タグ: ソフトウェアセキュリティ

gbhackers.com

GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入

GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能

securityweek.com

EmphereがAI搭載の脆弱性修復プラットフォームで210万ドルの資金調達を発表

シアトルに拠点を置くサイバーセキュリティスタートアップのEmphereは、AI駆動の脆弱性修復プラットフォームの開発において、AI2 IncubatorおよびOutsiders Fundから210万ドルのプレシード資金を調達したと今週発表しました。 同社の脆弱性修復へのアプローチは、現代のソフトウェア開発トレンドと軌

csoonline.com

素早く、そして慎重にパッチを当てる:サプライチェーン攻撃に対抗するRuby開発者の新戦略

Rubyパッケージのホスティングサイト「RubyGems」の開発チームは、Rubyパッケージ(gem)を管理するツール「Bundler」に新機能を追加しました。これは最近相次ぐソフトウェアサプライチェーン攻撃から開発者を守ることを目的としており、更新されたばかりのパッケージをインストールするまでに一定の「冷却期間」を

techradar.com

週間2万9,000件超のダウンロードを誇るOpenAI Codexツール、認証トークン窃取を狙う悪意あるnpmサプライチェーン攻撃に関与

Codex UIツールを装った悪意あるnpmパッケージを研究者が発見攻撃者は有効期限のないリフレッシュトークンを含むCodex認証トークンを窃取Aikido SecurityはCodexユーザーを標的とする2つのAndroidアプリも発見新たに発見されたnpmに対するサプライチェーン攻撃が、OpenAI C

helpnetsecurity.com

Secure Code Warrior、開発者トレーニングをAI利用とコードリスクに連動

Secure Code Warriorは、特定されたリスクに基づくターゲット型トレーニングを通じてAIソフトウェアガバナンスの推進を支援する新機能「Adaptive Learning」を発表しました。この機能はコンテキストに応じたマイクロラーニングを提供し、コードコミットレベルで成果を追跡します。

meterpreter.org

自動化への妨害工作:オープンソースプロジェクト jqwik がAIエージェントに対して汚染される

本番アップデートへの秘密のプロンプトインジェクション オープンソースライブラリ「jqwik」は最近、v1.10.0のアップデートに隠された動作指示を組み込みました。この変更は2026年5月25日に密かに導入されたもので、その結果、ダウンストリームのAI開発者が予期せぬシステム削除に直面しています。自動化エージェントが

gbhackers.com

信頼された開発者ツールがコードと機密情報の窃取に悪用される

攻撃者はソフトウェアサプライチェーンに侵入するために信頼された開発者ツールを武器化するケースが増加しており、CISAはCI/CDエコシステムと開発者ワークフローを標的とした複数の継続的なキャンペーンについて警告を発している。 最近の事例には、侵害されたVisual Studio Codeの拡張機能と「Megalodo

cybersecuritydive.com

IBMの新たな50億ドル規模の取り組み、企業によるオープンソース脆弱性の迅速なパッチ適用を支援

このテック大手のプロジェクトにより、企業がオープンソースパッケージを安全に利用しやすくなる可能性がある。 IBMは木曜日、ビジネス界全体で利用されているオープンソースソフトウェアパッケージの脆弱性を発見・修正するために50億ドルを投じると発表した。 「プロジェクト・ライトウェル」を通じて、IBMは「