メインコンテンツへスキップ

#オープンソースセキュリティ のAIニュース

14件の記事

今週、GitHub のプロジェクト管理者が有効化すべきセキュリティ設定 6 つ

GitHub セキュリティラボは、セキュリティエンジニアではない多くの管理者向けに、自動化や拡張性を損なわず脆弱性を防ぐため、今週中に有効化するべき 6 つのセキュリティ設定を推奨している。

GitHub Blog·7月2日·★★★★

マイクロソフト製パッケージに再度、認証情報を盗むマルウェアが仕込まれる

マイクロソフトの公式オープンソースパッケージ73本が、AI コーディングエージェントで開かれた際に認証情報を窃取するコードを埋め込まれて侵害された。

Ars Technica AI·6月9日·★★★★

CNCFとKusariがクラウドネイティブプロジェクトのソフトウェアサプライチェーンセキュリティ強化で提携

クラウドネイティブコンピューティング財団(CNCF)とKusariは、CNCFがホストするプロジェクト向けにKusariのAI駆動セキュリティツールへの無料アクセスを提供し、ソフトウェアサプライチェーンセキュリティを強化する新たな連携を発表した。

InfoQ·4月10日

ウィリー・タローを引用して

Linuxカーネル開発者が、AI関連の脆弱性報告が急増し、1日5〜10件に達していると指摘し、対応のためにメンテナーを増員したことを明らかにした。

Simon Willison Blog·4月4日

オープンソースセキュリティツールTrivyがサプライチェーン攻撃を受け、業界の緊急対応を促す

広く利用されているオープンソース脆弱性スキャナーTrivyのメンテナーが、悪意のあるリリースが一時的にユーザーに配布されたことを確認し、ソフトウェアサプライチェーンセキュリティの重大な弱点を露呈した。

InfoQ·4月3日·★★★★

GitHubにおけるオープンソースサプライチェーンのセキュリティ確保

GitHubは、攻撃者がGitHub Actionsのワークフローを侵害してAPIキーなどの秘密情報を窃取し、悪意のあるパッケージを公開する新たな攻撃パターンに対処するためのセキュリティ対策を実施している。

GitHub Blog·4月2日·★★★★

Axiosパッケージの侵害と対応措置

Vercelが、2026年3月31日に発見されたサプライチェーン攻撃でaxios npmパッケージが侵害されたと報告した。Vercelは対策を実施し、プラットフォームを保護した。npmレジストリは侵害バージョンを削除し、安全なaxios@1.14.0を最新版に設定した。

Vercel Blog·3月31日·★★★★

オープンソース脆弱性トレンドの1年:CVE、アドバイザリ、マルウェア

GitHubは2025年に4,101件のアドバイザリをレビューし、2021年以降で最少となった。これは古い脆弱性のレビューが減少したためで、新規報告の脆弱性では19%増加している。

GitHub Blog·3月27日

パッケージマネージャーは冷静になる必要がある

著者がLiteLLMのサプライチェーン攻撃を契機に、依存関係の更新を数日間待つ「クールダウン」の実践を再検討し、パッケージマネージャーのセキュリティ対策の重要性を主張している。

Simon Willison Blog·3月25日·★★★★

Sonatype、AI支援コード生成の安全性向上ガイドを発表

Sonatypeは、AIコーディングツールとオープンソースエコシステムの間に位置するリアルタイムガードレールシステム「Sonatype Guide」を発表した。このシステムは、AI生成コードが安全で有効かつ保守可能な依存関係を使用することを保証する。

InfoQ·3月21日

Dependabotがnpm依存関係のマルウェアを検出可能に

GitHubのDependabotが、リポジトリが依存するnpmパッケージに既知の悪意あるバージョンがある場合にアラートを送信する機能を追加した。ユーザーは設定でマルウェア警告を有効にできる。

GitHub Changelog·3月18日·★★★★

オープンソースを形作る人々への投資と共に未来を守る

オープンソースコミュニティは、深夜にプルリクエストをレビューするメンテナーやセキュリティ報告に対応するボランティアによって支えられている。しかし、彼らは作業負荷で燃え尽きるリスクに直面しており、一人のプロジェクトが重要なインフラとなる現状がある。

GitHub Blog·3月18日·★★★★

電話監視技術の検出方法(クーパー・クインティンとの対談)

電子フロンティア財団(EFF)のセキュリティ研究者クーパー・クインティンが、偽の携帯電話基地局として機能し位置追跡・通信傍受を行うIMSIキャッチャー(スティングレイ)を検出するツール「Rayhunter」について説明している。

404 Media·3月2日

二種類の認証

コンピューターサイエンスにおける最も古い問題を、トースターを例に説明。

Andrej Karpathy 厳選·2月25日