すべてのパブリックリポジトリに対してSecret scanningアラートの一般提供(GA)を開始
2022年12月に、すべてのパブリックリポジトリに対して、Secret scanningアラートのパブリックベータ版の提供開始をお知らせしました。リリース以降、7万ものパブリックリポジトリでSecret scanningアラートが有効化され、漏洩したシークレットのトリアージにとても大きく貢献しています。 GitHubは、すべてのパブリックリポジトリを対象に、無料で利用できるSecret scanningアラートの提供を開始しました。お使いのすべてのリポジトリに対してSecret scanningアラートを有効化し、コード、Issue、説明文、コメントなどリポジトリの履歴全体にわたりシークレットの漏洩について通知を受け取ることができます。 GitHubのSecret scanningは、GitHubパートナープログラムに参加している100社以上のサービスプロバイダーと連携しています。シークレ
HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)
2022年4月16日(日本時間)にアナウンスがあった、Heroku/Travis-CIのOAuthトークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナー向けと個人向けで分けてあります。 追記: 複数の補足のコメントを頂き、記事にも取り込んでいます。ありがとうございます! 注意 執筆者はGitHub, Heroku, Travis-CIの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最新情報は必ず公式サイトをご確認ください。 GitHub Heroku Travis CI インシデントの概要 GitHubがHerokuとTravis-CIのOAuthアプリケーションに発行したトークンが流出・悪用したことで、それらの連携が有効だった多くのOrgani
GitHubに過去最大級のDDoS攻撃--「memcached」を悪用
GitHubが、過去最大規模とみられるDDoS攻撃を受けたことを明らかにした。 GitHubに対する最初の攻撃は最大1.35Tbpsに達し、2度目の攻撃は400Gbpsだった。つまり、これは記録されている限り過去最大のDDoS攻撃ということになる。これまで、最大の攻撃はおよそ1.1Tbpsだった。 GitHubは開発者向けブログで、GitHub.comがDDoS攻撃の影響で協定世界時28日17時21分から17時26分まで利用できなくなり、17時26分から17時30分までは断続的に利用不可となっていたことを明らかにした。 GitHubは、この攻撃で「ユーザーのデータの機密性や完全性が危険にさらされる」ことは全くなかったとしている。 「2月28日17時21分から17時30分までの間、われわれは膨大な量のDDoS攻撃を検知し、これに対処した。この攻撃は、数万に及ぶ固有のエンドポイントにわたる10
Facebook、新たなパスワードリカバリー手段「Delegated Recovery」を発表
米Facebookは現地時間2017年1月30日、パスワードリカバリーの新たな認証手法「Delegated Recovery」を発表した。ソースコード共有サービス「GitHub」と協力し、1月31日よりGitHubユーザーを対象に限定提供する。 パスワードを忘れてしまった場合、アクセス復旧の一般的な手段として、秘密の質問への回答、パスワードリセット要求の電子メール送信やSMS送信などが使われる。しかしいずれもセキュリティが十分とは言えないと、FacebookのBrad Hillセキュリティエンジニアは述べている。 Delegated Recoveryを用いたパスワードリカバリーでは、あらかじめFacebookアカウントでリカバリートークンを登録する。GitHubアカウントへのアクセスを復旧しなければならない状況に陥った場合に、Facebookにログインして同トークンをGitHubに送信する
GitHubで署名されたコミットにバッジが表示されるようになったので設定してみる - Qiita
まずはこちらの画像をご覧ください。 GitHubのコミット履歴ですが、コミットのSHAの左に見慣れないものが表示されていますね。 クリックするとこのような情報が表示されます。 実は、2016/4/6からGitHubはGPGによりデジタル署名されたコミットやタグにバッジを表示するようになりました。 この記事はその設定ガイドです。私の環境はWindowsですが、すべてコマンドラインとブラウザ上での操作なのでMacやLinuxでも同じように行えます。 1. GPGのインストール Git for Windowsを使っている場合は、GPGが同梱されているため追加のインストールは不要です。 それ以外の方はパッケージマネージャを使ってインストールするか、こちらからツールをダウンロードします。トップにはソースコードのリンクが掲載されており、バイナリのダウンロードリンクは下のほうにあります。 画面の指示に従
GitHubが安全性に問題のあるSSH鍵を無効化
12のソフトウェア・アーキテクチャの落とし穴とその避け方 成功するソフトウェアアーキテクチャを開発するのはシンプルだが、簡単ではない。QARを理解し、QARを最大限に満たすトレードオフを理解し、実行するには、洞察力と経験が必要であり、その多くはアーキテクチャ自体の実験を繰り返すことで集めなければならない。プロセス自体は単純だが、考慮すべきトレードオフはしばしば難しく、簡単な答えはめったにない。
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウド破産しないように git-secrets を使う - Qiita