こんにちは、PSIRTのWaTTsonです。 昨年の夏頃に、「Dependabot alertをSlackに通知して、トリアージ運用に役立てる仕組みを作ってみた」という記事を投稿しました： developers.freee.co.jp ここでは、新しく報告されたDependabot alertをSlackに通知し、Jiraチケットを作成してPSIRTメンバーをアサインし、トリアージを行って各開発チームのチャンネルにメッセージを送信する、という仕組みについて説明しました。 今回は、この中でPSIRTメンバーがトリアージをする時にどういう風なことをしているのかを書いてみたいと思います。 過去に私自身にアサインされた事例の中から1つ、具体例を挙げて見てみましょう。執筆に時間をかけてしまったせいでちょっと古い例ですが、2024年3月頃アラートが上がったにRDoc RCE vulnerability

星野源にまつわる情報やコンテンツをディープにお届けするメンバーシップサイト。星野さんから毎月届く写真での近況報告や、年4回のトーク生配信、対談や関係者へのインタビュー記事など企画はさまざま。毎月2回の更新に加えライブチケット先行受付やオリジナルグッズ販売なども予定しています。 2024年6月1日に発足から1周年を迎えた、星野源にまつわる情報やコンテンツをディープにお届けするメンバーシップサイト『YELLOW MAGAZINE＋』。今回、1周年記念スペシャル企画として、ウェブライターのARuFaさん、エッセイスト＆小説家のダ・ヴィンチ・恐山さんをお招きし、星野さんとの鼎談をお届けします。 ウェブメディア『オモコロ』やYouTubeチャンネル『オモコロチャンネル』を中心に幅広く活動されているお二人。星野さんは以前からネットラジオ『匿名ラジオ』を始めとしたお二人の手がけるコンテンツを、ネット上の

Render hooks とは、ReactにおいてカスタムフックからJSX式を返す設計パターンのことです。リンク先は私が当時在籍していた会社のテックブログに書いた記事で、当時の会社でこの設計パターンがハマる箇所に出会ったためアイデアを記事化したものです。ちなみに、Render hooksという命名は私ではなく当時の私の上司です。 私は当時から今までずっとこのパターンを推奨しているのですが、あまり流行る気配がありません。そこで、この記事では皆さんがこのパターンの考え方にもう少し納得できるように、render hooksパターンは普通のコンポーネントの拡張であるという見方をご紹介します。 Render hooksパターンの概要 Render hooksパターンは、UIの実装（JSX）と、そのUIに関連するロジック（たとえばステート）をまとめてカスタムフックから提供することを指します。簡単な例を

後藤ひとり役・青山吉能が語る、映画館で味わう結束バンドの物語への期待――『劇場総集編ぼっち・ざ・ろっく！ Re:』公開記念インタビュー 極度の人見知りで陰キャな少女・後藤ひとりと、彼女がメンバーとして加入する4人組バンド・結束バンドの活動と成長を描くTVアニメ『ぼっち・ざ・ろっく！』。2022年に放送されて一躍話題作となった本アニメを再編集した劇場総集編の前編『劇場総集編ぼっち・ざ・ろっく！ Re:』が、6月7日より映画館で公開される。そこで今回は主人公の後藤ひとり役を務める声優・青山吉能に直撃。本作の見どころや期待しているポイント、結束バンドとしてのリアルライブをはじめ広がり続ける作品への想いについて話を聞いた。 INTERVIEW & TEXT BY 北野 創 大迫力のスクリーンと音響だからこその『ぼっち・ざ・ろっく！』 続きを読む

日本セキュリティオペレーション事業者協議会（ISOG-J）は5月24日、「脆弱性トリアージガイドライン作成の手引き」を公開した。

Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet06/26/2024 polyfill.io, a popular JavaScript library service, can no longer be trusted and should be removed from websites. Multiple reports, corroborated with data seen by our own client-side security system, Page Shield, have shown that the polyfill service was being used, and could be used again, to inject ma

May 30, 2024 Disrupting deceptive uses of AI by covert influence operations We’ve terminated accounts linked to covert influence operations; no significant audience increase due to our services. OpenAI is committed to enforcing policies that prevent abuse and to improving transparency around AI-generated content. That is especially true with respect to detecting and disrupting covert influence ope

2024年6月3日 夢展望[3185]の開示資料「不正アクセスによる当社子会社公式ホームページのドメイン盗難についてのご報告」 が閲覧できます。資料はPDFでダウンロードできます

いろいろな事業の起ち上げやグロースに関わっていると、時々思うことがあるんで今日はぼんやりそれについて書きます。ぼんやり。 事業やサービスを伸ばすのに、ともかく手数が大事なときがあるなーと思うこともあれば、急がば回れ的に、無理せず安定させることが大切な場合もあるなあと。 色々な状況があるのは当たり前のはずですが「ともかく行動」とか「ストレッチした目標がある方が良い」なんていう固定化された考えを持っている人も多い気がします。 そんなのは事業のフェーズによって戦略や必要な考え方は変化するもので、この考え方が正しいなんてものではなく「この考え方はこの事業のこのフェーズに合っているか」という観点が割と大事なんじゃないかなと思っています。 サブスクのSaaSなんかを売っていくときには、どこからリードが来て、そこからユーザーになるまで(また、その後も)どういう変化があるのか考えてモデル化したりするのです

試行回数の増やし方 2021年度版です

Oliver Grubin Sr. Staff Software Engineer, Security Slack uses cookies to track session states for users on slack.com and the Slack Desktop app. The ever-present cookie banners have made cookies mainstream, but as a quick refresher, cookies are a little piece of client-side state associated with a website that is sent up to the web server on every request. Websites use this piece of information to

こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか？(挨拶 今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。 資料 解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする「日本語で」学習するための良いAWSセキュリティのコンテンツたちを紹介します。 紹介するコンテンツは、最近実施しているAWSセキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini Security-JAWS Docsです。 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いま

一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度

バイナリを眺めてわかる gob encoding の仕様と性質、適切な使い方 / understanding gob encoding