GitHubがnpmインストールスクリプトの悪用を防ぐ自動制御機能を導入
GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能
GitHubは、npm v12のリリースに向けて、セキュリティを重視した大規模なnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和とパッケージインストール時の不正コード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は、npmバージョン11.16.0以降でオプトインの警告機能
シアトルに拠点を置くサイバーセキュリティスタートアップのEmphereは、AI駆動の脆弱性修復プラットフォームの開発において、AI2 IncubatorおよびOutsiders Fundから210万ドルのプレシード資金を調達したと今週発表しました。 同社の脆弱性修復へのアプローチは、現代のソフトウェア開発トレンドと軌
Rubyパッケージのホスティングサイト「RubyGems」の開発チームは、Rubyパッケージ(gem)を管理するツール「Bundler」に新機能を追加しました。これは最近相次ぐソフトウェアサプライチェーン攻撃から開発者を守ることを目的としており、更新されたばかりのパッケージをインストールするまでに一定の「冷却期間」を
Anthropicが提供する最高性能のAIモデルへのアクセスが、新たに150の組織に拡大されました。これにより、世界で最も重要なソフトウェアの脆弱性を最先端AIで発見するプログラムの対象が広がっています。 Anthropicは6月2日、Project Glasswingの拡大を発表しました。4月にClaude Myth
創刊20周年を記念して、Dark Readingは、長年にわたりブログやコラムを寄稿してきたサイバーセキュリティ業界のリーダー5人に、お気に入りの記事を選び、今日の視点からの振り返りを共有するよう依頼しました。これは私が担当したセクションです。 著名な技術者・著述家のブルース・シュナイアーは、2010年6月
Codex UIツールを装った悪意あるnpmパッケージを研究者が発見攻撃者は有効期限のないリフレッシュトークンを含むCodex認証トークンを窃取Aikido SecurityはCodexユーザーを標的とする2つのAndroidアプリも発見新たに発見されたnpmに対するサプライチェーン攻撃が、OpenAI C
Secure Code Warriorは、特定されたリスクに基づくターゲット型トレーニングを通じてAIソフトウェアガバナンスの推進を支援する新機能「Adaptive Learning」を発表しました。この機能はコンテキストに応じたマイクロラーニングを提供し、コードコミットレベルで成果を追跡します。
本番アップデートへの秘密のプロンプトインジェクション オープンソースライブラリ「jqwik」は最近、v1.10.0のアップデートに隠された動作指示を組み込みました。この変更は2026年5月25日に密かに導入されたもので、その結果、ダウンストリームのAI開発者が予期せぬシステム削除に直面しています。自動化エージェントが
攻撃者はソフトウェアサプライチェーンに侵入するために信頼された開発者ツールを武器化するケースが増加しており、CISAはCI/CDエコシステムと開発者ワークフローを標的とした複数の継続的なキャンペーンについて警告を発している。 最近の事例には、侵害されたVisual Studio Codeの拡張機能と「Megalodo
このテック大手のプロジェクトにより、企業がオープンソースパッケージを安全に利用しやすくなる可能性がある。 IBMは木曜日、ビジネス界全体で利用されているオープンソースソフトウェアパッケージの脆弱性を発見・修正するために50億ドルを投じると発表した。 「プロジェクト・ライトウェル」を通じて、IBMは「
すべての記事を読み込みました