[B! Github][security] efclのブックマーク

efcl id:efcl

Githubとsecurityに関するefclのブックマーク (86)

The end of GitHub PATs: You can’t leak what you don’t have
efcl 2024/05/03
id_tokenでGitHubのTokenをいい感じに扱えるようにするGitHub Appsの仕組みについて。権限ごとにGitHub Appsを作らなくても良くなる仕組み。

Github

security

Actions

article
リンク
GitHub - octo-sts/app: A GitHub App that acts like a Security Token Service (STS) for the Github API
efcl 2024/05/03
OIDCを使ってSecurity Token Service (STS)を扱うGitHub Apps。 GitHub Actionsから特定のパーミッションを持つ寿命の短いtokenをToken Federationで取得できる。権限ごとのGitHub AppsやPATを作らないで、それをポリシーファイルで管理できる

Github

Actions

security

Tools
リンク
New limits on scoped token creation for GitHub Apps
February 22, 2024 As a proactive measure to protect Github.com availability, GitHub Apps that attempt to create high-complexity scoped installation tokens will receive failures if they would individually reference too many repositories. At the time of release, no GitHub App is above these limits – the limit is approximately 8 times higher than what any app is consuming. See below for details on ho
efcl 2024/02/23
複雑な権限を持つGitHub Appのトークンは作れなくなるという話っぽい。リポジトリ数 x scopeの複雑性で制限が入るみたい

Github

security
リンク
GitHub OAuthアプリを使ったスパム攻撃を停止させる
2024年2月21日ごろから、"Github Jobs"を名乗るGitHubの開発者ポジションをオファーするスパム攻撃が発生しています。仕組みとしては、GitHubのIssueやPRでmentionをするとメールの通知が届くのを利用して、コメントでスパムメッセージを送りつけるものです。以前からこのスパムは存在していましたが、今回おきた問題はGitHub OAuth Appを用意して、スパムコメントで24時間以内にここから申請してくださいという感じの誘導して、OAuthアプリの認証を行わせる攻撃が含まれていました。このスパムOAuthアプリは、GitHubのprivateリポジトリの読み取りやコメントの読み書きなどの権限も持っていたため、このスパムアプリを認可してしまうと、その人のアカウントでさらにスパムコメントが増えるという問題が起きていました。詳細は、次のGitHub Discu
efcl 2024/02/22
スパムやフィッシングサイトを報告して止める方法をまとめた。

Github

security

article
リンク
Fraud Alert: Fake GitHub Job Opportunity Email · community · Discussion #109171
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2024/02/21
GitHubで"GitHub Job"という名前で、IssueやDisussionのコメントを使ったスパムフィッシングが大量発生してる問題。 OAuthアプリの認証をさせて、private repoからデータを抜き取ったりやウイルス的にコメントを拡散させる攻撃が行わ

Github

security
リンク
Secret scanning adds webhook support for validity checks
efcl 2024/02/13
secret_scanning_alert webhookの追加

Github

security
リンク
GitHub Dependabot Alertを愚直に潰し込んだ話 - 10X Product Blog
こんにちは、セキュリティチームでソフトウェアエンジニアをしてる@sota1235です。明けましておめでとうございます！本年も10X Product Blogを何卒よろしくお願いします。さて、今回はセキュリティチームで今年の6月ごろから取り組んできたGitHub Dependabot Alertの削減についてお話しします。サマリーとしては以下です。今年の6月頃から取り組みを開始初期はセキュリティチームで毎日トリアージ、泥臭くAlertの対応を行う主要なRepositoryのAlertは一通り解消、一部は担当チームへの移譲等を行い継続的に維持できる状態へ結果として半年間で500件弱のAlertをcloseし、残ってるAlertも対応方針が全て確定した状態になりました。この数が多いか少ないかはソースコードの規模感にも依存するので言及しませんが、この記事では小さいリソースで取り組み
efcl 2024/01/05
dependabotの運用

Github

security
リンク
Enabling AI-powered generic secret detection - GitHub Enterprise Cloud Docs
efcl 2024/01/03
GitHubのSecurty ScanningでLLMを使ったパスワードっぽいものの掲出

Github

security
リンク
Secret scanning detects generic passwords with AI (limited beta)
efcl 2023/11/09
Secret Scanningで非構造的なパスワードの検出

Github

password

security

LanguageModel
リンク
Secret scanning expands detection to include non-provider patterns (beta)
Secret scanning expands detection to include non-provider patterns (beta) advanced-securitysecret-scanningsecurity-and-compliance November 6, 2023 Secret scanning will now detect the following non-provider patterns: HTTP basic authentication header HTTP bearer authentication header Mongo DB connection string MySQL connection string Postgres connection string OpenSSH private key PGP private key RSA
efcl 2023/11/07
GitHubのSecret Scanningで汎用的なパスワードや秘密鍵の検出に対応

Github

security
リンク
pull_request_target で GitHub Actions の改竄を防ぐ
本記事では GitHub Actions で pull_request event の代わりに pull_request_target を用い、 workflow の改竄を防いでより安全に CI を実行する方法について紹介します。まずは前置きとして背景や解決したいセキュリティ的な課題について説明した後、 pull_request_target を用いた安全な CI の実行について紹介します。本記事では OSS 開発とは違い業務で private repository を用いて複数人で開発を行うことを前提にします。長いので要約 GitHub Actions で Workflow の改竄を防ぎたい GitHub の branch protection rule や codeowner, OIDC だけでは不十分なケースもある pull_request event の代わりに pull_r
efcl 2023/10/22
"pull_request_target では pull request の base branch の最新コミットで workflow が実行される"

Github

Actions

security
リンク
GitHub Actions could be so much better
I love GitHub Actions: I’ve been a daily user of it since 2019 for both professional and hobbyist projects, and have found it invaluable to both my overall productivity and peace of mind. I’m just old enough to have used Travis CI et al. professionally before moving to GitHub Actions, and I do not look back with joy1. By and large, GitHub Actions continues to delight me and grow new features that
efcl 2023/09/30
GitHub Actionsでの脆弱な仕組みについて。

Github

Actions

security
リンク
Introducing auto-triage rules for Dependabot
ProductSecurityIntroducing auto-triage rules for DependabotMake quick work of alerts with preset and custom rules. Since the May beta release of our GitHub-curated Dependabot policies that detect and close false positive alerts, over 250k repositories have manually opted in, with an average improvement of over 1 in 10 alerts. The impact so far: auto-dismissal of millions of alerts that would have
efcl 2023/09/15
dependabotにカスタムルールが追加できるようになって柔軟性が上がった

security

npm

library

article

Github
リンク
Security alert: social engineering campaign targets technology industry employees
Security Security alert: social engineering campaign targets techno logy industry employeesGitHub has identified a low-volume social engineering campaign that targets the personal accounts of employees of techno logy firms. No GitHub or npm systems were compromised in this campaign. We’re publishing this blog post as a warning for our customers to prevent exploitation by this threat actor. GitHub has
efcl 2023/07/19
採用担当者や開発者になりすまし、プライベートリポジトリに招待、そのリポジトリをcloneしてインストールすると感染するマルウェアが仕込まれているという攻撃が増えている話。マルウェアはnpm install時に、ダウンロー

Github

security

npm

article
リンク
GitHub - GitHubSecurityLab/actions-permissions: GitHub token permissions Monitor and Advisor actions
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
efcl 2023/06/27
GitHub Actions実行時にローカルプロキシを設定して、どのAPIが実行されてるかを収集してActionに必要な最小権限の`permissions`をまとめてくれるツール

Github

Actions

security

Tools
リンク
社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。こんにちは。メルコインのバックエンドエンジニアの@goroです。はじめにこのGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。ガイドラインにおける目標このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと
efcl 2023/06/10
GitHub Actionsのセキュリティガイド

Github

Actions

security
リンク
More secure private attachments
May 9, 2023 Previously, all attached (drag-and-dropped) images and videos on GitHub Issues, Pull Requests, Discussions, and wikis were available to view without authentication if you knew their direct URL. Now, future attachments associated with private repositories can only be viewed after logging in. This doesn’t apply retroactively to existing attachments, which are obfuscated by having a long,
efcl 2023/05/09
Private RepoでのIssueとかの添付ファイルの実態がSigned URLでの認証付きになるので、画像URLに直接アクセスしてもログインしないと見れないようになった。

Github

security
リンク
We updated our RSA SSH host key
SecurityWe updated our RSA SSH host keyAt approximately 05:00 UTC on March 24, out of an abundance of caution, we replaced our RSA SSH host key used to secure Git operations for GitHub.com. At approximately 05:00 UTC on March 24, out of an abundance of caution, we replaced our RSA SSH host key used to secure Git operations for GitHub.com. We did this to protect our users from any chance of an adve
efcl 2023/03/24
GitHub側のRSAのホストキーの方が一瞬公開されてしまった?問題があったので、GitHub側のホストキーが交換された.フィンガープリントが変わったので、RSAのSSHキーを使ってる人は2023/03/24 14:00JSTからgit pullやpushができなかった

Github

security
リンク
Fixed bug that allowed private issues and pull request titles to be shown in search results
Fixed bug that allowed private issues and pull request titles to be shown in search results security March 23, 2023 GitHub Security was notified about an issue where private issue and pull request titles would be displayed in search results. Our Security team investigated potential instances and determined that this only occurred when the author of the commit was authorized to view the issue or pu
efcl 2023/03/24
private issueのタイトルに出ていた問題

Github

security
リンク
update-github-actions-permissions v2をリリース: 500種類のGitHub Actionsのpermissionsに対応
update-github-actions-permissions v2をリリース: 500種類のGitHub Actionsのpermissionsに対応 GitHub Actionsのworkflowsファイルに自動的にpermissionsを追加する@pkgdeps/update-github-actions-permissions v2をリリースしました。 Release v2.0.0 · pkgdeps/update-github-actions-permissions update-github-actions-permissionsは .github/workflow/*.ymlのWorkflowファイルに対して、利用してるActionから最小限のpermissionsを自動的に設定するツールです。 GitHub Actionsのデフォルトパーミッションはwrite-allで
efcl 2023/02/03
GitHub Actionsの`permissions`を自動的に設定するツール。 GitHub Actionsのデフォルトパーミッションがread onlyになったので、利用してるActionごとのpermissionを自動で判定する。

Github

security

Tools

article
リンク
1 2 3 4 5 次のページ