CIセキュリティスキャナーが見逃すGitHub Actions攻撃パターン
パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security
パイプラインが「グリーン」であることと「統制されている」ことは同義ではありません。そして、エージェント型コーディングの普及は、レビュー体制が追いつくよりも速いペースでその差を広げています。 執筆:Shane Warden(ActiveState、プリンシパルアーキテクト) 2026年6月、Novee Security
分析により、組織の38%がスクリプトインジェクションや安全でないトリガー設定に対して脆弱なGitHub Actionsワークフローを実行していることが明らかになりました。これは、現代のソフトウェアサプライチェーンにおけるリスクの高まりを示しています。 GitHubは開発パイプラインの中心的な役割を担っており、YAML
出典: PJ McDonnell via Shutterstock脅威アクターがAI支援型の自動化を使用して、GitHub上のオープンソースソフトウェアリポジトリに対して数百回のエクスプロイト試行を行ったと見られています。クラウドセキュリティベンダーのWizが分析した450以上のエクスプロイト試行のうち、成功率は10%
GitHub の pull_request_target ワークフロートリガーを悪用して、大規模に CI/CD シークレットを盗むための自動化されたキャンペーン。 ezmtebo というハンドルを使用した攻撃者は、わずか 26 時間で 475 件以上の悪質なプルリクエスト (PR) を送信し、通常の CI 設定更新
設立以来、Sysdig Threat Research Team(TRT)は、世...