オープンソースのコラボレーションが世界的に拡大し、メンテナーへの負担が増大
開発者たちは、GitHubがこれまでほとんど目にしたことのないペースで、経済圏の垣根を越えてコードのプッシュやプルリクエストの送信を行っています。あるエコノミーの開発者から別のエコノミーの公開リポジトリに対して送られたgitプッシュとプルリクエストの合計を示す「アウトバウンド・コラボレーション」は、最
開発者たちは、GitHubがこれまでほとんど目にしたことのないペースで、経済圏の垣根を越えてコードのプッシュやプルリクエストの送信を行っています。あるエコノミーの開発者から別のエコノミーの公開リポジトリに対して送られたgitプッシュとプルリクエストの合計を示す「アウトバウンド・コラボレーション」は、最
攻撃者はGitのコミット署名フォーマットにおける署名の可変性(signature malleability)を悪用することで、「検証済み(Verified)」とされたGitHubコミットを密かに複製できます。内容は同一でありながらバイト単位では異なるコミットを作成し、有効な署名を保持したまま、新しいハッシュ値のもとで
新たに発表された研究論文により、GitHubの「Verified」バッジはコミットハッシュが署名済みコンテンツを一意に識別することを保証しないことが明らかになりました。この事実は、ソフトウェアサプライチェーン全体でハッシュベースのセキュリティ制御を支えてきた根本的な前提を揺るがすものです。 Jacob Ginesin
Red Hatとその親会社であるIBMは、驚くべき50億ドルをProject Lightwellに投じることを発表しました。これは、本番環境でオープンソースソフトウェアを更新する際の中断リスクを負えない、事業継続に不可欠なシステムを運用する企業向けの、サブスクリプション型パッチ提供サービスです。オープンソースソフトウェ
GitHubのOpen Source Program Office(OSPO)は現在パブリックプレビュー中の新機能「GitHub License Compliance」を利用し、数千件に及ぶオープンソース依存関係を管理するとともに、ライセンスの確認が必要な依存関係を特定しています。 この機能はGitH
ノボ ノルディスクで最近発生した大規模とみられる情報漏えいは、攻撃者が単一のGitHubアクセストークンを足がかりに侵入したと報告されており、コードリポジトリや開発者環境が、知的財産・認証情報・ソフトウェアサプライチェーン資産を狙う攻撃者にとっての主戦場となっている実態を改めて浮き彫りにしています。オゼンピックやウゴー
以前の分析でも述べたように、攻撃者はすでに開発者のマシンに機密情報が存在することを把握しています。問題は、セキュリティチームがそれを認識しているかどうかです。2026年のサプライチェーン攻撃は、休むことなく続いています。Megalodonは6時間で5,500件のGitHubリポジトリにバックドアを仕込
EUサイバーレジリエンス法(CRA)の2027年12月の適用開始に向け、ソフトウェアサプライチェーンの可視化がプロダクトセキュリティ業務の重要な要素になりつつあります。ENISAが公表した「SBOM Adoption State of Play 2026」(SBOM導入現況報告2026年版)の調査結果
MCPサーバーはご存じですよね。AIアシスタントがメール送信やデータベースクエリの実行など、手動でやりたくない面倒な作業を代わりに処理してくれる便利なツールです。しかし、あまり語られていない重大な問題があります。私たちはこれらのツールに「神モード」の権限を与えているのです。会ったこともない人々が作ったツールに。素性を確
CI/CD Abuse Detectorは、継続的インテグレーション(CI)・継続的デプロイメント(CD)のパイプライン、ワークフロー、自動化設定に対する不審な変更を検知するために大規模言語モデルを活用するオープンソースプロジェクトです。リポジトリにはGitHub Actions、GitLab CI、
すべての記事を読み込みました