印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます コンピュータソフトウェア協会(CSAJ)は2月2日、企業のソースコードがGitHubに無断公開された事案に関連して、クラウドサービスを利用する上での正しい理解と対応を求める声明を発表した。CSAJは「クラウドサービス利用の萎縮につながらないよう、節度ある情報セキュリティ設計を要請する」と表明している。 この事案では、1月下旬にシステム開発の委託を受けたエンジニアとされる人物が開発に関与したとする金融機関やITベンダーなどのソースコードをGitHubに無断で公開した。GitHubは世界中のソフトウェア開発現場で広く利用され、開発者にはおなじみのサービス。しかし、一部報道の影響で「GitHub」がTwitterトレンドに入るなど世間の関心が
私たちはGitHubのセキュリティ製品で大きな進歩を遂げてきました。ここでは、2020年のGitHubセキュリティのハイライトをご紹介します。 CodeQL: Gitをプッシュするたびにセキュリティレビューを実行 コードスキャンは、コードにセキュリティ上の問題がないかどうかをスキャンし、その結果を開発者のワークフローに統合します。セキュリティ解析は、プッシュごと、プルリクエストごとにスケジュールを組んで実行したり、アドホックに実行したりすることができます。GitHubのCodeQL解析エンジンを活用し、アプリケーションのデータフローをトレースして脆弱性を特定します。これにより、SQL インジェクションやクロスサイトスクリプティング、リモートコード実行など、コードの奥深くに潜むセキュリティ問題を発見することができます。また、静的分析、開発者のセキュリティトレーニング、コードとしてのインフラス
GitHubがコマンドラインでのGit操作時の認証方式のひとつである、パスワード認証を廃止すると発表しました。同サービスは2020年11月にREST API利用時におけるパスワード認証を廃止し、二段階認証などのトークン認証に移行しており、今回の発表はその範囲を拡大した形となります。 Token authentication requirements for Git operations - The GitHub Blog https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ 近年、GitHubは二段階認証やサインインアラート、デバイス認証、WebAuthnへの対応など、トークンを基盤としたセキュリティ機能の向上に力を入れてきたとのこと。トークンは「ユーザーごとに固有」「いつで
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GitHubは、Googleのセキュリティ研究チームであるProject Zeroによって3カ月以上前に報告されていた深刻なセキュリティ脆弱性にようやく対処した。 この問題は、GitHubの開発者向けワークフロー自動化ツールである「GitHub Actions」機能に存在しており、Project ZeroのリサーチャーであるFelix Wilhelm氏の言葉を借りると、これにより同ツールは「インジェクション攻撃に対して極めて脆弱なものになる」という。GitHub Actionsは、Actionsランナーと実行済みアクションの間のコミュニケーションチャネルとして動作する、ワークフローコマンドと呼ばれる機能をサポートしている。 Projec
Beatnewsは11月3日(米国時間)、「Google's Project Zero reveals details of 'high severity' security flaw with Microsoft's GitHub」において、Googleのセキュリティ調査チーム「Project Zero」が、GitHubにおける重要度の高いセキュリティ上の欠陥を報告していると伝えた。この脆弱性はGitHub Actionsのワークフローに関連したもので、悪用されるとワークフロー実行中に任意の環境変数を設定され、結果として意図しない挙動を引き起こされるおそれがあるという。 GitHub ActionsはGitHubにおいて提供されているソフトウェア開発のワークフローを自動化するサービスである。事前に設定しておいたトリガーに応じて任意のワークフローを実行することによって、開発工程におけるビル
GitHubは2020年9月30日(米国時間)、コードを本番環境に展開する前にコードの脆弱(ぜいじゃく)性を簡単に発見できるコードスキャン機能の一般提供を開始した。 GitHubはSemmleの買収で獲得したセマンティックコード解析エンジン「CodeQL」のコード解析機能をGitHubのネイティブ機能として提供することに取り組んできた。今回のコードスキャン機能は、CodeQLの機能をGitHubにネイティブに統合したものだ。2020年5月のβ版リリースを経て、今回正式版の提供を開始した。 β版では1万2000以上のリポジトリが140万回スキャンされ、リモートコード実行(RCE)やSQLインジェクション、クロスサイトスクリプティング(XSS)といった脆弱性を含む2万以上のセキュリティ問題が見つかった。 マージ前のプルリクエストで報告があったセキュリティ上の問題の72%を、報告から30日以内に
GitHub、脆弱性自動検知のコードスキャン機能を追加2020.10.05 12:30 Rhett Jones - Gizmodo US [原文] ( そうこ ) オクトキャットが好き。 世界最大のソースコードのホスト、GitHub。開発側ではないフツーの人には縁がないサービスでありながら、これがないとフツーの人の世界もきっと回っていないという非常にありがたい存在。そのGitHubに、さらにありがたい機能が追加されました。先週水曜日の発表から、脆弱性を自動検知してくれるコードスキャニング機能が提供スタートしています。 話は一瞬遡り、去年のこと。GitHubを傘下に持つMicrosoftがSemmleという、コード解析エンジンを開発した企業を買収しました。このコード解析エンジン、実はUber、NASA、Googleという名だたる大手のコードのセキュリティ脆弱性を見つけるのに使われていたもの。
GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料 GitHubは、リポジトリに保存されているソースコードをスキャンすることで脆弱性やエラーなどを発見してくれる新機能「GitHub Code Scanning」が正式版として提供開始されたことを明らかにしました。 Code scanning is here! Prevent issues in code by automating security as a part of your workflow. Free for public repositories Developer-first, GitHub native Enabled for GitHub Enterprise Cloud Learn more! https://t.co/2SSCjb
SecurityGit Credential Manager Core: Building a universal authentication experienceAuthentication is a critical component to your daily development. When working in open source, you need to prove that you have rights to update a branch with git push. Additionally… Authentication is a critical component to your daily development. When working in open source, you need to prove that you have rights t
[追記] gitに脆弱性が!Updateしなきゃ! でもyumに最新版がないし、ソースから入れたらエラった!ときのメモLinuxGitAWSUbuntuupdate git インストール linux編としても読めます。 現状(2020/04/20) の AmazonLinux Git最新Ver.git-2.14.6-1.62.amzn1の模様。(ダメみたいですね 追記(2020/05/05) @SSW-SCIENTIFIC さんのご指摘通り、上記linuxyum の git-2.14.6-1.62にセキュリティ修正パッチが適用されており、今回の脆弱性で言えば、Gitのコンパイル インスコ更新は必要ではありません。 この記事は学生時代の試験範囲外の板書ノート程度に考えて下さい。 発熱の為、追記更新が遅れたことをお詫びします。(幸いコロナではありませんでした) 追記: 今日(2020/04/2
バージョン管理システムについておさらい Gitというのはバージョン管理システムで広く世の中に使われています。あのLinuxの大元を作ったLinusさんが2週間で作ったっていうのは有名な話です。 hyoshiok.hatenablog.com だいたい、バージョン管理システム自体が一般の人々にとってはなんじゃらほいですよね。プログラマーが主に使います。プログラムって、どんどん修正していきますよね。で、修正したら機能が追加されたり動きが良くなったりするのですが、たまにとんでもないバグが埋め込まれていたりします。で、aaa.prgというソースコードを作っていて、aaa.prg.20200418とかってファイルを作ったりして古いソースコードファイルのバックアップを取ったりすると、そのうちバックファイルだらけになったり、バックアップを戻したタイミングで戻るべきではないものまで戻ったりして、現場は大混
分散型バージョン管理システム「Git」に深刻な脆弱性が含まれていることがわかった。アップデートがリリースされている。 同システムの「credential helper」において改行を含む細工したURLを用いることで、Gitクライアントより認証情報を任意のホストに送信させることが可能となる脆弱性「CVE-2020-5260」が明らかとなったもの。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.3」で「クリティカル(Critical)」とレーティングされている。 脆弱性の判明を受けて、開発チームでは脆弱性へ対処した「同2.26.1」「同2.25.3」「同2.24.2」「同2.23.2」「同2.22.3」「同2.21.2」「同2.20.3」「同2.19.4」「同2.18.3」「同2.17.4」をリリース。また脆
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く