GitHub - bodadotsh/npm-security-best-practices: How to stay safe from NPM supply chain attacksYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
npmパッケージ/GitHub Actionsを利用する側/公開する側でサプライチェーン攻撃を防ぐためにやることメモ
パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
GitHub、npmの“強化したセキュリティ機能”をより使いやすく改良 | gihyo.jp
GitHubは、同社が管理するJavaScriptパッケージリポジトリnpmにおいて、以下のようなセキュリティ機能関係の改善を発表した。 npmコマンドラインインターフェースによる、ログインおよびパブリッシュの効率化 npmへの2FA(2要素認証)の導入により、利用者はログイン時やパッケージ登録時に煩雑な操作を行う必要があったが、npm8.15.0より、ログインおよびパブリッシュの認証をブラウザ上で管理することができ、既存セッションを使用してログインする場合は2要素めの認証を省くことができるようになった。またパブリッシュの場合も、–auth-type=webフラグによりオプトインして使用する場合は2FAを5分間回避できる(npm9からはデフォルトで実装)。 GitHub/Twitterアカウントからnpmへ接続可能に npmのアカウントをGitHubアカウントやTwitterアカウント
GitHub Actions利用時のnpm ciの時間を短縮する - APC 技術ブログ
はじめに 以前 「Azure Pipelines利用時のnpm ciの時間を短縮する」という投稿で、Azure Pipelinesでのビルド成果物のキャッシュをご紹介しました。 今回は同様のことをGitHub Actionsで行ってみたいと思います。 キャッシュを活用する npmのキャッシュ 早速指定をしてみたいと思います。 今回利用するのはAngularプロジェクト。 もともとの GitHub Actionsの指定は次のようなものです。 jobs: build: name: build angular runs-on: ubuntu-latest steps: - name: Checkout repo uses: actions/checkout@v3 with: fetch-depth: 0 - name: Use Node.js uses: actions/setup-node@v
GitHub's commitment to npm ecosystem security
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
GitHub Actions で yarn install を爆速にしたい
- name: Get yarn cache directory path id: yarn-cache-dir-path run: echo "::set-output name=dir::$(yarn cache dir)" - uses: actions/cache@v2 id: yarn-cache # use this to check for `cache-hit` (`steps.yarn-cache.outputs.cache-hit != 'true'`) with: path: ${{ steps.yarn-cache-dir-path.outputs.dir }} key: ${{ runner.os }}-yarn-${{ hashFiles('**/yarn.lock') }} restore-keys: | ${{ runner.os }}-yarn- これは
モノリポの一部をGitHub PackagesのプライベートNPMパッケージで公開する | DevelopersIO
まえがき 案件でサーバーとクライアントがJavaScript/TypeScriptで作られてる場合、サーバーとクライアントでAPIの型定義やバリデーションのユーティリティーなどを共通化したくなります。 共通化する部分だけを別リポジトリに切り出すと、開発中公開しないと使えないので面倒です。今回はサーバー側にYarn Workspaces モノリポ(モノリシックリポジトリ)の共通化部分をNPMで公開します。 また案件で使うときは共通化はしたいけど、パブリックに公開したくはないっという矛盾があります。プライベートNPMとして公開できるにようにします。 要件まとめ サーバーもクライアントもプライベートリポジトリで管理されている サーバー側が共通化ソースを含むモノリポ構成になっている クライアント側はNPMパッケージとして読み込む 非公開のNPMパッケージとして公開したい 今回はGitHub Pac
NodeJS malware caught exfiltrating IPs, username, and device information on GitHub - Security Report
GitHub、npmの買収完了を発表。npmレジストリ基盤とプラットフォームへの投資など強化
GitHubは、JavaScriptのパッケージ管理サービスを提供するnpmの買収を3月に発表していましたが、その買収が完了したことが発表されました。 これによりnpmは正式にGitHubの一部となりました。 npmはただちに次の分野にフォーカスした作業を開始するとのこと。すなわち、コミュニティとの対話、npmのレジストリ基盤とプラットフォームへの投資、基本的体験の改善です。 Engaging with the community Investing in the registry infrastructure and platform. Improving the core experience. そもそもnpmとはNode Package Managerの略で、Node.jsでJavaScriptのパッケージを管理するソフトウェアおよび、そのソフトウェアと連携したパッケージのレジストリ
GitHub、パーソナライズした「あなたがコントリビュートしやすいオープンソースのイシュー」を機械学習で推奨してくれる機能など公開
GitHub、パーソナライズした「あなたがコントリビュートしやすいオープンソースのイシュー」を機械学習で推奨してくれる機能など公開 オープンソースになにか貢献したいと考えたとしても、どこから手を付けたらいいのか、自分が貢献できそうなプロジェクトやイシューはどれか、選択するところから始めなければならないとすると、貢献へのハードルはやや高いものになってしまいます。 GitHubはこうした課題を解決し、オープンソースへの貢献をより手軽に行えるよう、ユーザーにとって貢献しやすいオープンソースのプロジェクトやイシューを推奨する新機能を発表しました(発表は約1カ月前の1月22日でしたので、やや少し前のことですが)。 この機能は大きく以下の3つで構成されます。 興味のある分野のオープンソースプロジェクトを推奨 特定の分野に興味があり、その分野のオープンソースを探しているのであれば、「github.com
JasperというGitHub Issue Readerを作りました - maru source
先にまとめを書いておきます GitHubの大量のIssue/PRを効率的に閲覧できるJasperというソフトウェアを作りました 閲覧したいIssueのStream(RSSフィードみたいなもの)を好きな条件で作成することができます 条件はメンションされた、作成した、特定のリポジトリなど、かなり柔軟に設定できます Mac/Windowsの両方に対応しており、$12で販売中です無料で使えます 30日間のフリートライアル版もあります 背景 ソフトウェアエンジニアとして仕事や個人で活動をしていると、GitHubやGitHub Enterprise(GHE)を使うことが多いと思います。 僕も仕事ではGHEを使っており、個人ではOSSを作っているのでプライベートな活動でもGitHubをよく使っています。 そんなGitHubですが、一つ大きな不満があります。 それはIssueやPull Request(P
2020年の Node.js, 2025年の Node.js (Web Standard編) - from scratch
この記事は Node.js Advent Calendar の 25 日目の記事です。 qiita.com Node.js の 2020 年はどうなるのか 2025 年にはどうなっているのかを予想していこうと思います。 ちなみに、あくまで筆者の予想にすぎないです。こうなるという与太話みたいなものだと思っていてください。 Node.js のこれまでと今後 Node.js は進化を続けていますが、 2018 年に語った通り、その進化の方向は以下のような方向に流れています。 Web Standard Performance Security Stability speakerdeck.com 今回は主に Web Standard の部分に限定して、これまでとこれからと更にその先を予測してみようと思います。 Web Standard 2020 / 2025 Node.jsは Web Standar
npmとyarnの脆弱性とpostinstall - Cybozu Inside Out | サイボウズエンジニアのブログ
フロントエンドエキスパートチームの小林(@koba04)です。 先日、npmから脆弱性についての発表がありました。 調べていく中でいくつか思うところがあったので解説も兼ねて書いていきたいと思います。 The npm Blog — Binary Planting with the npm CLI npmの利用者としてやるべきことは、 npmのバージョンを6.13.4以上にあげる yarnのバージョンを1.21.1以上にあげる です。 npmのバージョンが6.13.4になったNodeもv8, v10, v12, v13系でそれぞれリリースされたので、そちらを利用することも可能です (yarnのバージョンは別途あげる必要があります)。 nodejs.org npmによる発表では、今回発表された脆弱性は2件あるため、それぞれ個別に考えます。 binに任意のパスを指定出来る件 npmパッケージはpa
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Malicious NPM Packages Exfiltrate Hundreds of Developer SSH Keys via GitHub
Nearly 100,000 NPM Users' Credentials Stolen in GitHub OAuth Breach
GitHub: Attackers stole login details of 100K npm user accounts
GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は?
Yarn vs npm CLI
ssh-keygenをブラウザだけでローカルで安全に鍵生成するWebアプリ - nwtgck / Ryo Ota
GitHub Actionsで始めるお手軽Jamstack
