#ci/cdセキュリティ のAIニュース
3件の記事
GitHub ActionsのOIDCトークンにおけるsubjectクレームの不変化
GitHubは、新規リポジトリのOIDCトークンsubjectクレームに変更不可能な識別子を追加し、クラウド連携セキュリティを強化した。これによりリポジトリ名再利用時のなりすましリスクを解消する。
GitHub Changelog·4月24日
GitHubにおけるオープンソースサプライチェーンのセキュリティ確保
GitHubは、攻撃者がGitHub Actionsのワークフローを侵害してAPIキーなどの秘密情報を窃取し、悪意のあるパッケージを公開する新たな攻撃パターンに対処するためのセキュリティ対策を実施している。
GitHub Blog·4月2日·★★★★
AI搭載ボットがGitHub Actionsワークフローを侵害、Microsoft・DataDog・CNCFプロジェクトに影響
AI搭載ボット「hackerbot-claw」が、Microsoft・DataDog・CNCFのプロジェクトでGitHub Actionsワークフローを7日間にわたり5つの攻撃手法で侵害した。ボットは7標的のうち5つでRCEを達成し、awesome-goからGitHubトークンを盗み、Aqua SecurityのTrivyを完全に侵害した。
InfoQ·3月11日·★★★★