“シークレット”が危ない!?―GitHub Copilotがもたらす新たなセキュリティリスク |ブログ(サイバー領域)|(株)コンステラ セキュリティ ジャパン
セキュリティ研究者は、Copilot、CodeWhispererからハードコードされた有効なシークレットを取り出すことに成功。シークレットの拡散に関連した新しい形のセキュリティリスクが見えてきた。 本記事は、GitHubなどから流出したシークレットをリアルタイム検知するサービスを提供するGitGuardian社のWebサイトで公開された記事をテリロジーワークスが日本語に翻訳したものです。 (原題)Yes, GitHub’s Copilot can Leak (Real) Secrets このところ、ChatGPTやOpenAIのGPT技術といった先進的言語モデルに伴う倫理上、プライバシー上の懸念に注目が集まっています。こうした懸念により、これら先進的言語モデルの使用による潜在的なリスクという、重大な問題が浮上しています。ただし、注意が必要なのはこうした汎用言語モデルだけではありません。コー
【セキュリティ ニュース】「生成AI」の出力コードに過信は禁物 - 安全性の確認を(1ページ目 / 全2ページ):Security NEXT
機械学習のもとさまざまなデータを出力できる「生成AI」。プログラムコードなども生成でき、ソフトウェア開発にプログラマーが不要になるとの声も一部聞かれる。しかしながら、出力されたコードが脆弱性に配慮しているとは限らず、過信すると思わぬ事故につながるおそれもあるとして専門家が警鐘を鳴らしている。 EGセキュアソリューションズで取締役CTOを務める徳丸浩氏は、記者説明会で2023年を振り返り、気になったインシデントのひとつとして、コンビニエンスストアの複合機による自治体の証明書発行サービスにおいて別人の証明書が交付された問題を取り上げた。 同問題では、システムにおいて排他処理などが正しく行われておらず、タイミングが近接した処理で競合状態(レースコンディション)が発生。出力するファイルが無関係のデータによって上書きされてしまい、情報流出につながった。 同氏は、基本的なトランザクション管理や排他制御
ChatGPTで生成されたコードのセキュリティリスクと対処方法 | トレンドマイクロ
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」--Snyk調査
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。 これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。 ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。 2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエス
既知の脆弱性を含むコード、時間がなければ仕方なくデプロイする? | スラド セキュリティ
Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ (Checkmarx のブログ記事、 BetaNews の記事)。 報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイして
「GitHub Copilot」のAIが自動生成するコードはどのくらい安全か? 研究者らが脆弱性を検証
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米New York UniversityとカナダのUniversity of Calgaryの研究チームが発表した論文「Asleep at the Keyboard? Assessing the Security of GitHub Copilot’s Code Contributions」は、コードを自動生成する「GitHub Copilot」において、生成したコードがセキュリティ面でどれくらい安全かを調査した研究報告だ。結果、実験で生成したコードの約40%に脆弱性が発見された。 ソフトウェア開発者は、コードを迅速に作成することが求められるため、生産性を向上させる新しいツールや技術を常に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サイバー犯罪者も「ChatGPTを使ってコーディング」をしている チェック・ポイント
