#オープンソースセキュリティ のAIニュース
14件の記事
今週、GitHub のプロジェクト管理者が有効化すべきセキュリティ設定 6 つ
GitHub セキュリティラボは、セキュリティエンジニアではない多くの管理者向けに、自動化や拡張性を損なわず脆弱性を防ぐため、今週中に有効化するべき 6 つのセキュリティ設定を推奨している。
マイクロソフト製パッケージに再度、認証情報を盗むマルウェアが仕込まれる
マイクロソフトの公式オープンソースパッケージ73本が、AI コーディングエージェントで開かれた際に認証情報を窃取するコードを埋め込まれて侵害された。
CNCFとKusariがクラウドネイティブプロジェクトのソフトウェアサプライチェーンセキュリティ強化で提携
クラウドネイティブコンピューティング財団(CNCF)とKusariは、CNCFがホストするプロジェクト向けにKusariのAI駆動セキュリティツールへの無料アクセスを提供し、ソフトウェアサプライチェーンセキュリティを強化する新たな連携を発表した。
ウィリー・タローを引用して
Linuxカーネル開発者が、AI関連の脆弱性報告が急増し、1日5〜10件に達していると指摘し、対応のためにメンテナーを増員したことを明らかにした。
オープンソースセキュリティツールTrivyがサプライチェーン攻撃を受け、業界の緊急対応を促す
広く利用されているオープンソース脆弱性スキャナーTrivyのメンテナーが、悪意のあるリリースが一時的にユーザーに配布されたことを確認し、ソフトウェアサプライチェーンセキュリティの重大な弱点を露呈した。
GitHubにおけるオープンソースサプライチェーンのセキュリティ確保
GitHubは、攻撃者がGitHub Actionsのワークフローを侵害してAPIキーなどの秘密情報を窃取し、悪意のあるパッケージを公開する新たな攻撃パターンに対処するためのセキュリティ対策を実施している。
Axiosパッケージの侵害と対応措置
Vercelが、2026年3月31日に発見されたサプライチェーン攻撃でaxios npmパッケージが侵害されたと報告した。Vercelは対策を実施し、プラットフォームを保護した。npmレジストリは侵害バージョンを削除し、安全なaxios@1.14.0を最新版に設定した。
オープンソース脆弱性トレンドの1年:CVE、アドバイザリ、マルウェア
GitHubは2025年に4,101件のアドバイザリをレビューし、2021年以降で最少となった。これは古い脆弱性のレビューが減少したためで、新規報告の脆弱性では19%増加している。
パッケージマネージャーは冷静になる必要がある
著者がLiteLLMのサプライチェーン攻撃を契機に、依存関係の更新を数日間待つ「クールダウン」の実践を再検討し、パッケージマネージャーのセキュリティ対策の重要性を主張している。
Sonatype、AI支援コード生成の安全性向上ガイドを発表
Sonatypeは、AIコーディングツールとオープンソースエコシステムの間に位置するリアルタイムガードレールシステム「Sonatype Guide」を発表した。このシステムは、AI生成コードが安全で有効かつ保守可能な依存関係を使用することを保証する。
Dependabotがnpm依存関係のマルウェアを検出可能に
GitHubのDependabotが、リポジトリが依存するnpmパッケージに既知の悪意あるバージョンがある場合にアラートを送信する機能を追加した。ユーザーは設定でマルウェア警告を有効にできる。
オープンソースを形作る人々への投資と共に未来を守る
オープンソースコミュニティは、深夜にプルリクエストをレビューするメンテナーやセキュリティ報告に対応するボランティアによって支えられている。しかし、彼らは作業負荷で燃え尽きるリスクに直面しており、一人のプロジェクトが重要なインフラとなる現状がある。
電話監視技術の検出方法(クーパー・クインティンとの対談)
電子フロンティア財団(EFF)のセキュリティ研究者クーパー・クインティンが、偽の携帯電話基地局として機能し位置追跡・通信傍受を行うIMSIキャッチャー(スティングレイ)を検出するツール「Rayhunter」について説明している。
二種類の認証
コンピューターサイエンスにおける最も古い問題を、トースターを例に説明。