「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年(2023年)3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G
GitHub、ソフトウェア部品表の作成機能を無償公開--脆弱性管理を容易に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ギットハブ・ジャパン(GitHub)は4月7日、クラウド上のリポジトリーからソフトウェアを構成するコンポーネントやライブラリーなどの状況を開発者が容易に把握、管理できる「ソフトウェア部品表」(SBOM)の作成機能「Export SBOM」を発表した。GitHubの全てのクラウドリポジトリーで無償利用できる。 SBOMは、企業や組織などで使われるソフトウェアの脆弱(ぜいじゃく)性を悪用したサイバー攻撃が深刻な被害をもたらしていることを踏まえて、2021年5月にJoe Biden米大統領が署名したサイバーセキュリティ対策の強化を目指す大統領令に盛り込まれた。同令では、ソフトウェア開発組織に対し、ソフトウェア製品を構成するコンポーネントやライ
[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO
セキュリティの観点から、GitHub Actionsからsave-stateとset-outputのコマンドが2023年5月31日を持って廃止されます。告知そのものは2022年10月11日に出ていました。ポイントは、期限以降はwarningメッセージにとどまらず、workflowそのものが実行失敗するようになる可能性を含むところです。 十二分に時間の猶予はあるはずですが、もしかして未だ対処していない、或いは知らなかったという人がいるかもしれないと思い、改めて書いてみることにしました。なお、DevIOの過去記事を見る限りではあまり触れられておらず、執筆勢が手を付けている範囲での利用例が無かったのかもしれません。 問題 現在、Actionsのrunnnerを2.298.2以降にした上でsave-state及びset-outputを利用するとwarningのメッセージが出力されます。 詳細は以下
![[GitHub Actions]2023年5月末対応期限の脆弱性について期限を迎える前におさらいしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/d1762eaf81b2855f2648b259156f5cb9c7592542/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F07%2Fgithub-eyecatch.png)
Gitに2つの緊急の脆弱性、ただちに確認と更新を
The Hacker Newsは1月18日(米国時間)、「Git Users Urged to Update Software to Prevent Remote Code Execution Attacks」において、Gitに存在する緊急(Critical)の脆弱性について伝えた。Gitについて、リモートコード実行(RCE: Remote Code Execution)が実行される可能性のある2つの脆弱性が報告されている。 バージョン管理システムとして有名なGitにリモートコード実行を含む2つの脆弱性があることがわかった。発見された脆弱性は次のとおり。 CVE-2022-23521 - Security Advisory:gitattributes parsing integer overflow CVE-2022-41903 - Security Advisory:Heap overf
UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置
有名YouTuberなどが多数所属するマネジメント事務所のUUM(東京都港区)は11月10日、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていたのが原因だった。 6月19日から10月21日にかけて、Webサーバ内に認証キーを閲覧可能な状態で保存していた。ソースコード内にはデータベースへのアクセスキーも含まれており、保存していた個人情報も閲覧できる状態になっていた。 UUUMが問題を認識したのは10月21日。認証キーは即日無効化し、データベースへのアクセスキーも変更した。個人情報へのアクセスは確認されなかったとしている。25日には個人情報保護委員会に報告した。 個人情報の不正利用は確認されていないが、顧客などに向けてはUUUMを装う不審メールな
GitHub Advanced Securityのシークレットスキャンで、シークレットトークンの漏えいを事前に防止
GitHub Advanced Securityのシークレットスキャンで、シークレットトークンの漏えいを事前に防止 認証情報の誤用に起因する情報漏えいや侵害リスクは、今もなお私たちを悩ませ続けています。認証情報の保護は現代のソフトウェア開発の規模と相互関連性によって困難なものとなっています。GitHubはこれまでに、GitHub Advanced Securityの提供機能であるSceret Scanningによって数1,000近くのプライベートリポジトリにわたり70万件を超えるシークレットを検出してきました。また、すべてのパブリックリポジトリにおいて、パートナーのパターンを無料でスキャンしています。そしてこの度、GitHubはGitHub Advanced Securityのユーザー向けに、「git push」の受け入れ前にSecret Scanningを実行することで、漏えいの発生を完
Git - 認証情報の保存
1. 使い始める 1.1 バージョン管理に関して 1.2 Git略史 1.3 Gitの基本 1.4 コマンドライン 1.5 Gitのインストール 1.6 最初のGitの構成 1.7 ヘルプを見る 1.8 まとめ 2. Git の基本 2.1 Git リポジトリの取得 2.2 変更内容のリポジトリへの記録 2.3 コミット履歴の閲覧 2.4 作業のやり直し 2.5 リモートでの作業 2.6 タグ 2.7 Git エイリアス 2.8 まとめ 3. Git のブランチ機能 3.1 ブランチとは 3.2 ブランチとマージの基本 3.3 ブランチの管理 3.4 ブランチでの作業の流れ 3.5 リモートブランチ 3.6 リベース 3.7 まとめ 4. Gitサーバー 4.1 プロトコル 4.2 サーバー用の Git の取得 4.3 SSH 公開鍵の作成 4.4 サーバーのセットアップ 4.5 Git
Git Credential ManagerでGitHubの認証情報をキャッシュする - Qiita
Git Credential Manager 最近はGithubへpushしたりするときに認証が必要.前はトークンを発行したりしていたが,MacではGit Credential Managerを使うのは手っ取り早くで便利なので今回はこれを使う. GitHub DocsのGit Credential Manager Homebrew homebrewで入れるだけ.上記のGitHub Docsには brew installの際に--caskと書いてあるが,今のhomebrewにはおそらく必要ない. $ brew install git $ brew tap microsoft/git $ brew install git-credential-manager-core これで次回,pushとかしたときに自動で認証が始まる.ブラウザで認証みたいなのを選んで普通にやれば良い.これは1回だけやればM
GitHub Actions からのキーなしの認証の有効化 | Google Cloud 公式ブログ
GCP を試す$300 分の無料クレジットと 20 以上の無料プロダクトがある Google Cloud で構築を始めよう 無料トライアル ※この投稿は米国時間 2021 年 12 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 GitHub Actions は Google Cloud の多くのお客様とデベロッパーの間で人気があるサードパーティ CI / CD ソリューションです。GitHub Actions ワークフローで Google Cloud 上でのリソースの読み取りや変更が必要な場合(Artifact Registry へのコンテナの公開や Cloud Run での新しいサービスのデプロイなど)、最初に認証をしなくてはなりません。 GitHub Actions から Google Cloud への従来の認証では、有効期間が長い JSON サービス
GitHub、GitHub Actionsを用いたセキュリティとコンプライアンスタスクの自動化について紹介
GitHub Actionsを使用することで、誰がどのリソースにアクセスできるかを示す証拠の提供を自動化することが可能であり、org-audit-actionには、企業内のすべての組織における、すべてのリポジトリに対して、 どのユーザーがアクセスできるか それらのユーザーが持っている権限 ユーザーログイン、フルネーム、および(オプション)ユーザーのSAML ID といった情報を、.csvファイルと.jsonファイルに出力できる。 GitHubは、Dependabotアラートによってリポジトリの所有者にオープンソースの依存関係の脆弱性を通知し、プルリクエストを自動的に開いて更新するほか、依存関係グラフはオープンソースパッケージのライセンス情報が含まれている。さらに、GitHubコードスキャンは安全でないコードを記述したとき、ユーザーに警告を発する。 ghascomplianceによって、De
Security keys are now supported for SSH Git operations
EngineeringSecuritySecurity keys are now supported for SSH Git operationsGitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor ("U2F") and were also one of the first… GitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor (“U2F”) and were also one of the first si
GitHub Advanced Security: Introducing security overview beta and general availability of secret scanning for private repositories
SecurityGitHub Advanced Security: Introducing security overview beta and general availability of secret scanning for private repositoriesGitHub Advanced Security helps you create secure applications with a community-driven, developer-first approach. Today, we are excited to announce two updates: Beta of the new security overview for organizations and… GitHub Advanced Security helps you create secu
GitHub security update: A bug related to handling of authenticated sessions
CompanySecurityGitHub security update: A bug related to handling of authenticated sessionsWhy did I get logged out of GitHub.com? On the evening of March 8, we invalidated all authenticated sessions on GitHub.com created prior to 12:03 UTC on March 8 out… Why did I get logged out of GitHub.com? On the evening of March 8, we invalidated all authenticated sessions on GitHub.com created prior to 12:0
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub Rotates Keys After High-Severity Vulnerability Exposes Credentials
GitLabに「CVSS10.0」の脆弱性 直ちにアップデートを
「Git」に任意コード実行などへつながるおそれのある脆弱性が2件/「Git for Windows」「GitHub Desktop」などの関連ツールにセキュリティアップデート
GitLab 14.5 released with infrastructure as code security scanning and group-level merge request approvals
GitHub now supports security keys when using Git over SSH
GitHub now supports SSH security keys
