タグ: ソフトウェアサプライチェーン

helpnetsecurity.com

オープンソースのコラボレーションが世界的に拡大し、メンテナーへの負担が増大

開発者たちは、GitHubがこれまでほとんど目にしたことのないペースで、経済圏の垣根を越えてコードのプッシュやプルリクエストの送信を行っています。あるエコノミーの開発者から別のエコノミーの公開リポジトリに対して送られたgitプッシュとプルリクエストの合計を示す「アウトバウンド・コラボレーション」は、最

gbhackers.com

署名の可変性を悪用し、攻撃者が検証済みGitHubコミットの複製を生成可能に

攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで

cyberpress.org

GitHub「Verified」バッジ、同一の署名済みコミットで複数のハッシュに表示される問題

新たに発表された研究論文により、GitHubの「Verified」バッジはコミットハッシュが署名済みコンテンツを一意に識別することを保証しないことが明らかになりました。この事実は、ソフトウェアサプライチェーン全体でハッシュベースのセキュリティ制御を支えてきた根本的な前提を揺るがすものです。 Jacob Ginesin

darkreading.com

アンソロピックのAIがバグを発見、IBMは50億ドルを賭けてそれを修正する

Red Hatとその親会社であるIBMは、驚くべき50億ドルをProject Lightwellに投じることを発表しました。これは、本番環境でオープンソースソフトウェアを更新する際の中断リスクを負えない、事業継続に不可欠なシステムを運用する企業向けの、サブスクリプション型パッチ提供サービスです。オープンソースソフトウェ

darkreading.com

ノボ ノルディスクの情報漏えいが示すソフトウェア開発パイプラインのリスク

ノボ ノルディスクで最近発生した大規模とみられる情報漏えいは、攻撃者が単一のGitHubアクセストークンを足がかりに侵入したと報告されており、コードリポジトリや開発者環境が、知的財産・認証情報・ソフトウェアサプライチェーン資産を狙う攻撃者にとっての主戦場となっている実態を改めて浮き彫りにしています。オゼンピックやウゴー

helpnetsecurity.com

開発者エンドポイントにおける認証情報の可視化:セキュリティチームの取り組み

以前の分析でも述べたように、攻撃者はすでに開発者のマシンに機密情報が存在することを把握しています。問題は、セキュリティチームがそれを認識しているかどうかです。2026年のサプライチェーン攻撃は、休むことなく続いています。Megalodonは6時間で5,500件のGitHubリポジトリにバックドアを仕込

koi.ai

初めて確認された悪意あるMCP:あなたのメールを盗み続けるPostmarkバックドア

MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確