あなたのCIは本当に安全?GitHub Actionsに潜むリスクと防ぎ方 - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは、id:takaram です。 ラクスでは全社で GitHub を利用しており、大半のプロジェクトが GitHub Actions を CI として利用しています。 GitHub Actions は、テストやデプロイまでを自動化する強力な仕組みである一方、正しく使わなければセキュリティホールとなる危険性もはらんでいます。 今回は、GitHub Actions のセキュリティについて紹介していきます。 GitHub Actions のセキュリティ ありがちな侵害のパターンと対策 1. サードパーティアクションの侵害 問題 対策 2. 過剰な権限設定 問題 対策 3. run 内での OS コマンドインジェクション 問題 脆弱な例 対策 4. curl | bash 型の危険なスクリプト実行 問題 対策 追加の対策 1. actionlint で構文・展開の安全性をチェック 導入例
hello-world iOS app
yellow.asm �Z�窪 � 窪 .global _main .extern _putchar .align 4 _main: ; prolog; save fp,lr,x19 stp x29, x30, [sp, #-0x20]! str x19, [sp, #0x10] mov x29, sp ; make space for 2 dword local vars sub sp, sp, #0x10 ; save argc/argv stp x0, x1, [sp] ; create autorelease pool and save into x19 bl _objc_autoreleasePoolPush mov x19, x0 ; initialize app delegate class bl initAppDelegate ; create CFString with
GitHub、マージコンフリクトをワンクリックで解決可能な新しいUIを提供開始 | gihyo.jp
GitHub、マージコンフリクトをワンクリックで解決可能な新しいUIを提供開始 GitHubは2025年10月2日、プルリクエストの際、マージコンフリクトが発生したときにWebインターフェース上でワンクリックで解決可能なボタンの提供を開始した。 One-click merge conflict resolution now in the web interface - GitHub Changelog GitHubのプルリクエスト画面においてマージコンフリクトが発生している場合、その解決のために「Resolve conflicts」ボタンを押すとWebエディタが起動してコンフリクトの編集画面に遷移するが、今回、モダンなエディタなどに実装されているようなコンフリクトマーカーとワンクリックで解決するための文字列ボタンが提示されるようになった。 各ボタンは以下のとおり。 Accept cur
Markdownをプログラミング言語として用いる仕様駆動開発の可能性 ——GitHub Blogより | gihyo.jp
GitHubは2025年9月30日、ブログ記事「Spec-driven development: Using Markdown as a programming language when building with AI」を公開し、Markdownをプログラミング言語として用いる仕様駆動開発の可能性の一端が紹介された。 GitHub Blog: Spec-driven development: Using Markdown as a programming language when building with AI - GitHub Blog プログラムを作成するときにコーディングエージェント利用する場合、もっとも基礎的な使い方として「Xをおこなうアプリを作成」といった指示から開始し、逐次「機能Yを追加」「バグZを修正」といった指示を反復する方法がある。しかしこの方法は、エージェント
npmパッケージ/GitHub Actionsを利用する側/公開する側でサプライチェーン攻撃を防ぐためにやることメモ
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
GitHub ActionsのSHA Pinning Enforcementを有効にするまでの道のり
2025年8月15日にGitHubからGitHub Actions周りの新機能として "SHA pinning enforcement" 機能がリリースされました。今年の3月にGitHub Actionsでのサプライチェーン攻撃があったことは記憶に新しいと思います。この新機能はこの種のサプライチェーン攻撃のリスクを低下させるためのものだと考えています。 まだリリース後間もないので不安定な部分もありますが、セキュリティ向上を目的にFinatextではこの機能の有効化に取り組みました。Finatextでのソフトウェア開発にはある程度の規模があるため、単に機能を有効にするのではなくプラットフォームとしての仕組みを整備しました。その過程を紹介します。 機能の概要 SHA pinning enforcementに関するまとめ記事を参考にしましたが、検証した結果一部さらに詳細な挙動が分かりました。 こ
GitHub製Spec駆動開発支援ツールSpec Kitをいろいろ試してみる
びーぐるです🐶 2025年9月2日、GitHubからSpec Kitがリリースされました。 このツールはSpec駆動開発(Spec-Driven Development: SDD)を支援するツールですが、これがGitHubからリリースされたことに大きな意味があります。 今回はこのSpec Kitについて調査し、実際にSpecファイルを作成してKiroとの比較を行いたいと思います。 更新履歴 2025/09/06 公開しました Spec Kitとは? 冒頭で述べた通り、GitHubがリリースしたSpec駆動開発を支援するツールです。 これ自体で動作するわけではなく、他のコーディングエージェントにSDDを組み込むためのアドオンのような位置づけになります。 組み込めるコーディングエージェントは GitHub Copilot Claude Code Gemini CLI があります。 Codex
GitHub の Immutable Releases を有効にしてセキュリティインシデントを防ごう
先日 (2025-08-26) public preview になった GitHub の Immutable Releases を紹介します。 このセキュリティ的に極めて重要な機能が普及してほしいという気持ちで書くことにしました。 まだ public preview なので早いかもですが、 GitHub でソフトウェアをバージョニングして公開している方は是非全リポジトリで有効にしましょう。 Immutable Releases は GitHub Tag や Release, Release assets を後から変更できないようにする機能です。 tag や assets が改竄されることによるセキュリティインシデントを防ぐことができます。 最初に注意点を挙げておきます: draft release は mutable draft でない release には後から asset を uplo
GitHub、仕様駆動開発ツールキット「Spec Kit」を紹介 ——コーディングエージェントを利用して仕様を解釈し、開発計画・タスク分解・実装をおこなう | gihyo.jp
GitHub、仕様駆動開発ツールキット「Spec Kit」を紹介 ——コーディングエージェントを利用して仕様を解釈し、開発計画・タスク分解・実装をおこなう GitHubは2025年9月2日、コーディングエージェントを利用した仕様駆動開発(Spec-Driven Development)のためのツールキット「Spec Kit」を開発し、公式ブログで紹介した。仕様を「実行可能」にすることで、開発意図自体をソフトウェア開発の中核に据えることを目指している。 Spec-driven development with AI: Get started with a new open source toolkit - GitHub Blog spec-kit - GitHub Spec Kitは、仕様(Spec)からソフトウェア開発の計画を作成して、その計画をタスクに分解し実装するため
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説
GitHubは2025年8月25日(米国時間)に公開したブログ記事で、悪意のあるプロンプトでAI(人工知能)に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」(以下、VS Code)の「GitHub Copilot Chat」(以下、Copilot Chat)拡張機能のセキュリティ評価で3つの脆弱(ぜいじゃく)性が見つかったことに関係している。これらの脆弱性が悪用された場合、VS CodeのCopilot Chat拡張機能である「エージェントモード」において、GitHubのトークンや機密ファイルが漏えいしたり、ユーザーの明示的な同意なしに任意のコードが実行されたりする可能性があった。 なお、既にGitHubはVS Codeの開発チームと共同でこれらの脆弱性に対処している。 プロンプトインジェクション
【海外記事紹介】Gitで直接大容量ファイルを扱えるようになるか — 「Large Object Promisors」の画期的な仕組みとは
8月16日、Tyler Cipriani氏 が「The future of large files in Git is Git」と題したブログ記事を公開し、注目を集めている。この記事では、Git が抱える大容量ファイル問題の最終的な解決策として期待される「Large Object Promisors」を中心に、その背景と現状、そして将来像について詳しく紹介されている。以下に、その内容を紹介する。 大容量ファイルがもたらす問題 Git にとって大容量ファイルは長年の課題である。ファイルはリポジトリを肥大化させ、git clone を遅くし、ホスティングサービスに負担を与える。2015年に GitHub が Git LFS を導入したが、これは一時的な解決策に過ぎず、ユーザーにベンダーロックインや追加コストを押し付ける仕組みでもあった。 Git LFS が抱える主な問題点は次の通りである。 ベ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub、リリース後のバイナリなどアセットを変更不可にする「Immutable Release」(変更不可リリース)機能を正式リリース
react/CHANGELOG.md at main · facebook/react
Australia asks GitHub if it's a dangerous social network
GitHub - bodadotsh/npm-security-best-practices: How to stay safe from NPM supply chain attacks
GitHub - tryandromeda/andromeda: JS runtime lolz
GitHub - github/awesome-copilot: Community-contributed instructions, prompts, and configurations to help you make the most of GitHub Copilot.
GitHub - bytecodealliance/wstd: A WebAssembly-native Rust stdlib
エクスプローラーの「Git」統合は「設定」の[詳細設定]ページから利用可能に![エクスプローラーの「Git」統合は「設定」の[詳細設定]ページから利用可能に](https://cdn-ak-scissors.b.st-hatena.com/image/square/e879479c5f705d8ba3dad663f12b65eccc61e93f/height=288;version=1;width=512/https%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F2034%2F589%2Fimage_top.png)
GitHub - microsoft/TypeScript: TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
