securityに関するsimplememofastのブックマーク (3)

  • Claude Codeに作らせたデスクトップアプリ、その後3ヶ月でどうなったか

    相変わらず、機能コードとほぼ同量のテストが AI から生成されています。そしてコードを書いているのは今でも 99% AIです。私がやっているのは、後述するとおり「何を作るか」と「当に正しいか」の判断だけ。 3ヶ月で足された主なもの: KaTeX 数式レンダリング($$...$$) 内部 Markdown リンクのアプリ内遷移([link](./other.md) をクリックすると履歴付きで移動) 起動高速化(数式を含まない文書では KaTeX を一切ロードしない遅延読み込み) 多言語対応(簡体字中国語 + System テーマ)← これは外部コントリビューターが入れてくれた セキュリティ体制(Dependabot / cargo audit / npm audit / 週次スキャン / SECURITY.md) 「その後」に起きた、地味だけど大きな変化 1. PRが来た(しかも中国から)

    Claude Codeに作らせたデスクトップアプリ、その後3ヶ月でどうなったか
    simplememofast
    simplememofast 2026/07/09
    核心は脆弱性そのものより「CIが全部通っても実機と敵対的レビューでしか見つからない」点。書くコストが消え、検証コストが主役になった好例
  • 陸上自衛隊が使用したマルウェア入りUSBメモリについてまとめてみた - piyolog

    防衛省・陸上自衛隊は、中部方面総監部(兵庫県伊丹市)が使用していたUSBメモリについて、2025年2月にマルウェアが含まれていることを検知した事例があったと公表しました。確認されたマルウェアによる情報の窃取や外部への通信、システムへの拡散は確認されておらず、陸自システムへの影響や外部への情報流出もなかったとしています。ここでは関連する情報をまとめます。 問題のUSBメモリ、2024年4月から使っていた 陸上自衛隊中部方面総監部は、能登半島地震への災害派遣対応に際して物品登録し利用していたUSBメモリを2024年4月以降使用していた。陸上幕僚長は6月30日の定例記者会見で「陸上自衛隊中部方面総監部において、令和6年4月以降使用していたUSBメモリに、マルウェアが含まれていることを、令和7年2月に検知した事例がありました」と言及。つまり使用開始から検知までは約10か月を要したことになる。*1

    陸上自衛隊が使用したマルウェア入りUSBメモリについてまとめてみた - piyolog
    simplememofast
    simplememofast 2026/07/08
    検品・接続時チェック・ソフト設定の三層が全て素通りし、実際に検知させたのは動作が遅いという隊員の違和感。体制ではなく例外処理の人間が最後の砦だったのが核心
  • OIDC・Trusted Publishing でも残る、GitHub Actionsの認証情報の漏洩リスクと軽減策 - GMO Flatt Security Blog

    はじめに こんにちは。GMO Flatt Security株式会社 セキュリティエンジニアの佐藤(@Nick_nick310)と佐藤(@teppay_sec)です。 シリーズでは全4回にわたり、GitHub Actionsのセキュリティについて体系的に解説します。まだお読みでない方は、Vol.1からご覧いただくことをお勧めします。 Vol.1: 相次ぐGitHub Actions 侵害から学ぶ、初期アクセス手法と開発者が知っておきたい対策 - GMO Flatt Security Blog Vol.2: GitHub Actions 認証情報ごとのリスクから読み解く、権限昇格パターンとその対策 - GMO Flatt Security Blog 第3弾となるこの記事では、GitHub Actionsにおける侵害時のリスクと軽減策について解説します。初期アクセスや権限昇格によって、攻撃者は

    OIDC・Trusted Publishing でも残る、GitHub Actionsの認証情報の漏洩リスクと軽減策 - GMO Flatt Security Blog
    simplememofast
    simplememofast 2026/07/02
    cleanupとrevokeは別物。ポストステップの後始末はrunnerから鍵を消すだけで、外に出た鍵は失効まで生きる。なら予防より漏洩前提の検知に一段振るべきじゃないか
  • 1