Intro Nx リポジトリが攻撃を受け、広範囲にわたるインシデントが発生した。 今回の事例は、GitHub Actions を中心に複数のステップが組み合わさった攻撃であり、過去に何度も発生してきた攻撃と本質的には変わらない。 しかし、途中で AI が何度か登場するため「AI が書いたコードをマージしたから」などといった表面的な反応もあるが、実態はそこまで単純な話でもない。 また、「自分のプロジェクトは Nx を使っていないから関係ない」とも言えない攻撃であるため、特にフロントエンドエンジニアは全員注意と確認が必要となる。 この攻撃が何だったのか、そこから学べることは何なのか、解説する。 Nx Incident 今回のインシデントについては、既に公式の Advisory が出ている。ニュース系の記事も多々あるが、一次情報は以下となる。 Malicious versions of Nx a
Devin, Coding Agent (Github Copilot), Codex (OpenAI) やJules (Google)のような、バックグランド動作するコーディングエージェントが続々と発表されて、ついに先日のAnthropicのカンファレンスでClaude Codeでも同様のことが行えるようになりました! Claude CodeのDevin型コーディングエージェントはGithubワークフロー上で動作するのですが、なんと実装のコードがなんと公開されているではありませんか!! プロンプトやGithubのMCP設定等の実装も垣間見ることが出来ます! AIエージェントを開発している身からすると常時稼働型エージェントを作りたいと考えており、バックグラウンド型のコーディングエージェントの動作はどうしても深ぼらねばと思っていた矢先に撒き餌が...! それだけでなく、プロンプト設計自体の完
オープンソース・プロジェクトのたたみ方
本記事は Embulk に関する以下のアナウンスの、非公式日本語版 + α です。 Embulk の「メンテナンス・モード」 去る 2025 年 10 月 15 日、その時点で GitHub の embulk organization に入っていた人に向けて、以下のようなメールを送りました。 Embulk に関係し、中でも Embulk の GitHub org にいる皆さま、 Embulk 関係の git log から確認できた公開メールアドレスや、個別に確認できたメールアドレス宛にお送りしています。 … (中略: 英語でのごあいさつなど) … ご無沙汰しております。みくるべです。 このところ、一部から RubyGems 周辺の話題が聞こえてきます。 https://rubycentral.org/news/rubygems-org-aws-root-access-event-septe
Devinにお願いしてソースコードからドキュメントを生成してもらえると面白そうなので実験してみた。Devin Wiki や Deep Wiki もあるんだけど、それとは別に自分で指示を出してコントロールできるのもいいかなという気持ち。 どうせ作るなら自分がドキュメントを読みたいやつがいいなぁと思って、ecspresso が好きだから、ecspressoのソースコードからドキュメントを生成してみることにした。 軽い気持ちでやってみたら、思ってたより苦戦した。すごくいい感じにできたわけじゃないので「この記事をめちゃ信じる!」んじゃなくて「へー、ちょっと参考にしとこっか」くらいが良いと思う。 勢いで書かないと書き終わらなさそうだったので、勢いでざーっと書いた。ので長い。 できあがったもの できあがったものを最初に書いておく。わりと気に入ってる。ただ、生成するたびに色々変わるので、雰囲気で参照する
2026年3月19日、Aqua Security が提供するOSSセキュリティスキャナ Trivy のエコシステムが、3週間以内に2度目のサプライチェーン攻撃を受けました。攻撃者は aquasecurity/setup-trivy および aquasecurity/trivy-action の2つのGitHub Actionsに悪意あるコードを注入し、これらを利用するCI/CDパイプラインからクレデンシャルを大規模に窃取するペイロードを配布しました。 本記事では、GitHub Events APIおよびGitHub上に残存するcommitデータから取得したエビデンスをもとに、何が起こっているかを記録します。その上で、取りうる対応指針を示します。 免責 本記事の目的は事態の把握と対応の促進であり、違法行為への加担・助長を意図するものではありません。ペイロードの動作は手法の理解に必要な範囲で要
はじめに GitHub Script概要 セットアップ context の中身 eSquare Liveでの活用事例 発生した問題 タグの打ち間違い releaseブランチが複数存在する場合のデプロイ先選択の複雑化 解決策としてのGitHub Scriptの活用 機能1 vX.Y.Zのタグがmainブランチのコミットハッシュと一致することを確認する 機能2 releaseブランチは最新バージョンのみ自動で検証環境にデプロイする 完成版スクリプト まとめ はじめに こんにちは、enechainでeSquare Liveを開発しているエンジニアの古瀬(@tsuperis3112)です! 今回は、マニュアル依存になりがちなデプロイフローの問題を actions/github-script で解消した方法についてお話します。 eSquare Liveの開発では、効率的かつ信頼性の高い開発フローを維
週に一度まとめて更新のようなパターンだと、体調が悪いときなどにその週はスキップされ、また次の週も更新しようとして偶然タイミングが合わなかった場合などに、1ヶ月更新が止まるみたいな状態は起きやすいです。 1ヶ月更新を止めてしまうと、そこで更新する習慣が失われて、この書籍でいう逆戻りが起きるのかなと思っています。 そのため、JSer.infoではタスクを細分化して進められる時にやっていけるような形を作っています。 ライブラリのメンテナンスのリズムをツール化する JavaScript周りは顕著ですが、ライブラリが細かく分かれていることが多いため、リポジトリの数も多いです。 そのため、リポジトリのCI設定や依存ライブラリのアップデートなどをメンテナンスするだけで無限の時間がかかります。 このメンテナンス作業を手動で毎回やるととても疲れるので、自分の場合はツール化していることが多いです。 作ったり、
本記事では GitHub Actions で pull_request event の代わりに pull_request_target を用い、 workflow の改竄を防いでより安全に CI を実行する方法について紹介します。 まずは前置きとして背景や解決したいセキュリティ的な課題について説明した後、 pull_request_target を用いた安全な CI の実行について紹介します。 本記事では OSS 開発とは違い業務で private repository を用いて複数人で開発を行うことを前提にします。 長いので要約 GitHub Actions で Workflow の改竄を防ぎたい GitHub の branch protection rule や codeowner, OIDC だけでは不十分なケースもある pull_request event の代わりに pull_r
テクノロジー部門CTO室の笹田(ko1)と遠藤(mame)です。今年の 9 月から STORES 株式会社で Ruby (MRI: Matz Ruby Implementation、いわゆる ruby コマンド) の開発をしています(Rubyのこれからを STORES で作る。Rubyコミッター笹田さん、遠藤さんにCTOがきく「Fun」|STORES People )。お金をもらって Ruby を開発しているのでプロの Ruby コミッタです。 本日 12/25 に、恒例のクリスマスリリースとして、Ruby 3.3.0 がリリースされました(Ruby 3.3.0 リリース)。クックパッド開発者ブログで連載していたように、今年も STORES Product Blog にて Ruby 3.3 の NEWS.md ファイルの解説をします(ちなみに、STORES Advent Calendar
注: 本記事は執筆時点(2026年4月)の情報をもとに書いています。実際のご利用にあたっては、公式ドキュメント等の最新情報を参照し、正確性を確認の上ご利用ください。 さて、axiosへの攻撃の件で、サプライチェーンアタックの恐ろしさを改めて感じさせられました。外部ライブラリを使う場合、基本的にはセキュリティ面も含めて最新バージョンを使いたいわけですが、その更新作業は脆弱性が入り込みやすいタイミングでもあるというジレンマがあるわけです。 なので、以下のようなポリシーとフローでの外部ライブラリ利用が現状の推奨要件と言えるでしょう。 基本は最新バージョンを使う 機能面、パフォーマンス、セキュリティ面でより良い 追随を怠ると更新が困難になり、新機能が使えないだけではなく、セキュリティリスクも高まる ただし、新バージョンリリース直後ではなく、しばらくしてから最新版を適用する 最新バージョンに問題が無
GitHub のセキュリティ改善
先日 tj-actions/changed-files などの人気の GitHub Actions のセキュリティインシデントがありました (CVE-2025-30066)。 自分は OSS の開発者として様々な OSS を公開しており、こういったセキュリティインシデントは他人事ではありません。 そこでこの 1 ヶ月弱セキュリティ周りを見直し、かなり改善することが出来ました。 本記事では GitHub のセキュリティを改善する方法について紹介します。 主なターゲットしては自分のような OSS の開発者ですが、 GitHub を使っている方全てに参考になる内容かなと思います。 皆さんが本記事を参考にセキュリティを改善し、セキュリティインシデントを未然に防ぐことが出来れば幸いです。 先日登壇した GitHub Actions 関連の資料 先日 2025-03-11 に GitHub Actio
GitHub - modelcontextprotocol/servers: Model Context Protocol Servers
Official integrations are maintained by companies building production ready MCP servers for their platforms. 21st.dev Magic - Create crafted UI components inspired by the best 21st.dev design engineers. 2slides - An MCP server that provides tools to convert content into slides/PPT/presentation or generate slides/PPT/presentation with user intention. ActionKit by Paragon - Connect to 130+ SaaS inte
Fish 4.0: The Fish Of Theseus
About two years ago, our head maintainer @ridiculousfish opened what quickly became our most-read pull request: #9512 - Rewrite it in Rust Truth be told, we did not quite expect that to be as popular as it was. It was written as a bit of an in-joke for the fish developers first, and not really as a press release to be shared far and wide. We didn’t post it anywhere, but other people did, and we go
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに この記事は クラウドワークスグループ Advent Calendar 2025 シリーズ1 の 18日目の記事です。 あるときはTerraform職人、またあるときはお豆腐職人の @minamijoyo です。 2023年8月HashiCorpはこれまでMPL2のOSSライセンスで公開していた主要製品をBSL(Business Source License)に変更することを発表し、Terraformはv1.6.0からOSSではなくなりました。このライセンス変更を受けて、OSS版のTerraformを求める人たちで、MPL2時点
先日起きた tj-actions や reviewdog のセキュリティインシデントのレポートを読みました。 その内容を個人的な検証結果や感想を挟みつつかいつまんで書きたいと思います。 詳細は原文を読んでください。 なお、侵害された repository 及び tag は全て修正され、盗まれた Personal Access Token (PAT) も revoke されているはずです。 攻撃の流れ tj-actions/changed-files が侵害されるまでに複数の PAT の流出及びリポジトリの侵害が連鎖的に起こっています。 つまり tj-actions/changed-files が直接的にいきなり侵害されたというより、複数のリポジトリをいわば踏み台のようにして侵害したという感じでしょうか。 攻撃者は PAT が盗まれたりした GitHub Account とは別に複数の Gi
# はじめに GitHub Changelog を元に、GitHub Actions がどのように更新されていったかを簡単にまとめました。 あまり深いところまでは書いてないので、気になった変更があったら各自調べてください(もっと色々書きたかったけど時間なかった)。 わりと雑に作ったので漏れや間違いがあったらコメントとか下さい。 2021/12/01 までの情報をもとにこの記事は書かれています。 この記事は GitHub Actions Advent Calendar 2021 の 1 日目の記事です 🎅🎂 目次 # はじめに # 歴史 ## 発表 〜 正式リリース(2018/10 〜 2019/11) ## 2020 ### 1Q + α ### 2Q ### 3Q ### 4Q ## 2021 ### 1Q ### 2Q ### 3Q ### 4Q ## 2022 ### 1Q #
The first Asahi Linux Alpha Release is here! - Asahi Linux
It’s been a long while since we updated the blog! Truth be told, we wanted to write a couple more progress reports, but there was always “one more thing”… So, instead, we decided to take the plunge and publish the first public alpha release of the Asahi Linux reference distribution! We’re really excited to finally take this step and start bringing Linux on Apple Silicon to everyone. This is only t
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2)
GitHub Actions Supply Chain Attack: A Targeted Attack on Coinbase Expanded to the Widespread tj-actions/changed-files Incident: Threat Assessment (Updated 4/2) Executive Summary Update April 2: Recent investigations have revealed preliminary steps in the tj-actions and reviewdog compromise that were not known until now. We have pieced together the stages that led to the original compromise, provid
Posted on Monday, April 1, 2024. Updated Wednesday, April 3, 2024. Over a period of over two years, an attacker using the name “Jia Tan” worked as a diligent, effective contributor to the xz compression library, eventually being granted commit access and maintainership. Using that access, they installed a very subtle, carefully hidden backdoor into liblzma, a part of xz that also happens to be a d
ruby-jpでwebsocket-client-simpleというgemの開発を引き取った経緯 | うなすけとあれこれ
ただdeployしたかっただけなのに 僕のお手伝いしている、とある会社ではdeployをSlack botから行っていましたが、ある日そのbotが動かなくなっていました。Twitterでも少し話題になったので覚えていらっしゃる方もいると思います。 Rubotyで動いてた煉獄さんがSlack RTM周りの変更で動かなくなってしまったためGitHub Actionsに載せ替えました。通知の責務に関しては、炭治郎が受け継ぎました pic.twitter.com/nM4hvc5oTL — 黒曜@Leaner Technologies (@kokuyouwind) December 7, 2021 このとき何が起こっていたのか。前述したとある会社では、Slack bot frameworkとしてRubotyを、Slackとの通信にはruboty-slack_rtm gemを使っていました。 r7ka
tl;dr リポジトリを新オーナーにTransferする 返す刀でTransferしたRepositoryを元オーナー側にForkしもどす Forkしたものをアーカイブする Transfer先のモジュール名を変更し、新しいタグを打って開発を継続する GitHubのリポジトリのオーナー変更 この記事はGo Advent Calendar 2021カレンダー2の10日目の記事です。 さて、オーナー変更や個人プロジェクトをオーガニゼーションに移行したい等の理由で、GitHub上のリポジトリのオーナーを変更することがあるでしょう。 GitHubにはTransferring a repositoryの機能があり、それを使えば簡単です。issueやpull request等の履歴も含めて引き継いでくれますし、旧リポジトリから新リポジトリへのリダイレクトも自動的におこなわれます。なのでこれで解決なのです
Python in Visual Studio Code – September 2021 Release - Microsoft for Python Developers Blog
We are pleased to announce that the September 2021 release of the Python Extension for Visual Studio Code is now available. You can download the Python extension from the Marketplace, or install it directly from the extension gallery in Visual Studio Code. If you already have the Python extension installed, you can also get the latest update by restarting Visual Studio Code. You can learn more abo
Hardening GitHub Actions: Lessons from Recent Attacks | Wiz Blog
How to Harden GitHub Actions: The Unofficial GuideBuild resilient GitHub Actions workflows with lessons from recent attacks. Over the past three years, researchers have highlighted the risks associated with GitHub Actions. These threats became manifest with two recent incidents. First, last December brought a supply chain attack where attackers exploited a vulnerable GitHub Actions workflow to int
Shopify, pulling strings at Ruby Central, forces Bundler and RubyGems takeover
23 September 2025 Shopify, pulling strings at Ruby Central, forces Bundler and RubyGems takeover Ruby Central recently took over a collection of open source projects from their maintainers without their consent. News of the takeover was first broken by Ellen on 19 September. I have spoken to about a dozen people directly involved in the events, and seen a recording of a key meeting between Ruby Ge
こんにちは @hsbt です。ゼルダの伝説 ティアーズ オブ ザ キングダムがついに発売されたので RubyKaigi 2023 の登壇後にプレイを開始していますが、引き続き原神もアップデートがあり、さらに崩壊:スターレイルも始めてしまったので大変なことになっています。 さて、今回は 5/11-13 に長野県松本市 まつもと市民芸術館 で開催された RubyKaigi 2023 で私 @hsbt が廊下会議で何を話してきたのか、という内容をご紹介します。 廊下会議とは 本日の技術顧問業、「技術カンファレンスへ参加するときに大事にしたいのは廊下(自然発生的に起こるインフォーマルなオフライン議論の場)だ」という話をした— Takuto Wada (@t_wada) 2019年10月17日 t_wada さんが初出かどうかは定かではないのですが、カンファレンスの醍醐味は廊下、とはよく言われます。
ENOSUCHBLOG Programming, philosophy, pedaling. Home Tags Series Favorites Archive Main Site TILs GitHub Actions could be so much better Sep 22, 2023 Tags: programming, rant, security, workflow I love GitHub Actions: I’ve been a daily user of it since 2019 for both professional and hobbyist projects, and have found it invaluable to both my overall productivity and peace of mind. I’m just old enough
I’ve been curious about what happens inside Claude Code so I’ve spent a couple hours digging through prompts that it sends back to Anthropic. As I’ve been going through that, I’ve gathered some insights why Claude Code is often slower and more expensive than other tools like Cursor. Updated: Since this post was published, someone on the internet created much deeper analysis of Claude Code. Check i
Why GitHub Actually Won
A few days ago, a video produced by @t3dotgg was posted to his very popular YouTube channel where he reviews an article written by the Graphite team titled “How GitHub replaced SourceForge as the dominant code hosting platform”. Theo’s title was a little more succinct, “Why GitHub Won”. Being a cofounder of GitHub, I found Greg’s article and Theo’s subsequent commentary fun, but figured that it mi
GitHub Actionsのworkflow_runイベントでテストを回すときの要点 - Kengo's blog
Dependabotの作ったPRがSecretsにアクセスできないためにことごとく失敗していたのを修正しました。 github.com SecretsにアクセスできないのはKeeping your GitHub Actions and workflows secure: Preventing pwn requestsで説明されているようにセキュリティ向上のためです。workflow_run イベントでCheckを回すとワークフロー定義は常にデフォルトブランチのものが使われるため、PRでワークフローファイルが悪意を持って変更されてもマージしなければ悪影響を受けません。ので今後、基本的にはSecretsを必要とするワークフローはworkflow_runイベントで回すことになります。 上記securitylab.github.comの記事で色々説明されていますが、わりと限定的なユースケースについ
Find information about security best practices when you are writing workflows and using GitHub Actions security features. Writing workflows Use secrets for sensitive information Because there are multiple ways a secret value can be transformed, automatic redaction is not guaranteed. Adhere to the following best practices to limit risks associated with secrets. Principle of least privilege Any user
Assumed audience: People who have worked with Git or other modern version control systems like Mercurial, Darcs, Pijul, Bazaar, etc., and have at least a basic idea of how they work. Jujutsu is a new version control system from a software engineer at Google, where it is on track to replace Google’s existing version control systems (historically: Perforce, Piper, and Mercurial). I find it interesti
I've sold out
I've sold out 2026-04-08 What a nice WebGL shader. Look at draining your battery. Table of contents So, this is awkward. I've joined Cristina, Jakob, Ramiz, Vegard, Armin, and Colin at Earendil. And I'm taking pi, the little coding agent that could, with me. Now, before you get out the pitchforks, hear me out. Why would you do that? Many reasons! Let me give you a "quick" history lesson. "It's lik
Previous slideNext slideToggle fullscreenOpen presenter view Shunsuke Suzuki GitHub: suzuki-shunsuke X: szkdash SRE at freee Corporation Platform Engineer OSS Developer Automation, CI/CD GitHub Actions, Terraform Go Blog https://zenn.dev/shunsuke_suzuki https://suzuki-shunsuke.github.io/profile/blog GitHub Actions による Renovate の安全自動マージ pull_request_target で GitHub Actions の改竄を防ぐ Terraform Monorepo
Update 1.78.1: The update addresses this security issue. Update 1.78.2: The update addresses these issues. Downloads: Windows: x64 Arm64 | Mac: Universal Intel silicon | Linux: deb rpm tarball Arm snap Welcome to the April 2023 release of Visual Studio Code. There are many updates in this version that we hope you'll like, some of the key highlights include: Accessibility improvements - Better scre
Supply Chain Attack on Axios Pulls Malicious Dependency from...
Update 4/1: We dug deeper into the hidden blast radius of this attack and how dependency resolution expanded its impact: https://socket.dev/blog/hidden-blast-radius-of-the-axios-compromiseA supply chain attack targeting the widely used HTTP client Axios has introduced a malicious dependency into specific npm releases, including axios@1.14.1 and axios@0.30.4. The latest version pulls in plain-crypt
Why I Wrote the BEAM Book
Post-mortems, coffee, and a decade of stubborn curiosity Why I wrote the Beam Book After ten years of keeping Klarna’s core system upright I know this: a 15 millisecond pause in the BEAM can stall millions of peak-shopping payments, trigger a 3 a.m. Christmas-Eve post-mortem, and earn you a very awake call from the CEO. I wrote The BEAM Book so the next engineer fixes that pause before the coffee
はじめに 本記事ではGitOps CDツールの一つであるArgoCDの概要と利用方法について紹介いたします。 ArgoCDとは ArgoCDはKubernetesクラスター向けのContinuous Deliveryを実現するツールです。ArgoCDでは、Kubernetesマニフェストファイルが格納されたGitHub / Helmリポジトリを監視し、リポジトリ上で変更が発生したらその差分を検出して、Kubernetesクラスターに反映します。 GitOpsとは ArgoCDは、いわゆるGitOpsを実現するツールとして注目されています。GitOpsとは、以下のような特徴を備えたContinuous Deliveryの手法です。 GitをSingle Source of Truth(信頼できる唯一の情報源)として扱い、バージョン管理や変更履歴、ピアレビュー、ロールバックなどを、kubect
Trivy Compromised a Second Time - Malicious v0.69.4 Release, aquasecurity/setup-trivy, aquasecurity/trivy-action GitHub Actions Compromised - StepSecurity
March 22, 2026 - Docker Hub images v0.69.5 and v0.69.6 also compromised We have confirmed that the aquasec/trivy:0.69.5 and aquasec/trivy:0.69.6 Docker Hub images also contain the C2 domain. We extracted the trivy binary from the Docker images and found the C2 domain hardcoded in the binaries using strings analysis. These images have since been removed from Docker Hub. This was confirmed by runnin
現在、GitHub Organization (Free) を活用してチーム開発を行っているが、無料版という制限の中で、どう運用 (妥協) しているのかなど、設定と運用ルールを書いていく。 Organizationの設定 基本的なVisibility RepositoryやPackage (未使用)、Projectの Visibility は Private Peopleは 任意 (GitHubのプロフィールにOrganizationを表示する or 表示しない) People (招待方法) Organizationに所属する全てのユーザを Member として招待する。 Team Organizationには、Team という概念があり、これはDiscordでいう ロール のようなもの。 Team に対して、アクセス権限の設定やメンションを行うことが可能。 現在は以下の設定を行っている。
> April 15, 2026 by Zetaphor updated April 18, 2026 Friends Don't Let Friends Use Ollama Ollama gained traction by being the first easy llama.cpp wrapper, then spent years dodging attribution, misleading users, and pivoting to cloud, all while riding VC money earned on someone else's engine. Here's the full history, and why the alternatives are better. Ollama is the most popular way to run local L
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Nx の攻撃から学べること #s1ngularity | blog.jxck.io
Claude Code Actionのプロンプト設計が、AIエージェント開発にかなり参考になる件
Devinにドキュメントを生成してもらう実験 - Mitsuyuki.Shiiba
2026年3月19日の Trivy 再侵害の概要と対応指針
CI/CD革新 GitHub Script活用術 - enechain Tech Blog
Maintainer Month: オープンソースをメンテナンスするコツ
pull_request_target で GitHub Actions の改竄を防ぐ
プロと読み解くRuby 3.3 NEWS - STORES Product Blog
サプライチェーンアタック対策とdependabot活用 | おそらくはそれさえも平凡な日々
Terraform職人のためのOpenTofu再入門2025 - Qiita
tj-actions のインシデントレポートを読んだ
GitHub Actionsの歴史(2021/12/1 更新) - cangoxina
research!rsc: Timeline of the xz open source attack
GitHub上でGoプロジェクトを正しくTransferする | おそらくはそれさえも平凡な日々
RubyKaigi 2023 で開催された廊下会議の紹介 - ANDPAD Tech Blog
GitHub Actions could be so much better
Reverse engineering Claude Code • Kir Shatrov
Secure use reference - GitHub Docs
jj init — Sympolymathesy, by Chris Krycho
GitHub Actions Best Practice 2025
April 2023 (version 1.78)
ArgoCDに入門する - TECHSTEP
【個人的】チーム開発におけるGitHub Organization (Free) の設定と運用ルール
Friends Don't Let Friends Use Ollama | Sleeping Robots