パッケージを利用する側、パッケージを公開する側でサプライチェーン攻撃を防ぐためにできることのメモ書きです。 パッケージを利用する側 npmやGitHub Actionsなどを利用する側として、サプライチェーン攻撃を防ぐためにできることをまとめます。 ロックファイルを使う npmやYarn、pnpmなどのパッケージマネージャーは、依存関係のバージョンを固定するためにロックファイル(例: package-lock.json, yarn.lock, pnpm-lock.yaml)を使用する GitHub ActionsではSHA Pinを行う pinactなどを使ったGitHub ActionsのSHA Pinを行う また、GitHubリポジトリの"Require actions to be pinned to a full-length commit SHA”を有効にする https://gi
GitHub - modelcontextprotocol/servers: Model Context Protocol Servers
Official integrations are maintained by companies building production ready MCP servers for their platforms. 21st.dev Magic - Create crafted UI components inspired by the best 21st.dev design engineers. 2slides - An MCP server that provides tools to convert content into slides/PPT/presentation or generate slides/PPT/presentation with user intention. ActionKit by Paragon - Connect to 130+ SaaS inte
生成AIを使ったソフトウェア開発におけるセキュリティの問題点について整理してみた | DevelopersIO
生成AIを使ったソフトウェア開発が急速に普及する中で、その一方で「この方法で進めても本当に安全なのか」という疑問から、セキュリティ面での課題を整理してみました。AIに任せる範囲・権限・並列度が今後拡大していく中で、従来のセキュリティ対策だけでは対応しきれない問題が出てきています。本記事では、現状の問題点を整理し、これからの対策の方向性を示します。 AI事業本部の山本です。 世の中の潮流にのり、ソフトウェア開発で生成AIを使っています。もはや手でコードを打つことはほぼなくなってきてしまいました。 さらに、半自動的にAIを実行できる設定も出てきて、ほぼ全自動でコードを生成できるようになり、すごいなぁと思う日々です。 ただ、利用するにあたり、この方法で進めても安全なのかということを疑問に思うようになり、今回の記事を書くに至りました。 1. はじめに 1.1 背景・動機 生成AIを使った自律的なソ
GitHub MCP Exploited: Accessing private repositories via MCP
We showcase a critical vulnerability with the official GitHub MCP server, allowing attackers to access private repository data. The vulnerability is among the first discovered by Invariant's security analyzer for detecting toxic agent flows. Invariant has discovered a critical vulnerability affecting the widely-used GitHub MCP integration (14k stars on GitHub). The vulnerability allows an attacker
I use Claude Code. A lot. As a hobbyist, I run it in a VM several times a week on side projects, often with --dangerously-skip-permissions to vibe code whatever idea is on my mind. Professionally, part of my team builds the AI-IDE rules and tooling for our engineering team that consumes several billion tokens per month just for codegen. The CLI agent space is getting crowded and between Claude Cod
PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 | BLOG - DeNA Engineering
2025.07.18 技術記事 PacketProxyで探るGemini CLIのコンテキストエンジニアリング 〜AIエージェントを信頼できる相棒に〜 by akira.kuroiwa #gemini-cli #ai #security #ai-agent #context-engineering #packetproxy 「なんかよく分からないけど、すごい」で終わらせないために こんにちは、DeNA セキュリティ技術グループの 黒岩 亮 ( @kakira9618 ) です。 AIエージェント、とくに Gemini CLI のようなコーディングを支援してくれるツールは非常に強力で、私たちの開発体験を大きく変えようとしています。しかし、その一方で、こんな風に感じたことはありませんか? 「このファイルの情報、勝手にAIに送られたりしない? 大丈夫かな?」 と、情報管理・セキュリティ面で漠然と
Dark Side of DevOps
Transcript Protsenko: My name is Mykyta. I work at Netflix. My job is basically making sure that other developers don't have to stay at work late. I call it a win when they can leave at 5 p.m., and still be productive. I work in the platform organization, namely in productivity engineering, where we try to abstract toil away for the rest of engineers. Where we try to make sure that the engineers c
rl-for-llms.md Reinforcement Learning for Language Models Yoav Goldberg, April 2023. Why RL? With the release of the ChatGPT model and followup large language models (LLMs), there was a lot of discussion of the importance of "RLHF training", that is, "reinforcement learning from human feedback". I was puzzled for a while as to why RL (Reinforcement Learning) is better than learning from demonstrat
wireproxyでDockerから--cap-addせずにWireGuardに繋ぐ - febc技術メモ
はじめに 試用期間を無事に乗り越えた お久しぶりです。今年の7月からさくらインターネットで働き始めておりました。 febc-yamamoto.hatenablog.jp 先月で試用期間が終わり、今月から正式採用となりました。 無事に試用期間を乗り切れて一安心です。 担当業務は? 所属部署はこれまで通りSRE室です。 ボスであるkazeburoさんをはじめ頼もしい同僚たちに囲まれて毎日楽しく仕事しております。 そんな中での私の業務はというと、引き続きUsacloudやTerraformプロバイダーといったOSSの開発をしつつSREとしての業務も担当しています。 Embedded SRE/Enabling SREとして、開発/運用の両者が共通のゴールをもって、運用性に優れたソフトウェアを開発すべくさまざまな取り組みをしています。 今日は最近のSREとしての取り組みの中から、デプロイの自動化にま
Actions Runner Controller Deep Dive!- コード解説 後編 - - APC 技術ブログ
こんにちは!ACS事業部の谷合です。 皆大好きGitHub Actionsにおける、GitHub社公式のSelf-hosted runnerであるActions Runner Controller(以降ARC)の紹介をシリーズでお送りしております。 前回までに以下の記事を書いておりました。 Actions Runner Controller Deep Dive!- アーキテクチャ編 - - APC 技術ブログ Actions Runner Controller Deep Dive!- 動作解説編 - - APC 技術ブログ Actions Runner Controller Deep Dive!- コード解説 前編 - - APC 技術ブログ 前回に引き続き、Actions Runner Controllerのコード解説をしていきます。 はじめに この記事のこと コード解説 AutoSca
Join a VS Code Dev Days event near you to learn about AI-assisted development in VS Code. Update 1.70.1: The update addresses these issues. Update 1.70.2: The update addresses these issues. Update 1.70.3: This update is only available for Windows 7 users and is the last release supporting Windows 7. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welc
真夏の自由研究〜AIを使って雑にアプリを作ろう!〜 7日目はyag13sが担当します。 こんにちは、yag13s と申します。普段はfreee会計の債務領域に関わる機能の開発をしています。 みなさんは昨日のmassuさんの記事をご覧になりましたでしょうか。 AI全任せで作る!某スイカゲームのパロディ制作秘話 - freee Developers Hub 題材になったe-mohaさんはチームメンバーということもあり、私もアレでよく遊んでいました。 例のゲームはブラウザで遊べるゲームであり、スコアも出る。じゃあ後はランキングだけだな。と言うことでAPIで利用できるランキングサーバーを作らせることにしました。 社内ではAI雑アプリを作成するちょっとしたムーブメントも出来ていたこともあり、複数のアプリケーションから利用することができる汎用のサーバーを目指しました。 進め方 進め方としては以下のルー
KARTE Blocks(以下Blocks)では、Blocksを利用するサイトに1行の<script>タグを埋め込むことでサイト書き換えや効果計測をします。 Blocksでは、この<script>タグで埋め込むスクリプトファイルをbuilder.jsと呼んでいます。 この記事では、Blocksが扱うbuilder.jsというサードパーティスクリプトの仕組みについて紹介します。 builder.jsというセカンドパーティコンテンツをもつサードパーティスクリプトについて知る builder.jsでは安全にサードパーティスクリプトを開発して、配布、読み込みしているのかを知る サードパーティスクリプトの開発、テスト、デバッグ方法について知る この記事は「KARTE Blocksリリースの裏側」の3日目の記事です。全10回の予定です。 これから毎日記事を更新していくため、更新をチェックしたい方は@K
Biome v2.4—Embedded Snippets, HTML Accessibility, and Better Framework Support
Biome v2.4 is the first minor release of the year! After more than ten patches from v2.3, today we bring to you a new version that contains many new features! Once you have upgraded to Biome v2.4.0, migrate your Biome configuration to the new version by running the migrate command: biome migrate --write Highlights Among all the features shipped in this release, here are the ones we think you’re go
Ubie Engineering Advent Calendar 2023 の22日目の記事では、Ubieのプラットフォームで生じていた課題と、それを解決するためにサービステンプレーティングツールを開発・導入した取り組みについて紹介します。 はじめに プラットフォームエンジニアリングとは 具体的な課題 解決法 具体例 実装 CUE CI/CD マニフェストの更新 サービスカタログ ubieformの現在と今後 おわりに おまけ はじめに アドカレ初日の記事で紹介があったように、Ubieではモジュラモノリスとマイクロサービスアーキテクチャの両方を採用しており、独立して動くサービス数は現在70近くに及んでいます。それらのインフラの大部分はGoogle Cloud上のGKEかCloudRunで動いており、その管理と運用が私の所属する基盤チームの責務になります。 新たなマイクロサービスを立ち上げる
Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program I want to share my frustrating experience participating in Apple Security Bounty program. I've reported four 0-day vulnerabilities this year between March 10 and May 4, as of now three of them are still present in the latest iOS version (15.0) and one was fixed in 14.7, but Apple decided to cover it up and
iOS Hacking - A Beginner’s Guide to Hacking iOS Apps [2022 Edition]
My first post will be about iOS Hacking, a topic I’m currently working on, so this will be a kind of gathering of all information I have found in my research. It must be noted that I won’t be using any MacOS tools, since the computer used for this task will be a Linux host, specifically a Debian-based distribution, in this case, Kali Linux. I will also be using ‘checkra1n’ for the device jailbreak
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター の山下です。 今回は、GitHub ActionsのSelf-Hosted runnerを利用して、社内にあるオンプレミス環境へのContinuous Integration(以降CI)とContinuous Deployment(以降CD)を実現したのでその方法について紹介します。 GitHub actionsをオンプレミス環境に適用しようとする際の課題 GitHub actionsのようにインターネット上のサービスでは、デプロイの対象となる計算機へ直接アクセスを行ってデプロイを実現することが一般的でしょう。例えば、Amazon Web Servicesを対象にデプロイを実現する場合では、そのAPIをインターネット経由で呼びだしてデプロイを実現している場合が多いと思います。しかし、オンプレミス環境では、APIのよう
先日、Microsoft の公式ドキュメントを検索するためのオフィシャル MCP サーバー (Microsoft Learn Docs MCP Server) が公開されました。自分のような Azure ユーザーには大変嬉しい発表です。 ただ、具体的な実装とアーキテクチャは公開されておらず、どんな動作をするのか未知な部分があります。そこで、本記事では Microsoft Learn Docs MCP Server を使ってみてわかったことを少しまとめてみました。 なお、読者には MCP の基礎知識があることを前提にしています。MCP について知りたい場合は、次のような文献をあたってみてください。 Introduction - Model Context Protocol mcp-for-beginners/translations/ja/README.md at main · micros
Awesome Terraform | Curated list of awesome lists | Project-Awesome.org
A curated list of resources on HashiCorp's Terraform. Your contributions are welcome! Terraform enables you to safely and predictably create, change, and improve production infrastructure. It is an open source tool that codifies APIs into declarative configuration files that can be shared amongst team members, treated as code, edited, reviewed, and versioned. Contents Legend Official Resources Com
Emotet Strikes Again – LNK File Leads to Domain Wide Ransomware
PowerTool PowerTool was observed, dropped and executed on the server used to deploy the ransomware payload. This tool has the ability to kill a process, delete its process file, unload drivers, and delete the driver files. It has been reportedly used by several ransomware groups to aid in their operations [1][2][3][4]. As a byproduct of execution, PowerTool will drop a driver to disk and load it i
Launch VS Code Quick Open (Ctrl+P), paste the following command, and press enter. GitHub Actions for VS Code The GitHub Actions extension lets you manage your workflows, view the workflow run history, and helps with authoring workflows. Features Manage workflows and runs Manage your workflows and runs without leaving your editor. Keep track of your CI builds and deployments. Investigate failures a
The feature is still in development and not yet ready for general use. View the experimental features (@tag:experimental). Copilot Edits Agent mode improvements (Experimental) Last month, we introduced agent mode for Copilot Edits in VS Code Insiders. In agent mode, Copilot can automatically search your workspace for relevant context, edit files, check them for errors, and run terminal commands (w
Guidance for investigating attacks using CVE-2023-23397 | Microsoft Security Blog
February 15, 2024 update – On January 20, 2024, the US government conducted a disruption operation against infrastructure used by a threat actor we track as Forest Blizzard (STRONTIUM), a Russian state-sponsored threat actor, as detailed here: https://www.justice.gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian December 4, 2023 update – Microsoft has ide
2025年07月17日(木)、Claude Codeに関するイベント『Claude Code Meetup』がオフライン&オンラインのハイブリッド形式で開催されました。 当エントリでは、このイベントの視聴メモをレポート形式で書き残しておこうと思います。 ちなみに当日のX投稿のまとめも下記Posfieにまとめています。振り返りの参考に合わせて御覧いただけますと幸いです。 セッション1: Claude Codeを使って不確実性と戦う 登壇者:erukitiさん erukiti(@erukiti)さん / X 登壇資料 発表スライド: 視聴メモ 自己紹介&企業紹介 世の中に山のようにある『Claude Codeを触ってみた』系の記事、本当に有用なものなのか?コーディングは開発プロセスのごく一部に過ぎないのではないか? AIコーディングで極めて重要なこと AI(特にClaude)は、人間と認知特性
![[視聴レポート] Claude Code Meetup #claudecode_findy](https://cdn-ak-scissors.b.st-hatena.com/image/square/1df192c158b17c1d3bd58ec4acf08a372dc0ce7a/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--XVcxeAxp--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E8%2525A6%252596%2525E8%252581%2525B4%2525E3%252583%2525AC%2525E3%252583%25259D%2525E3%252583%2525BC%2525E3%252583%252588%25255D%252520Claude%252520Code%252520Meetup%252520%252523claudecode_findy%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_34%3A%2525E3%252581%252597%2525E3%252582%252593%2525E3%252582%252584%252Cx_220%252Cy_108%2Fbo_3px_solid_rgb%3Ad6e3ed%252Cg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzU1NTM1Mzc1NDAuanBlZw%3D%3D%252Cr_20%252Cw_90%252Cx_92%252Cy_102%2Fco_rgb%3A6e7b85%252Cg_south_west%252Cl_text%3Anotosansjp-medium.otf_30%3Atruestar%2525E3%252583%252586%2525E3%252583%252583%2525E3%252582%2525AF%2525E3%252583%252596%2525E3%252583%2525AD%2525E3%252582%2525B0%252Cx_220%252Cy_160%2Fbo_4px_solid_white%252Cg_south_west%252Ch_50%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzg0NDMxM2IyYzAuanBlZw%3D%3D%252Cr_max%252Cw_50%252Cx_139%252Cy_84%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png%3F_a%3DBACAGSGT)
Noble Numbat Release Notes Table of Contents Introduction New features in 24.04 LTS Known Issues Official flavours More information Introduction These release notes for Ubuntu 24.04 LTS (Noble Numbat) provide an overview of the release and document the known issues with Ubuntu and its flavours. For details of the changes applied since 24.04, please see the 24.04.2 change summary. Support lifespan
We're excited to announce @platformatic/php-node, a revolutionary new Node.js module designed to bridge the gap between PHP and Node.js. With php-node, you can now embed PHP directly within your Node.js applications, leveraging PHP as a robust request processor. This powerful combination allows you to harness the strengths of both languages in a single, cohesive environment. What is @platformatic/
Expert used ChatGPT-4o to create a replica of his passport in just 5 minutes bypassing KYC
SECURITY AFFAIRS MALWARE NEWSLETTER ROUND 41 | Security Affairs newsletter Round 519 by Pierluigi Paganini – INTERNATIONAL EDITION | China admitted its role in Volt Typhoon cyberattacks on U.S. infrastructure | Symbolic Link trick lets attackers bypass FortiGate patches, Fortinet warns | Attackers are exploiting recently disclosed OttoKit WordPress plugin flaw | Laboratory Services Cooperative dat
The sad state of property-based testing libraries Posted on Jul 2, 2024 Property-based testing is a rare example of academic research that has made it to the mainstream in less than 30 years. Under the slogan “don’t write tests, generate them” property-based testing has gained support from a diverse group of programming language communities. In fact, the Wikipedia page of the original property-bas
GitHub - taishi-i/awesome-ChatGPT-repositories: A curated list of resources dedicated to open source GitHub repositories related to ChatGPT and OpenAI API
awesome-chatgpt-api - Curated list of apps and tools that not only use the new ChatGPT API, but also allow users to configure their own API keys, enabling free and on-demand usage of their own quota. awesome-chatgpt-prompts - This repo includes ChatGPT prompt curation to use ChatGPT better. awesome-chatgpt - Curated list of awesome tools, demos, docs for ChatGPT and GPT-3 awesome-totally-open-chat
Accepted at ICLR 2026 (Oral). GEPA: REFLECTIVE PROMPT EVOLUTION CAN OUTPER- FORM REINFORCEMENT LEARNING Lakshya A Agrawal1 , Shangyin Tan1 , Dilara Soylu2 , Noah Ziems4 , Rishi Khare1 , Krista Opsahl-Ong5 , Arnav Singhvi2,5 , Herumb Shandilya2 , Michael J Ryan2 , Meng Jiang4 , Christopher Potts2 , Koushik Sen1 , Alexandros G. Dimakis1,3 , Ion Stoica1 , Dan Klein1 , Matei Zaharia1,5 , Omar Khattab6
Detecting and preventing privilege escalation attacks leveraging Kerberos relaying (KrbRelayUp) | Microsoft Security Blog
On April 24, 2022, a privilege escalation hacking tool, KrbRelayUp, was publicly disclosed on GitHub by security researcher Mor Davidovich. KrbRelayUp is a wrapper that can streamline the use of some features in Rubeus, KrbRelay, SCMUACBypass, PowerMad/SharpMad, Whisker, and ADCSPwn tools in attacks. Although this attack won’t function for Azure Active Directory (Azure AD) joined devices, hybrid j
JupyterLab Changelog — JupyterLab 4.6.0a1 documentation
JupyterLab Changelog# v4.5# JupyterLab 4.5 includes a number of new features (described below), bug fixes, and enhancements. This release is compatible with extensions supporting JupyterLab 4.0. Extension authors are encouraged to consult the Extension Migration Guide which lists deprecations and changes to the public API. Performance and windowing# The default windowing mode is now contentVisibil
Cisco Talos discovered malicious activities conducted by an unknown attacker since as early as January 2025, predominantly targeting organizations in Japan. The attacker has exploited the vulnerability CVE-2024-4577, a remote code execution (RCE) flaw in the PHP-CGI implementation of PHP on Windows, to gain initial access to victim machines. The attacker utilizes plugins of the publicly availabl
Why I'm leaving GitHub for Forgejo I moved my code from GitHub to a self-hosted Forgejo. Not because of the outages, but because of who owns what runs on top of them. The Dutch government just made the same call. On April 27, 2026 the Dutch Ministry of the Interior soft-launched code.overheid.nl, a self-hosted Forgejo instance for Dutch government source code. Project manager Boris Van Hoytema sai
ChatGPT - Genie AI - Visual Studio Marketplace
Launch VS Code Quick Open (Ctrl+P), paste the following command, and press enter. A Visual Studio Code - ChatGPT Integration Prompt OpenAI's GPT-4, GPT-3.5, GPT-3 and Codex models within Visual Studio Code This repository is meant for documentation, bug reports and feature requests Testimonials ❄️ Featured by Snowflake on Medium blogpost 🎌 Blogpost VSCode に ChatGPT の拡張機能を入れてコードレビューやバグを発見してもらう 💙
Update 1.88.1: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the March 2024 release of Visual Studio Code. There are many updates in this version that we hope you'll like, some of the key highlights include: Apply custom editor labels - Distinguish between editors with same file names. Locked scrolling -
Vercel Vercel is a serverless hosting platform for web apps. They support git-based deployments, and deploy previews for every branch and pull request, as well as some fancy collaboration tools built on top. Vercel allows you to specify whether to use a Node runtime or a V8 Edge runtime on a per-page basis, so you can use Node functions for some pages and V8 functions for others. I recommend using
Django for Startup Founders: A better software architecture for SaaS startups and consumer apps
In an ideal world, startups would be easy. We'd run our idea by some potential customers, build the product, and then immediately ride that sweet exponential growth curve off into early retirement. Of course it doesn't actually work like that. Not even a little. In real life, even startups that go on to become billion-dollar companies typically go through phases like: Having little or no growth fo
Kubernetes
No results found. Try a different search term, or use our global search. Overview Get started Implementation guides Overview Secure your Internet traffic and SaaS apps ↗ Replace your VPN ↗ Deploy clientless access ↗ Secure Microsoft 365 email with Email security ↗ Holistic AI security with Cloudflare One ↗ Insights Overview Analytics overview Dashboards Overview Access event analytics Gateway anal
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
npmパッケージ/GitHub Actionsを利用する側/公開する側でサプライチェーン攻撃を防ぐためにやることメモ
How I Use Every Claude Code Feature
Reinforcement Learning for Language Models
July 2022 (version 1.70)
AIエージェントに丸投げして雑ランキングAPIを構築 - freee Developers Hub
セカンドパーティコンテンツをもつサードパーティスクリプトの作り方
Ubieにおけるプラットフォームエンジニアリングの取り組み2023 - 電気ひつじ牧場
Disclosure of three 0-day iOS vulnerabilities and critique of Apple Security Bounty program
GtiHub Actionsでオンプレミス環境のCI/CDを実行する方法 - 電通総研 テックブログ
Microsoft Learn Docs の公式 MCP サーバーを試す
GitHub Actions - Visual Studio Marketplace
February 2025 (version 1.98)
[視聴レポート] Claude Code Meetup #claudecode_findy
Ubuntu 24.04 LTS (Noble Numbat) Release Notes
Seamlessly Blend PHP with Node.js
The sad state of property-based testing libraries
GEPA: Reflective Prompt Evolution Can Outperform Reinforcement Learning
Unmasking the new persistent attacks on Japan
Why I'm leaving GitHub for Forgejo | Jorijn Schrijvershof
March 2024 (version 1.88)
Where to host your Remix app in 2024