実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~:Cloud Nativeチートシート(18) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Trivyの代表的な利用シーンを取り上げながら、実践的に利用するための検討ポイントを解説する。
実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~
実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~:Cloud Nativeチートシート(18) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Trivyの代表的な利用シーンを取り上げながら、実践的に利用するための検討ポイントを解説する。
StackOverflowからのコピペをやめろ。今すぐにだ。 - Qiita
Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web
VSCodeのGitHubリポジトリに対する不正なPushアクセス
はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。 要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。 発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま
Visual Studio Live Share 把握しておきたいアクセス制限項目 - Qiita
はじめに 先日、同僚であり先輩である方と知識共有を兼ねてペアプロをしたのですが、その際に Visual Studio Live Share が非常に便利でした。要はVSCodeを使って、ソースコードをそれぞれのPCから共同編集できるやつです。 Visual Studio Live Share 懸念 今後、プロダクトコードを扱うとなると、アクセス制限などセキュリティ周りが気になったので、ドキュメント見たあとに試してみました。以下の機能があるようです。 機能 セッション毎に推測不可能な招待リンクが発行されるので、狙って不正参加することはできない ホスト側でセッションスタートすると毎回招待リンクが変わり、古いものは無効化された ゲスト側ではダイアログが出てアクセス不可 セッションに参加中のユーザーは把握できるし、退出させることもできる ホスト側の左端メニュー Participants 項目似て参
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
