メインコンテンツへスキップ

#依存関係管理 のAIニュース

20件の記事

オープンソースライセンスコンプライアンスがパブリックプレビューに

GitHub が、企業向けに依存関係のライセンスを大規模管理する機能を公開し、ルールベースのチェックで非準拠パッケージを本番環境への展開前にブロックできるようになった。

GitHub Changelog·7月1日·★★★★

企業内別組織の内部リポジトリに対する Dependabot アクセス機能の追加

GitHub が、同一エンタープライズ内の異なる組織に存在する内部リポジトリへの依存関係管理を可能にする機能を強化し、企業のセキュリティポリシーからアクセス権限を設定できるようにした。

GitHub Changelog·5月11日

GitHub MCP サーバーによる依存関係スキャンが公開プレビューへ

GitHub は、MCP サーバーの機能として依存関係のスキャンを強化し、コード記事中やプルリクエスト前に脆弱性を検出できる機能を公開プレビューで提供開始した。

GitHub Changelog·5月6日·★★★★

PythonプロジェクトにおけるDependabotベースの依存関係グラフ

GitHubはDependabotの新ジョブにより、Pythonプロジェクトの依存関係グラフとSBOMを正確に提供し、アクション課金を回避して組織内のプライベートレジストリ設定を利用可能にした。

GitHub Changelog·4月24日·★★★★

Dependabotとコードスキャン:組織レベルのプライベートレジストリ

GitHubが、複数の内部パッケージフィードを使用する組織向けに、Dependabotとコードスキャンの設定を簡素化した。組織レベルで同一エコシステムの複数プライベートレジストリを登録可能になった。

GitHub Changelog·4月15日

SBOMエクスポートが非同期処理に変更

GitHubが、リポジトリページと新APIエンドポイントからのSBOM(ソフトウェア部品表)エクスポート処理を非同期化した。これにより、大規模リポジトリでもタイムアウトせずにSBOMを生成できるようになった。

GitHub Changelog·4月15日

DependabotアラートをAIエージェントに割り当てて修正可能に

GitHubは、Dependabotの脆弱性アラートをCopilotやClaudeなどのAIコーディングエージェントに割り当てられる機能を発表した。AIエージェントは脆弱性を分析し、修正案を含むプルリクエストの草案を作成する。

GitHub Changelog·4月7日·★★★★

Dependabotのバージョン更新がNixエコシステムをサポート

GitHubのDependabotがNix flakesをサポートし、flake.lockの入力を監視して、新しいコミットが利用可能になると個別のプルリクエストを自動的に作成するようになった。

GitHub Changelog·4月7日

Axiosへのサプライチェーン攻撃、npmから悪意のある依存関係を引き込む

Socket.devが、週間1億1,400万ダウンロードのHTTPクライアントNPMパッケージ「Axios」のバージョン1.14.1と0.30.4に、新たに公開されたマルウェア「plain-crypto-js」が依存関係として含まれていたと報告した。

Simon Willison Blog·4月1日·★★★★

Dependabotが.xcodeprojマニフェストを使用するSwiftPMのXcodeプロジェクトをサポート

GitHubのDependabotが、Package.swiftファイルがなくても.xcodeprojバンドルでパッケージを管理するXcodeプロジェクト内のSwiftパッケージ依存関係を検出・更新できるようになった。

GitHub Changelog·4月1日

プレゼンテーション:Log4Shellのような次なるサイバーセキュリティ危機に備えられているか?

Soroosh Khodami氏が、依存関係の混乱や侵害されたビルドの実演を通じて、小さな見落としがハッカーにシステム全体へのアクセスを与えると指摘し、SBOMや依存関係ファイアウォール、セキュリティ左シフトによる強靭なDevSecOps文化の重要性を説明した。

InfoQ·3月30日

GitHub Actions 2026年セキュリティロードマップの展望

GitHubが、CI/CD自動化を標的とするソフトウェアサプライチェーン攻撃の増加を受け、2026年までのセキュリティ強化計画を発表した。攻撃者は脆弱性を悪用し、悪意あるワークフローを実行し、依存関係を侵害している。

GitHub Blog·3月27日·★★★★

パッケージマネージャーは冷静になる必要がある

著者がLiteLLMのサプライチェーン攻撃を契機に、依存関係の更新を数日間待つ「クールダウン」の実践を再検討し、パッケージマネージャーのセキュリティ対策の重要性を主張している。

Simon Willison Blog·3月25日·★★★★

Sonatype、AI支援コード生成の安全性向上ガイドを発表

Sonatypeは、AIコーディングツールとオープンソースエコシステムの間に位置するリアルタイムガードレールシステム「Sonatype Guide」を発表した。このシステムは、AI生成コードが安全で有効かつ保守可能な依存関係を使用することを保証する。

InfoQ·3月21日

Dependabotがpre-commitフックをサポート

GitHub Dependabotがpre-commitフックの自動依存関係更新をネイティブサポート。ユーザーは設定ファイルにpre-commitを追加することで、Dependabotが.pre-commit-config.yamlを解析し、フックの更新をプルリクエストで提案する。

GitHub Changelog·3月11日

Dependabotアラートの担当者割り当て機能が一般提供開始

GitHubが、Dependabotアラートを特定ユーザーに割り当てる機能をリリースした。これにより、チームは依存関係の脆弱性を明確な担当者を設定して効果的に追跡・修正できるようになる。

GitHub Changelog·3月4日

推移的信用

OpenSSFがソフトウェアサプライチェーンにおける推移的信用の重要性を指摘し、開発者が依存関係の深い階層まで信用を検証する必要性を説明している。

Andrej Karpathy 厳選·3月2日·★★★★

下流テスト

ライブラリのメンテナーの多くは、リリース前に依存関係にあるプロジェクトに対してテストする方法を持っていない。

Andrej Karpathy 厳選·3月1日·★★★★

Dependabotが複数ディレクトリ間で依存関係名による更新をグループ化可能に

Dependabotが複数ディレクトリ間で依存関係名による更新をグループ化する機能を追加。複数パッケージやサービスを含むリポジトリでの依存関係アップグレード管理が容易に。

GitHub Changelog·2月25日

仕様は依存ツリーのどこに位置するのか?

RFC 9110は数千の推移的依存関係を持つファントム依存であり、仕様が依存ツリー内でどのように位置付けられるかを考察する。

Andrej Karpathy 厳選·2月23日