![「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ](https://cdn-ak-scissors.b.st-hatena.com/image/square/6a49e49274a6f72b9cecdd6611c5e73d98ba5a90/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F1591%2F601%2Fgit_for_windows.jpg)
ITジャーナリスト/Publickeyブロガー。IT系の雑誌編集者、オンラインメディア発行人を経て独立。2009年にPublickeyを開始しました。 GitHubは、脆弱性のあるコードをAIボットが自動的に発見、修正したコードとその解説をプルリクエストしてくれる「code scanning autofix」(コードスキャン自動修正機能)を発表しました。 下記がそのコードスキャン自動修正機能の説明です。「Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL」から引用します。 Powered by GitHub Copilot and CodeQL, code scanning autofix covers more than 90% of alert types
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年(2023年)3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G
はじめに イメージ 実行 フローチャート しんどいポイント VS インタラクティブな操作 APIからstdoutが取れるが、途中で切れる sudoでコマンド叩こうとするとttyがなくてエラーになったが… 実装 Issueへのコメントを実行トリガーにする 実行トリガーのコメントにリアクションでいいねをつける Issue本文からコマンドと対象インスタンスを取得する サンプルIssue本文 コマンドの取得 インスタンスIDの取得 OIDCでAWSへの操作権限を安全に取得する 【参考】IAMロールの権限 OIDCで権限の取得 コマンドの実行 実行結果の取得 実行結果をissueにコメントで貼り付ける debugに役にたつ結果をissueにコメントで貼り付ける 作ってみて はじめに インフラGの鈴木です。先日高知競馬で負けた後、朝5時に起き、エクストリーム出勤してこの記事を書いています。 ところで、
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023 GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。 今回発
GitHub Advanced Security for Azure DevOps(GHAzDO)とは?GHAzDOでできることと始め方をまとめたGitHubAzureGHAzDO はじめに 2023/9/20にGitHub Advnaced Securityの機能をAzure DevOpsで利用できるGHAzDOが一般公開されました。本記事では、GHAzDOの導入を検討している人向けに、始め方をできることをまとめて紹介します。 GHAzDOを使うことで、コードスキャン、シークレットスキャン、依存性スキャンによるワークフロー内のセキュリティチェックを自動化することができます。これらの機能によって、開発者はソフトウェア開発のライフサイクルの中で、コードを本番環境にデプロイする前に問題を発見して修正することができます。さらに、GHAzDOはDefender for Cloudと連携することがで
はじめに こんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回の記事ではその脆弱性に関して解説を行います。 なお、本記事で解説している脆弱性はGitHub Bug Bountyプログラムのセーフハーバーに則り行われた脆弱性調査の結果発見され、公開を行う許可を得たものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 GitHubが開発するプロダクトやサービスに脆弱性を発見した場合は、GitHub Bug Bountyへ報告してください。 GitHub Enterprise Im
符合付き整数や有理数、浮動小数点数を扱う任意精度演算ライブラリで、オープンソースソフトウェアのGNU Multi-Precision Library(GMP)が、2023年6月16日にMicrosoftが保有する数百ものIPアドレスからDDoS攻撃を受けていると報告しました。Microsoftとその傘下のGitHubによる調査の結果、GitHubのユーザーがFFmpeg-Buildsのスクリプトを書き換えたことが原因であることが明らかになっています。 The GNU MP Bignum Library https://gmplib.org/ Microsoft's GitHub 'DDoSes' open source GMP project • The Register https://www.theregister.com/2023/06/28/microsofts_github_gm
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
セキュリティの観点から、GitHub Actionsからsave-stateとset-outputのコマンドが2023年5月31日を持って廃止されます。告知そのものは2022年10月11日に出ていました。ポイントは、期限以降はwarningメッセージにとどまらず、workflowそのものが実行失敗するようになる可能性を含むところです。 十二分に時間の猶予はあるはずですが、もしかして未だ対処していない、或いは知らなかったという人がいるかもしれないと思い、改めて書いてみることにしました。なお、DevIOの過去記事を見る限りではあまり触れられておらず、執筆勢が手を付けている範囲での利用例が無かったのかもしれません。 問題 現在、Actionsのrunnnerを2.298.2以降にした上でsave-state及びset-outputを利用するとwarningのメッセージが出力されます。 詳細は以下
アメリカのサイバーセキュリティ・社会基盤安全保障庁(CISA)が2023年2月8日に、ランサムウェア「ESXiArgs」の被害を受けた仮想マシンの復元用ツール「ESXiArgs-Recover」をリリースしました。ESXiArgsは2月上旬から世界的に猛威を振るっており、フロリダ州の裁判所システムなどを含む3800台以上のサーバーが被害を受けたと報告されています。 ESXiArgs Ransomware Virtual Machine Recovery Guidance | CISA https://www.cisa.gov/uscert/ncas/alerts/aa23-039a CISA releases recovery script for ESXiArgs ransomware victims https://www.bleepingcomputer.com/news/secur
はじめに 以前の記事で作成したチャット WEB アプリにログイン機能を作成したいと考えているのですが、パスワード認証だと面白みがないな...と思いソーシャルログインについて調べています。 勉強がてら Github のアカウントで簡単な OAuth を行うアプリケーションを作成したので、チュートリアルとして残します。 ソースコードはこちらです https://github.com/iwsh/oauth-tutorial/tree/v1.0.1 画面 実現したい処理の流れ 大きな流れとしては以下の 5 ステップです Github の OAuth ページに移動 Github でアプリを許可し、アプリケーションにリダイレクトして一時 code を連携 一時コードをバックエンドに連携 バックエンドで一時コードを使用して認証トークンを取得 認証トークンを使用してユーザ情報を Guthub から取得し、
GitHubが提供するブラウザからアクセス可能な無料のクラウド開発環境「Codespaces」を使い、マルウェアをホスト・配信することができることを、セキュリティ企業のトレンドマイクロが指摘しています。 Abusing a GitHub Codespaces Feature For Malware Delivery https://www.trendmicro.com/en_us/research/23/a/abusing-github-codespaces-for-malware-delivery.html How attackers might use GitHub Codespaces to hide malware delivery | CSO Online https://www.csoonline.com/article/3685419/how-attackers-might-
有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。 6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。 UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。 個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールな
[GitHub Actions] Snyk Node Actionを使ってCI Workflow上で脆弱性のチェックをしてみた こんにちは、CX事業本部 IoT事業部の若槻です。 Snykは、ソースコードをスキャンしてOSSやコードなどに含まれる脆弱性を独自のデータベースやインテリジェンスをもとに検出することができるセキュリティプラットフォームです。 Snyk | Developer security | Develop fast. Stay secure. 今回は、GitHub ActionsでSnyk Node Actionを使ってCI Workflow上でNodeプロジェクトの脆弱性のチェックをしてみました。 やってみた Snyk Tokenの取得、設定 GitHub ActionsからSnykに接続するためのTokenを取得および設定します。 SnykのAccount Settin
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く