社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。 こんにちは。メルコインのバックエンドエンジニアの@goroです。 はじめに このGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。 今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。 ガイドラインにおける目標 このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと
すべてのパブリックリポジトリに対してSecret scanningアラートの一般提供(GA)を開始
2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版の提供開始をお知らせしました。リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージにとても大きく貢献しています。 GitHubは、すべてのパブリックリポジトリを対象に、無料で利用できるSecret scanningアラートの提供を開始しました。お使いのすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。 GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しています。シークレ
HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)
2022年4月16日(日本時間)にアナウンスがあった、Heroku/Travis-CIのOAuthトークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナー向けと個人向けで分けてあります。 追記: 複数の補足のコメントを頂き、記事にも取り込んでいます。ありがとうございます! 注意 執筆者はGitHub, Heroku, Travis-CIの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最新情報は必ず公式サイトをご確認ください。 GitHub Heroku Travis CI インシデントの概要 GitHubがHerokuとTravis-CIのOAuthアプリケーションに発行したトークンが流出・悪用したことで、それらの連携が有効だった多くのOrgani
GitHubに過去最大級のDDoS攻撃--「memcached」を悪用
GitHubが、過去最大規模とみられるDDoS攻撃を受けたことを明らかにした。 GitHubに対する最初の攻撃は最大1.35Tbpsに達し、2度目の攻撃は400Gbpsだった。つまり、これは記録されている限り過去最大のDDoS攻撃ということになる。これまで、最大の攻撃はおよそ1.1Tbpsだった。 GitHubは開発者向けブログで、GitHub.comがDDoS攻撃の影響で協定世界時28日17時21分から17時26分まで利用できなくなり、17時26分から17時30分までは断続的に利用不可となっていたことを明らかにした。 GitHubは、この攻撃で「ユーザーのデータの機密性や完全性が危険にさらされる」ことは全くなかったとしている。 「2月28日17時21分から17時30分までの間、われわれは膨大な量のDDoS攻撃を検知し、これに対処した。この攻撃は、数万に及ぶ固有のエンドポイントにわたる10
Facebook、新たなパスワードリカバリー手段「Delegated Recovery」を発表
米Facebookは現地時間2017年1月30日、パスワードリカバリーの新たな認証手法「Delegated Recovery」を発表した。ソースコード共有サービス「GitHub」と協力し、1月31日よりGitHubユーザーを対象に限定提供する。 パスワードを忘れてしまった場合、アクセス復旧の一般的な手段として、秘密の質問への回答、パスワードリセット要求の電子メール送信やSMS送信などが使われる。しかしいずれもセキュリティが十分とは言えないと、FacebookのBrad Hillセキュリティエンジニアは述べている。 Delegated Recoveryを用いたパスワードリカバリーでは、あらかじめFacebookアカウントでリカバリートークンを登録する。GitHubアカウントへのアクセスを復旧しなければならない状況に陥った場合に、Facebookにログインして同トークンをGitHubに送信する
GitHubで署名されたコミットにバッジが表示されるようになったので設定してみる - Qiita
まずはこちらの画像をご覧ください。 GitHubのコミット履歴ですが、コミットのSHAの左に見慣れないものが表示されていますね。 クリックするとこのような情報が表示されます。 実は、2016/4/6からGitHubはGPGによりデジタル署名されたコミットやタグにバッジを表示するようになりました。 この記事はその設定ガイドです。私の環境はWindowsですが、すべてコマンドラインとブラウザ上での操作なのでMacやLinuxでも同じように行えます。 1. GPGのインストール Git for Windowsを使っている場合は、GPGが同梱されているため追加のインストールは不要です。 それ以外の方はパッケージマネージャを使ってインストールするか、こちらからツールをダウンロードします。トップにはソースコードのリンクが掲載されており、バイナリのダウンロードリンクは下のほうにあります。 画面の指示に従
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウド破産しないように git-secrets を使う - Qiita
GitHubが安全性に問題のあるSSH鍵を無効化