GitHub、npmの“強化したセキュリティ機能”をより使いやすく改良 | gihyo.jp
GitHubは、同社が管理するJavaScriptパッケージリポジトリnpmにおいて、以下のようなセキュリティ機能関係の改善を発表した。 npmコマンドラインインターフェースによる、ログインおよびパブリッシュの効率化 npmへの2FA(2要素認証)の導入により、利用者はログイン時やパッケージ登録時に煩雑な操作を行う必要があったが、npm8.15.0より、ログインおよびパブリッシュの認証をブラウザ上で管理することができ、既存セッションを使用してログインする場合は2要素めの認証を省くことができるようになった。またパブリッシュの場合も、–auth-type=webフラグによりオプトインして使用する場合は2FAを5分間回避できる(npm9からはデフォルトで実装)。 GitHub/Twitterアカウントからnpmへ接続可能に npmのアカウントをGitHubアカウントやTwitterアカウント
GitHub Actions利用時のnpm ciの時間を短縮する - APC 技術ブログ
はじめに 以前 「Azure Pipelines利用時のnpm ciの時間を短縮する」という投稿で、Azure Pipelinesでのビルド成果物のキャッシュをご紹介しました。 今回は同様のことをGitHub Actionsで行ってみたいと思います。 キャッシュを活用する npmのキャッシュ 早速指定をしてみたいと思います。 今回利用するのはAngularプロジェクト。 もともとの GitHub Actionsの指定は次のようなものです。 jobs: build: name: build angular runs-on: ubuntu-latest steps: - name: Checkout repo uses: actions/checkout@v3 with: fetch-depth: 0 - name: Use Node.js uses: actions/setup-node@v
GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は?
GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。 Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators | The GitHub Blog https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/ Incident 2413 | Heroku Status https://stat
GitHub's commitment to npm ecosystem security
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
GitHub Actions で yarn install を爆速にしたい
- name: Get yarn cache directory path id: yarn-cache-dir-path run: echo "::set-output name=dir::$(yarn cache dir)" - uses: actions/cache@v2 id: yarn-cache # use this to check for `cache-hit` (`steps.yarn-cache.outputs.cache-hit != 'true'`) with: path: ${{ steps.yarn-cache-dir-path.outputs.dir }} key: ${{ runner.os }}-yarn-${{ hashFiles('**/yarn.lock') }} restore-keys: | ${{ runner.os }}-yarn- これは
モノリポの一部をGitHub PackagesのプライベートNPMパッケージで公開する | DevelopersIO
まえがき 案件でサーバーとクライアントがJavaScript/TypeScriptで作られてる場合、サーバーとクライアントでAPIの型定義やバリデーションのユーティリティーなどを共通化したくなります。 共通化する部分だけを別リポジトリに切り出すと、開発中公開しないと使えないので面倒です。今回はサーバー側にYarn Workspaces モノリポ(モノリシックリポジトリ)の共通化部分をNPMで公開します。 また案件で使うときは共通化はしたいけど、パブリックに公開したくはないっという矛盾があります。プライベートNPMとして公開できるにようにします。 要件まとめ サーバーもクライアントもプライベートリポジトリで管理されている サーバー側が共通化ソースを含むモノリポ構成になっている クライアント側はNPMパッケージとして読み込む 非公開のNPMパッケージとして公開したい 今回はGitHub Pac
NodeJS malware caught exfiltrating IPs, username, and device information on GitHub - Security Report
GitHub、npmの買収完了を発表。npmレジストリ基盤とプラットフォームへの投資など強化
GitHubは、JavaScriptのパッケージ管理サービスを提供するnpmの買収を3月に発表していましたが、その買収が完了したことが発表されました。 これによりnpmは正式にGitHubの一部となりました。 npmはただちに次の分野にフォーカスした作業を開始するとのこと。すなわち、コミュニティとの対話、npmのレジストリ基盤とプラットフォームへの投資、基本的体験の改善です。 Engaging with the community Investing in the registry infrastructure and platform. Improving the core experience. そもそもnpmとはNode Package Managerの略で、Node.jsでJavaScriptのパッケージを管理するソフトウェアおよび、そのソフトウェアと連携したパッケージのレジストリ
GitHub、パーソナライズした「あなたがコントリビュートしやすいオープンソースのイシュー」を機械学習で推奨してくれる機能など公開
GitHub、パーソナライズした「あなたがコントリビュートしやすいオープンソースのイシュー」を機械学習で推奨してくれる機能など公開 オープンソースになにか貢献したいと考えたとしても、どこから手を付けたらいいのか、自分が貢献できそうなプロジェクトやイシューはどれか、選択するところから始めなければならないとすると、貢献へのハードルはやや高いものになってしまいます。 GitHubはこうした課題を解決し、オープンソースへの貢献をより手軽に行えるよう、ユーザーにとって貢献しやすいオープンソースのプロジェクトやイシューを推奨する新機能を発表しました(発表は約1カ月前の1月22日でしたので、やや少し前のことですが)。 この機能は大きく以下の3つで構成されます。 興味のある分野のオープンソースプロジェクトを推奨 特定の分野に興味があり、その分野のオープンソースを探しているのであれば、「github.com
JasperというGitHub Issue Readerを作りました - maru source
先にまとめを書いておきます GitHubの大量のIssue/PRを効率的に閲覧できるJasperというソフトウェアを作りました 閲覧したいIssueのStream(RSSフィードみたいなもの)を好きな条件で作成することができます 条件はメンションされた、作成した、特定のリポジトリなど、かなり柔軟に設定できます Mac/Windowsの両方に対応しており、$12で販売中です無料で使えます 30日間のフリートライアル版もあります 背景 ソフトウェアエンジニアとして仕事や個人で活動をしていると、GitHubやGitHub Enterprise(GHE)を使うことが多いと思います。 僕も仕事ではGHEを使っており、個人ではOSSを作っているのでプライベートな活動でもGitHubをよく使っています。 そんなGitHubですが、一つ大きな不満があります。 それはIssueやPull Request(P
2020年の Node.js, 2025年の Node.js (Web Standard編) - from scratch
この記事は Node.js Advent Calendar の 25 日目の記事です。 qiita.com Node.js の 2020 年はどうなるのか 2025 年にはどうなっているのかを予想していこうと思います。 ちなみに、あくまで筆者の予想にすぎないです。こうなるという与太話みたいなものだと思っていてください。 Node.js のこれまでと今後 Node.js は進化を続けていますが、 2018 年に語った通り、その進化の方向は以下のような方向に流れています。 Web Standard Performance Security Stability speakerdeck.com 今回は主に Web Standard の部分に限定して、これまでとこれからと更にその先を予測してみようと思います。 Web Standard 2020 / 2025 Node.jsは Web Standar
npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ
フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる です。 npmのバージョンが6.13.4になったNodeもv8, v10, v12, v13系でそれぞれリリースされたので、そちらを利用することも可能です (yarnのバージョンは別途あげる必要があります)。 nodejs.org npmによる発表では、今回発表された脆弱性は2件あるため、それぞれ個別に考えます。 binに任意のパスを指定出来る件 npmパッケージはpa
Ship.jsでリリースフローを改善する - Qiita
PLAID で i18n おじさんエンジニアしてる kazupon です。 この記事は plaid advent calendar 2019 の 17日目の記事です。 はじめに 筆者は、PLAID のプロダクト開発以外にも、オープンソースソフトウェア (以下 OSS )開発者として vue-i18n といったオープンソースプロジェクトを持っており、Node.js においては npm または yarn といったパッケージマネージャーと呼ばれるもので、Node.js そして必要に応じてブラウザ向けに動作するコードをパッケージにして OSS として配布しています。 npm / yarn で配布する OSS は、一般的には semver のようなセマンティックバージョンニングの仕様に沿った形で、バージョンをリリース毎に発行して管理して、npm publish や yarn publish によって
GitHub Actions でキャッシュを使った高速化 - 生産性向上ブログ
GitHub Actions Advent Calendar 2019 の 15 日目の記事です。 この記事では、GitHub Actions のキャッシュ機能について解説します。 目次 CI/CD とキャッシュ 簡単な例 (npm) 実験用リポジトリ作成 キャッシュ actions/cache Inputs と Outputs キーのマッチング順序 ビルド失敗時 キャッシュクリア 複数 OS で matrix ビルドするときのキャッシュ 言語ごとの例 アーティファクトとキャッシュの違い 制限事項 注意事項 まとめ CI/CD とキャッシュ CI/CD のビルドでは、リポジトリが依存するパッケージのダウンロードが原因でビルド時間が長くなってしまうことがよくあります。近年の CI/CD ではビルドごとに完全にクリーンな実行環境が用意され、前回のビルドでダウンロードしたファイルが持ち越されない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub
Nearly 100,000 NPM Users' Credentials Stolen in GitHub OAuth Breach
GitHub: Attackers stole login details of 100K npm user accounts
Yarn vs npm CLI
ssh-keygenをブラウザだけでローカルで安全に鍵生成するWebアプリ - nwtgck / Ryo Ota
GitHub Actionsで始めるお手軽Jamstack
