GitHub、リリース後のバイナリなどアセットを変更不可にする「Immutable Release」(変更不可リリース)機能を正式リリースGitHubは、リリース後の成果物を変更できなくする新機能「Immutable Release」(変更不可リリース)機能を正式版として提供すると発表しました。 リリースしたバイナリなどが変更不可に Immutable Releaseを利用することで、リリースとして公開したバイナリやインストーラなどのアセットとGitタグが変更できなくなります。 これによって攻撃者がリリースされたアセットに対して脆弱性やマルウェアを投入するサプライチェーン攻撃や、開発者がアセットやタグを間違えて……
hello-world iOS app
yellow.asm �Z�窪 � 窪 .global _main .extern _putchar .align 4 _main: ; prolog; save fp,lr,x19 stp x29, x30, [sp, #-0x20]! str x19, [sp, #0x10] mov x29, sp ; make space for 2 dword local vars sub sp, sp, #0x10 ; save argc/argv stp x0, x1, [sp] ; create autorelease pool and save into x19 bl _objc_autoreleasePoolPush mov x19, x0 ; initialize app delegate class bl initAppDelegate ; create CFString with
GitHub、マージコンフリクトをワンクリックで解決可能な新しいUIを提供開始 | gihyo.jp
GitHub、マージコンフリクトをワンクリックで解決可能な新しいUIを提供開始 GitHubは2025年10月2日、プルリクエストの際、マージコンフリクトが発生したときにWebインターフェース上でワンクリックで解決可能なボタンの提供を開始した。 One-click merge conflict resolution now in the web interface - GitHub Changelog GitHubのプルリクエスト画面においてマージコンフリクトが発生している場合、その解決のために「Resolve conflicts」ボタンを押すとWebエディタが起動してコンフリクトの編集画面に遷移するが、今回、モダンなエディタなどに実装されているようなコンフリクトマーカーとワンクリックで解決するための文字列ボタンが提示されるようになった。 各ボタンは以下のとおり。 Accept cur
Markdownをプログラミング言語として用いる仕様駆動開発の可能性 ——GitHub Blogより | gihyo.jp
GitHubは2025年9月30日、ブログ記事「Spec-driven development: Using Markdown as a programming language when building with AI」を公開し、Markdownをプログラミング言語として用いる仕様駆動開発の可能性の一端が紹介された。 GitHub Blog: Spec-driven development: Using Markdown as a programming language when building with AI - GitHub Blog プログラムを作成するときにコーディングエージェント利用する場合、もっとも基礎的な使い方として「Xをおこなうアプリを作成」といった指示から開始し、逐次「機能Yを追加」「バグZを修正」といった指示を反復する方法がある。しかしこの方法は、エージェント
npmパッケージ/GitHub Actionsを利用する側/公開する側でサプライチェーン攻撃を防ぐためにやることメモ
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
GitHub ActionsのSHA Pinning Enforcementを有効にするまでの道のり
2025年8月15日にGitHubからGitHub Actions周りの新機能として "SHA pinning enforcement" 機能がリリースされました。今年の3月にGitHub Actionsでのサプライチェーン攻撃があったことは記憶に新しいと思います。この新機能はこの種のサプライチェーン攻撃のリスクを低下させるためのものだと考えています。 まだリリース後間もないので不安定な部分もありますが、セキュリティ向上を目的にFinatextではこの機能の有効化に取り組みました。Finatextでのソフトウェア開発にはある程度の規模があるため、単に機能を有効にするのではなくプラットフォームとしての仕組みを整備しました。その過程を紹介します。 機能の概要 SHA pinning enforcementに関するまとめ記事を参考にしましたが、検証した結果一部さらに詳細な挙動が分かりました。 こ
GitHub製Spec駆動開発支援ツールSpec Kitをいろいろ試してみる
びーぐるです🐶 2025年9月2日、GitHubからSpec Kitがリリースされました。 このツールはSpec駆動開発(Spec-Driven Development: SDD)を支援するツールですが、これがGitHubからリリースされたことに大きな意味があります。 今回はこのSpec Kitについて調査し、実際にSpecファイルを作成してKiroとの比較を行いたいと思います。 更新履歴 2025/09/06 公開しました Spec Kitとは? 冒頭で述べた通り、GitHubがリリースしたSpec駆動開発を支援するツールです。 これ自体で動作するわけではなく、他のコーディングエージェントにSDDを組み込むためのアドオンのような位置づけになります。 組み込めるコーディングエージェントは GitHub Copilot Claude Code Gemini CLI があります。 Codex
GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう
先日 (2025-08-26) public preview になった GitHub の Immutable Releases を紹介します。 このセキュリティ的に極めて重要な機能が普及してほしいという気持ちで書くことにしました。 まだ public preview なので早いかもですが、 GitHub でソフトウェアをバージョニングして公開している方は是非全リポジトリで有効にしましょう。 Immutable Releases は GitHub Tag や Release, Release assets を後から変更できないようにする機能です。 tag や assets が改竄されることによるセキュリティインシデントを防ぐことができます。 最初に注意点を挙げておきます: draft release は mutable draft でない release には後から asset を uplo
GitHub、仕様駆動開発ツールキット「Spec Kit」を紹介 ——コーディングエージェントを利用して仕様を解釈し、開発計画・タスク分解・実装をおこなう | gihyo.jp
GitHub、仕様駆動開発ツールキット「Spec Kit」を紹介 ——コーディングエージェントを利用して仕様を解釈し、開発計画・タスク分解・実装をおこなう GitHubは2025年9月2日、コーディングエージェントを利用した仕様駆動開発(Spec-Driven Development)のためのツールキット「Spec Kit」を開発し、公式ブログで紹介した。仕様を「実行可能」にすることで、開発意図自体をソフトウェア開発の中核に据えることを目指している。 Spec-driven development with AI: Get started with a new open source toolkit - GitHub Blog spec-kit - GitHub Spec Kitは、仕様(Spec)からソフトウェア開発の計画を作成して、その計画をタスクに分解し実装するため
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説
GitHubは2025年8月25日(米国時間)に公開したブログ記事で、悪意のあるプロンプトでAI(人工知能)に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」(以下、VS Code)の「GitHub Copilot Chat」(以下、Copilot Chat)拡張機能のセキュリティ評価で3つの脆弱(ぜいじゃく)性が見つかったことに関係している。これらの脆弱性が悪用された場合、VS CodeのCopilot Chat拡張機能である「エージェントモード」において、GitHubのトークンや機密ファイルが漏えいしたり、ユーザーの明示的な同意なしに任意のコードが実行されたりする可能性があった。 なお、既にGitHubはVS Codeの開発チームと共同でこれらの脆弱性に対処している。 プロンプトインジェクション
【海外記事紹介】Gitで直接大容量ファイルを扱えるようになるか — 「Large Object Promisors」の画期的な仕組みとは
8月16日、Tyler Cipriani氏 が「The future of large files in Git is Git」と題したブログ記事を公開し、注目を集めている。この記事では、Git が抱える大容量ファイル問題の最終的な解決策として期待される「Large Object Promisors」を中心に、その背景と現状、そして将来像について詳しく紹介されている。以下に、その内容を紹介する。 大容量ファイルがもたらす問題 Git にとって大容量ファイルは長年の課題である。ファイルはリポジトリを肥大化させ、git clone を遅くし、ホスティングサービスに負担を与える。2015年に GitHub が Git LFS を導入したが、これは一時的な解決策に過ぎず、ユーザーにベンダーロックインや追加コストを押し付ける仕組みでもあった。 Git LFS が抱える主な問題点は次の通りである。 ベ
Solving the inference problem for open source AI projects with GitHub Models
AI features can make an open source project shine. At least, until setup asks for a paid inference API key. Requiring contributors or even casual users to bring their own large language model (LLM) key stops adoption in its tracks: $ my-cool-ai-tool Error: OPENAI_API_KEY not found Developers may not want to buy a paid plan just to try out your tool, and self hosting a model can be too heavy for l
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
react/CHANGELOG.md at main · facebook/react
Australia asks GitHub if it's a dangerous social network
GitHub - bodadotsh/npm-security-best-practices: How to stay safe from NPM supply chain attacks
GitHub - tryandromeda/andromeda: JS runtime lolz
GitHub - github/awesome-copilot: Community-contributed instructions, prompts, and configurations to help you make the most of GitHub Copilot.
GitHub - bytecodealliance/wstd: A WebAssembly-native Rust stdlib
エクスプローラーの「Git」統合は「設定」の[詳細設定]ページから利用可能に![エクスプローラーの「Git」統合は「設定」の[詳細設定]ページから利用可能に](https://cdn-ak-scissors.b.st-hatena.com/image/square/e879479c5f705d8ba3dad663f12b65eccc61e93f/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F2034%2F589%2Fimage_top.png)
GitHub - microsoft/TypeScript: TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
