タグ: オープンソースセキュリティ

darkreading.com

アンソロピックのAIがバグを発見、IBMは50億ドルを賭けてそれを修正する

Red Hatとその親会社であるIBMは、驚くべき50億ドルをProject Lightwellに投じることを発表しました。これは、本番環境でオープンソースソフトウェアを更新する際の中断リスクを負えない、事業継続に不可欠なシステムを運用する企業向けの、サブスクリプション型パッチ提供サービスです。オープンソースソフトウェ

helpnetsecurity.com

Aikido Security、Rootを買収――オープンソース脆弱性へのバックポート修正を拡大

Aikido SecurityはRootを買収し、開発者やエージェントが安全なオープンソースを活用して開発しやすくするという共通のミッションのもと、両社は一体となりました。サプライチェーン攻撃の脅威が拡大するなか、オープンソースは世界中のほぼすべてのアプリケーションの基盤であり、攻撃者にとっての主要な

cyberpress.org

GitHub Advisory Databaseが過去最高を更新——2026年5月に1,560件のレビュー済みアドバイザリを公開

GitHub Advisory Databaseが前例のない節目を迎えました。2026年5月に公開したレビュー済みアドバイザリは1,560件に達し、通常の月間件数の5倍以上となる、データベース史上最多を記録しました。 2026年3月から5月にかけて、GitHubは月間6,000件超のアドバイザリ判定を3か月連続で維持

helpnetsecurity.com

GitHubの審査速度を上回る脆弱性レポートの急増

オープンソースの世界全体で、ソフトウェアの脆弱性が記録的なペースで報告されており、それを検証するために構築されたシステムはその負荷に耐えきれなくなっています。数百万のプロジェクトに自動セキュリティアラートを提供するGitHub Advisory Databaseでは、新しいアドバイザリの一部が公開まで

cyberscoop.com

ソフトウェア開発界の「速度至上主義」がTeamPCPの破壊的な攻撃を可能にした経緯

TeamPCPがオープンソースソフトウェアの世界で暴れ回っています。 わずか4カ月足らずで、この脅威アクターは1,000を超えるソフトウェアパッケージに侵入し、悪意あるコードを注入しました。この前代未聞の連続攻撃により、ソフトウェア開発者やメンテナーがコードを配布・管理する方法は大きく変わりました。依存関係やリポジト

cyberpress.org

140以上のMastra npmパッケージが侵害され、認証情報が窃取される

npmサプライチェーン攻撃がMastra AIフレームワークのエコシステムを標的とし、脅威アクターが140以上のパッケージを侵害して、暗号資産ウォレットデータ・ブラウザ履歴・開発者の認証情報を窃取するクロスプラットフォーム型インフォスティーラーを展開していたことが明らかになりました。 MicrosoftとSocket

infosecurity-magazine.com

Chainguard、JPMorgan、BNYがオープンソースをAIの脅威から守るために連携

オープンソースセキュリティ企業のChainguardが、AIの攻撃からオープンソースソフトウェアを守るための新たな業界連合を結成し、数十のパートナーを集めました。 「Athena」と名付けられたこのイニシアチブは、6月16日にChainguardが発表しました。創設メンバーには、BNY、Chainguard、Cisco

securityweek.com

Atomic Arch サプライチェーン攻撃、AURパッケージ1,500件以上に影響

Arch Linuxは月曜日、進行中のサプライチェーン攻撃の一環として大量の悪意あるパッケージが公開されたことを受け、Arch User Repository(AUR)への新規アカウント登録を一時停止すると発表しました。 AURはコミュニティ主導のリポジトリで、公式リポジトリに収録されていないソフトウェアのビルドスク