコードがすべて commit 履歴を引き継がない状態でコピーされ、スター
GitHubの削除されたリポジトリや非公開のリポジトリに誰でもアクセスできてしまうのは仕様通り
GitHubでは削除されていたりプライベートに設定されていたりするフォークやリポジトリに誰でもアクセスでき、さらにその動作が欠陥ではなく仕様通りであるとオープンソースセキュリティ企業のTruffle Securityがブログに投稿しました。 Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co. https://trufflesecurity.com/blog/anyone-can-access-deleted-and-private-repo-data-github GitHubでの一般的なワークフローとして、「新しいフォークを作成する」「コミットする」「フォークを削除する」というものを考えてみます。 この時、削除したはずのフォークの中身を誰でも確認できてしまうとのこと。
初心者大学生が作った機械学習ライブラリがGitHubでスター数300を超えた話 - Qiita
この記事について この記事では、プログラミング初心者の大学生である(であった)私が試行錯誤しながらなんとかスター数300越えのOSSライブラリを作った過程をまとめたものです。ライブラリ自体はまだまだ発展中のためこの記事も適宜更新してく予定です。ライブラリ自体の詳細というよりも、自作OSSの認知度を上げで他の人に使ってもらうために有用そうな知見をまとめていこうと思います。 ライブラリの概要 今私が作っているのは、AIJackという、機械学習モデルがもつセキュリティ・プライバシー上の脆弱性についての各種攻撃・防御手法を実験するためのPythonツールです。既存のライブラリの多くは特定の種類の攻撃や防御に特化したものが多く、複数のタイプの攻撃・防御を組み合わせて実験するためにはいくつものライブラリを組み合わせる必要がありました。そこでAIJackでは、できる限り統一的なAPIで様々な攻撃・防御手
結局Githubに学習履歴を統一した方が諸々良かった
改めて説明する必要もないのですが、本や動画サービスによるインプットに関してはマークダウン形式でまとながら行うため、そこまでアウトプットが苦ではありません。 逆に外部サービスを使った資格学習のための問題演習などは少し手間です。 読書や動画サービスのようにマークダウンにまとめながらアウトプットしてもよいのですが、資格系の問題演習は移動時間や隙間時間に利用することも多いので、都度Githubにコミットするのは難しいです。 なんとか作業を自動化したいので以下のような方法を利用するようにしてみました。 学習履歴のデータを取得する 例えばStudyplusではAPIが提供されています。 利用しているサービスによっては、このようにAPIを提供してくれていたりするので、これを利用してデータを取得します。 またサービスの利用規約を確認して、常識的な範囲で自身の学習履歴のデータをスクリプトを組んで取得するのも
GitHubに大量の悪質リポジトリ、その数“10万超” 感染するとパスワード流出の恐れ
GitHubでマルウェアを仕込んだリポジトリを本物に見せかけて拡散させる手口が横行し、10万を超す感染リポジトリが見つかっているとしてサイバーセキュリティ企業が注意を呼びかけている。攻撃は今も続いており、何も知らない開発者がこうしたリポジトリを使えば、マルウェアに感染してパスワードなどの情報が流出する恐れがある。 サプライチェーンのセキュリティ対策を手掛ける米Apiiroによると、GitHubのリポジトリを狙う「リポコンフュージョン(取り違え)攻撃」は2023年11月ごろから激化したという。 攻撃者は、開発者をだまして悪質なコードやファイルをダウンロードさせる目的で、正規のリポジトリのクローンを作成。そこにマルウェアを呼び出すコードを仕込み、同一の名称でGitHubにアップロードする。次に自動化の仕組みを使ってそれぞれを何千回もフォークさせ、Web上のフォーラムなどで宣伝しているという。
GitHub、1200台以上のMySQL 5.7を8.0へアップグレード。サービス無停止のまま成功させる
GitHub、1200台以上のMySQL 5.7を8.0へアップグレード。サービス無停止のまま成功させる GitHubが提供するGitHub.comは、世界最大のソースコード管理システムを始めとするソフトウェア開発者向け支援サービスを提供しています。 そのGitHub.comはRuby on Railsで構築されており、同社はつねにRubyとRuby on Railsをアップデートし続けていることを今年(2023年)4月に明らかにしています。 参考:GitHubは200万行規模のRailsアプリケーションであり、毎週RailsとRubyを最新版にアップデートし続けている そして同社はこのGitHub.comを支える1200台以上のMySQL 5.7を、GitHub.comのサービスレベルを維持したまま1年以上かけてMySQL 8.0にアップグレードしたことをブログで明らかにしました。 Up
「それは、本当に安全なんですか?」 セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ | ログミーBusiness
freee株式会社 PSIRT マネージャーのただただし氏ただただし氏:freee株式会社のただただしと申します。 今日は、「GitHub Copilot 導入時に考えたセキュリティのあれこれ」ということで、Copilotのセキュリティリスクについて語るわけですが、考えてみたら、GitHubの中の人を前にこんなことをしゃべるのは相当大胆な話だと思います。最後にいいことで締めるのでちょっと我慢してください。 自己紹介をいたします。ただただしと申します。PSIRTという組織でマネージャーをやっています。PSIRTというのは、プロダクト専門のセキュリティチームです。 そこでプロダクトの安全を守る仕事をしているわけですが、いろいろなことをやりつつ、この1、2年ちょいちょい話題に上がっていますが、freeeの大規模な全社障害訓練の仕掛け人なんかをしたり。 あとは、freeeは先日OSSポリシーを公開
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - googleworkspace/cli: Google Workspace CLI — one command-line tool for Drive, Gmail, Calendar, Sheets, Docs, Chat, Admin, and more. Dynamically built from Google Discovery Service. Includes AI agent skills.
「とほほのWWW入門」にMarkdownの解説が追加 ~GitHub/Qiitaの拡張記法まで網羅/書き換えるとプレビューが可能なサンプルエリアも便利
初めてのGitは電車で例えて学ぼう!初学者向け基本Gitコマンド入門 - Qiita
