素早く、そして慎重にパッチを当てる:サプライチェーン攻撃に対抗するRuby開発者の新戦略
Rubyパッケージのホスティングサイト「RubyGems」の開発チームは、Rubyパッケージ(gem)を管理するツール「Bundler」に新機能を追加しました。これは最近相次ぐソフトウェアサプライチェーン攻撃から開発者を守ることを目的としており、更新されたばかりのパッケージをインストールするまでに一定の「冷却期間」を
タグ: パッケージ管理
KDE Linuxのセキュリティ監査、カーネルモジュールと未使用パッケージを削除
KDEコミュニティが開発中のオペレーティングシステム「KDE Linux」は、同システムに同梱されているコンポーネントのセキュリティ監査を経て、複数のカーネルモジュールとソフトウェアパッケージを削除しました。この取り組みは、前月にアップストリームのLinuxカーネルで複数のセキュリティ上の問題が発見さ
depthfirst、悪意ある依存パッケージに対するインストール前保護機能を追加
depthfirstは「Dependency Firewall」を発表しました。これは企業内でダウンロードされるすべてのオープンソースパッケージを検査し、リクエスト元の人物やシステムに届く前に悪意あるものをブロックするプロダクトです。開発者やAIエージェント、ClaudeやCodexといったAIツール
GitHubがステージングされた公開保護でnpmセキュリティを強化
GitHubはnpm CLIバージョン11.15.0でステージングされた公開と新しいインストール時間制御の一般提供により、npmエコシステムに大きなセキュリティ強化をもたらしました。 これらの更新はソフトウェアサプライチェーンリスクを低減するように設計されており、特に危険にさらされた開発者アカウント、悪意のあるパッケ
AntV データ可視化ツールが進行中のnpm サプライチェーン攻撃の最新の標的に
最大規模のインシデントは、開発者が緊急にパッケージセキュリティをチェックすべき警告である、と専門家は述べています。 世界最大のオープンソースレジストリであるnode package manager(npm)が、今回は広く使用されているAn
OpenAIがTanStack供給チェーン攻撃の被害を受ける
OpenAIは最近のTanStack供給チェーン攻撃の影響を開示し、認証情報が内部ソースコードリポジトリから流出したことを警告しました。 オープンソースのウェブアプリケーション開発スタックTanStackは5月11日に被害を受けました。TeamPCPハッキンググループがパッケージ公開プロセスのセキュリティ脆弱性を悪用
偽造TanStack npmパッケージが開発者の機密データを流出
サイバーセキュリティ研究者は、npmレジストリを通じて開発者を狙った活動中のサプライチェーン攻撃を発見しました。 Socket Research Teamは、正規のTanStackオーガニゼーションになりすまして偽装した悪意のあるスコープなしパッケージ「tanstack」を検出しました。開発者がこの偽造パッケージを誤
Cloudsmithが Series C 資金調達で 7,200 万ドルを調達
アーティファクト管理プラットフォームのCloudsmithは本日、Series C 資金調達ラウンドで 7,200 万ドルを調達したことを発表しました。これにより、同社が調達した総額は 1 億 2,400 万ドルになります。 新しい投資ラウンドはTCVがリードし、Insight Partnersおよび他の既存投資家
完全無料のLinux OS Trisquelがバージョン12.0 Ecneで大幅アップデート
個人ユーザー、小規模企業、教育機関を対象とした無料オペレーティングシステムであるTrisquel GNU/Linuxは、バージョン12.0をリリースしました。Ecneというコードネームで名付けられたこのリリースは本番環境対応と宣言されており、パッケージング、カーネル、セキュリティ、利用可能なソフトウェ
PhantomRaven: 見えない依存関係に隠れたNPMマルウェア
126個の悪意あるnpmパッケージ。86,000件を超えるダウンロード。世界中の開発者からnpmトークン、GitHub認証情報、CI/CDシークレットを積極的に盗んでいます。すべてが、ほとんどのセキュリティツールが依存する依存関係分析から隠された依存関係に悪意あるコードを隠しながら行われています。このキャンペーンをP
すべての記事を読み込みました