GitHubがnpm v12でスクリプトの自動インストールを無効化、攻撃対策を強化
GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と
GitHubは、npm v12のリリースに向けてセキュリティを重視したnpmの刷新を発表しました。ソフトウェアサプライチェーン攻撃の緩和と、パッケージインストール時の不正なコード実行を防止するため、より厳格なデフォルト制御が導入されます。 これらの変更は現在、npmバージョン11.16.0以降でオプトイン形式の警告と
オープンソースソフトウェアのサプライチェーンで、また深刻なセキュリティ侵害が発生しました。2026年6月9日、セキュリティアナリストが広く利用されているnpmエコシステム内での深刻なマルウェア感染を公表しました。 dbmuxと特定されたこの悪意のあるパッケージは、ソフトウェア開発者のワークステーションへ不正アクセスす
CyeraのリサーチャーがProtobuf.jsで6件の脆弱性を発見。攻撃者が制御するスキーマデータを実行可能コードに変換できる欠陥も含まれており、下流のソフトウェアサプライチェーンにも影響が及ぶ可能性があります。 GoogleのProtocol B
ウェブサイトはこれまで長年にわたり、ブラウザフィンガープリンティング、トラッキングスクリプト、その他デバイスの識別や行動監視を目的とした手法を通じて、訪問者に関する情報を収集してきた。研究者たちは、ほとんどのユーザーがウェブサイトに観察されるとは思いもよらないもの、すなわちアプリケーションやファイルが
OWASP支援のツールがJavaScriptとTypeScriptのロックファイルをローカルでスキャンし、開発者がCI失敗前に依存関係のリスクを検出し修復するのを支援することを目指しています。 AI開発アシスタントがソフトウェア開発
JavaScriptおよびTypeScriptプロジェクトにおける依存関係脆弱性スキャンは、長きにわたって開発パイプラインの終端に位置してきました。プルリクエストが開かれ、継続的インテグレーションが実行され、セキュリティスキャナーがCVE識別子のリストを返し、開発者はコード作成から数時間または数日後にそれらをトリア
週822,000回以上ダウンロードされている信頼されたnpmパッケージが、洗練されたサプライチェーン攻撃で悪用され、JavaScriptデベロッパーコミュニティに衝撃が走った。 危険性が確認されたバージョン[email protected]、9.2.3、12.0.1は公開から数分以内にフラグが立てられたが、それでも無数の開
広く使用されているAxiosのnpmパッケージの最近の漏洩は、標的型ソーシャルエンジニアリング攻撃の結果であることが確認されました。 開発者を悪意あるコードに一時的にさらしたこのインシデントは、オープンソースソフトウェアサプライチェーン内での増加するリスクをハイライトしています。 3月31日、攻撃者はAxiosの2つ
Microsoftは、悪意のあるAxios npmリリースと北朝鮮の脅威アクター「Sapphire Sleet」に起因するインフラストラクチャを含む最近のサプライチェーン侵害を検出・軽減する方法について、組織がどのように対応できるかを詳しく説明しました。 2026年3月31日、2つのAxios npmバージョン(1
OWASP Zed Attack Proxy (ZAP)は、最新のウェブアプリケーションのテストのために大規模なアップグレードを受けました。 ZAP PTKアドオン0.3.0のリリースは、OWASP PenTest Kit (PTK) 9.8.0と連携して、ブラウザベースのセキュリティ検出をネイティブZAPアラート
すべての記事を読み込みました