GitHub上のsensitive dataを削除するための手順と道のり | メルカリエンジニアリング
Advent Calendar day 7 担当の vvakame です。 予告では Apollo Federation Gateway Node.js実装についてポイント解説 としていましたが、社内各所のご協力によりAdvent Calendarの私の担当日に間に合う形で公開できる運びとなりました。そのため告知とは異なりますが GitHub上のsensitive data削除の手順と道のり をお届けしていきたいと思います。 メルペイVPoE hidekによるday 1の記事で振り返りがあったように、今年、弊社ではCodecovのBash Uploaderに係る情報流出という事案が発生しました。当該インシデント対応において、プレスリリースにも記載のある通り、ソースコード上に混入してしまった認証情報や一部個人情報などの機密性の高い情報(sensitive data)について調査を実施し、対応
GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会
2021.02.02 一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人コンピュータソフトウェア協会(略称「CSAJ」、東京都港区赤坂)は、各種メディアで報道されている、クラウドサービス「GitHub」について、正しい理解と対応に向けた文書を発表いたしました。 はじめに 各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要
GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料
GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料 GitHubは、リポジトリに保存されているソースコードをスキャンすることで脆弱性やエラーなどを発見してくれる新機能「GitHub Code Scanning」が正式版として提供開始されたことを明らかにしました。 Code scanning is here! Prevent issues in code by automating security as a part of your workflow. Free for public repositories Developer-first, GitHub native Enabled for GitHub Enterprise Cloud Learn more! https://t.co/2SSCjb
Trivyの脆弱性スキャン結果をFutureVulsに連携してみた(CI/CD編) | DevelopersIO
Trivy は OSS のコンテナ脆弱性スキャンツールで、コンテナの OS パッケージやアプリケーションの依存ライブラリの脆弱性を検出します。 前回、コマンドラインから Trivy でスキャンした結果を脆弱性管理ツールの FutureVuls に連携してみました。 今回は実践的な CI/CD パイプラインに組み込んだパターンを GitHub Actions で作ります。 やってみた 以下の手順で進めます。 ワークフローファイルを作成 シークレットを設定 コンテナ用意 実行 1. ワークフローファイルを作成 ワークフローでは以下を行います。 GitHub Secrets に登録した認証情報をセット trivy(コンテナの脆弱性をスキャン)をインストール trivy-to-vuls(trivy のスキャン結果を vuls のレポート形式に変換)をインストール future-vuls(スキャン結
Redirecting…
Redirecting… Click here if you are not redirected.
全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG
はじめまして。2019年1月に入社したSREスペシャリストのsonotsです。最近MLOpsチームのリーダーになりました。今回の記事はMLOpsの業務とは関係がないのですが、3月に弊社で実施した会社用GitHub個人アカウントの廃止について事例報告します。 TL;DR 会社用GitHubアカウントを作るべきか否か問題 会社用GitHubアカウントの利用で抱えた問題 1. OSS活動時にアカウントを切り替える必要があり面倒 2. GitHubの規約に準拠していない 会社用アカウントを廃止した場合にセキュリティをどのように担保するか GitHubのSAML single sign-on (SSO)機能について 会社用アカウントの廃止およびSSO有効化の実施 会社用GitHubアカウントを使い続ける場合 私用GitHubアカウントに切り替える場合 Botアカウントの場合 Outside Coll
GitHubに過去最大級のDDoS攻撃 Akamaiの協力により約8分で復旧
ソースコード共有ツールを運営する米GitHubは3月1日(協定世界時)、日本時間の3月1日午前2時21分~午前2時30分にアクセス不能、断続化が発生したことについて謝罪、説明した。原因はDDoS攻撃だったという。サービス上のデータに影響はなかったとしている。 ピーク時には1.35Tbpsのトラフィックが集中した。メモリキャッシュサーバ「memcached」を踏み台にした反射型攻撃で、1秒当たり1億2690万パケットが送られた。米Wiredによると、これは2016年10月の攻撃以来の、過去最大の攻撃という。 GitHubは、着信転送帯域幅が100Gbpsを超えた段階で、DDoS防御サービスを提供する米Akamaiにトラフィックを転送し、Akamaiがトラフィックを吸収し、攻撃を低減した。 同社は、今後ネットワークエッジをさらに強化し、トラフィック監視インフラを使ってDDoS低減プロバイダーの
GitHubによる2018年の予想。データがすべて、ワークフローの戦い、OSSは上位レイヤへ、など
年末が近づいてくると、メディアに様々な今年の振り返りや来年の予想記事が並ぶようになります。GitHubは自社ブログで来年の予測「GitHub's technology predictions for 2018を公開しました。 予想は全部で6個あります、そのいくつかを手短に紹介しましょう。 データがすべてを統べる、ワークフローの戦い Data will rule all(データがすべてを統べる) 1つめの予想は「Data will rule all」でした。クラウド1.0ではコンピュートが中心でしたが、クラウド2.0では機械学習などを含むデータ中心時代になり、それがもっとも重要な資産になるとしています。 The workflow war will heat up—and so will mergers and acquisitions (M&A)(ワークフローの戦いが熱くなり買収や統合が起き
[速報]GitHub、依存関係表示でのパッケージやアプリケーション対応、セキュリティアラートなどの新機能発表。GitHub Universe 2017
基調講演では、GitHubの新機能としてプロジェクトの依存関係を表示する「Dependency graph」や、このDependency graphにおいてパッケージやアプリケーションの対応や、依存関係にあるパッケージなどで脆弱性が発見された場合に通知してくれる「Security alerts」機能などが発表されました。 プロジェクトの依存関係を表示する「Dependency graph」 GitHub上で開発されているソフトウェアの多くは、ほかのプロジェクトで開発されているソフトウェア、パッケージ、アプリケーションなどを利用しています。 同社はこうしたプロジェクトの依存関係を「Code metadata」として保持しており、同社 データサイエンスチームのエンジニアリングマネージャのMiju Han氏によると、リポジトリの75%が何らかの依存関係を持ち、半分以上は10以上の依存関係を持ち、
![[速報]GitHub、依存関係表示でのパッケージやアプリケーション対応、セキュリティアラートなどの新機能発表。GitHub Universe 2017](https://cdn-ak-scissors.b.st-hatena.com/image/square/2fd5f9a1fa443bb72e9842cc608727c1b791d118/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2017%2Fgithubuniverse01.gif)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2019/09/19/2019-09-18-github-acquires-code-analysis-tool-semmle/
Exploring the dependencies of a repository - GitHub Docs