#devsecops のAIニュース
61件の記事
シークレットスキャンの信頼性向上:大規模な誤検知の削減
GitHub は、開発者が本番環境でのセキュリティインシデントを防ぐために重要な役割を果たすシークレットスキャンにおいて、誤検知が多発してアラートが信頼されなくなる問題を解決するため、大規模なシステムで誤検知を削減する取り組みを発表した。
DevOps における自律型 AI のデータ損失:効率的な防御の構築
ソフトウェア開発を加速させる自律型 AI エージェントが、ミスを大惨事に変える速度を縮め、セキュリティ戦略に危険な盲点を生み出している。内部ツールの誤作動による被害拡大が懸念されている。
スキル.sh API の提供開始
Vercel が、オープンソースエコシステムから 60 万種以上のスキル情報を検索・取得できる「skills.sh API」を正式に公開した。プロジェクトごとの OIDC トークンによる認証で利用可能となる。
Vercel Blob が OIDC 認証をサポートし、新規プロジェクト接続時のデフォルト設定に
Vercel は Vercel Blob の新機能として OIDC 認証のサポートを開始しました。これにより、新しいプロジェクト接続時に OIDC がデフォルトとなり、短期間で自動回転するトークンが利用可能になります。その結果、従来の長期有効な BLOB_READ_WRITE_TOKEN を不要とし、セキュリティを強化します。
GitHub の内部リポジトリへの不正アクセス調査
GitHub は 5 月 18 日、従業員端末が第三者製の悪意ある VS Code 拡張機能によって侵害されたことを検知し、該当拡張機能を削除して対応を開始した。現時点では GitHub 内部のリポジトリからのデータ流出のみが確認されており、攻撃者が主張する約 3,800 リポジトリの流出は調査と整合している。
保護されたソースマップ:ブラウザ用ソースマップを安全に公開
Vercel は「Protected Source Maps」機能を導入し、プロダクション環境の .map ファイルを認証ゲートで保護した。これによりチーム内のみがデバッグ情報を取得可能になり、外部からのアクセスは拒否される。既存プロジェクトでも設定から有効化できる。
デプロイ保護のための信頼できるソース機能
Vercel は、保護されたデプロイメントが OIDC トークンを受け入れる「Trusted Sources」機能を導入し、自動化シークレットの共有不要化を実現した。
CLI で管理可能な Vercel ファイアウォール機能の追加
Vercel は、コマンドラインインターフェース(CLI)を通じてファイアウォールの設定を直接管理できる機能をリリースした。これにより、カスタムルールの作成や IP ブロック、攻撃モードの切り替えが可能となり、エージェントによる安全なルール展開も支援する。
Git Push パイプラインの保護:重大なリモートコード実行脆弱性への対応
Wiz の研究者が報告した GitHub 上の重大な脆弱性に対し、GitHub は2時間以内に修正を適用し、調査で悪用は確認されなかったと発表した。
CodeQLが「models-as-data」形式でサニタイザーとバリデーターをサポート
GitHubのCodeQLは、主要言語でサニタイザーとバリデーターを「models-as-data」形式で定義可能にした。これにより、ユーザーは汚染データ追跡をカスタマイズできる。
ルールインサイトダッシュボードと統一フィルターバー
GitHubがリポジトリのルール評価活動を視覚的に把握できる「ルールインサイトダッシュボード」を提供開始。ユーザーは成功・失敗・バイパスの推移や主要バイパス利用者を一目で確認できる。
CodeQL 2.25.2がKotlin 2.3.20サポートとその他の更新を追加
GitHubが静的解析エンジンCodeQL 2.25.2をリリースし、Kotlin 2.3.20のサポート追加、精度向上、複数言語のセキュリティ深刻度スコア調整を実施した。
AIエージェントでコードを保護するスタートアップGitar、900万ドル調達でステルス解除
スタートアップ企業Gitarは、AIエージェントを使用してコードのセキュリティを確保するサービスを提供し、900万ドルの資金調達を発表した。同社はAIで生成されたコードをAIでレビューする手法を採用している。
DependabotとコードスキャンへのOIDCサポート
GitHubが、組織レベルで設定されたプライベートレジストリに対して、DependabotとコードスキャンにOpenID Connect認証をサポートしました。これにより、長期間有効な認証情報をリポジトリシークレットとして保存する必要がなくなります。
リポジトリプロパティとアラートにおけるデプロイメントコンテキスト
GitHubが、アーティファクトとデプロイメントコンテキストをリポジトリプロパティとセキュリティアラートページに表示する新機能を導入した。これにより、デプロイ可能およびデプロイ済みのリポジトリを自動的に追跡できるようになった。
コードスキャンアラートをGitHub Issuesにリンク可能に
GitHubがコードスキャンアラートをGitHub Issuesにリンクする機能を公開プレビューで提供開始。セキュリティ問題の修正を既存の計画・追跡ワークフローに統合できる。
Dependabotとコードスキャン:組織レベルのプライベートレジストリ
GitHubが、複数の内部パッケージフィードを使用する組織向けに、Dependabotとコードスキャンの設定を簡素化した。組織レベルで同一エコシステムの複数プライベートレジストリを登録可能になった。
シークレットスキャン検出パターンの更新と製品改善
GitHubがシークレットスキャン機能の検出範囲、API、ワークフローを改善し、Cloudflareを新たな検出パートナーに追加した。また、エンタープライズ管理ユーザー向けにフォークのプッシュ保護を強化した。
SBOMエクスポートが非同期処理に変更
GitHubが、リポジトリページと新APIエンドポイントからのSBOM(ソフトウェア部品表)エクスポート処理を非同期化した。これにより、大規模リポジトリでもタイムアウトせずにSBOMを生成できるようになった。
ポッドキャスト:SBOMとエンジニアリング規律がTrivyの侵害回避にどう役立つか
CISAタスクフォースのViktor Peterson氏が、EUサイバーレジリエンス法施行を背景に、ソフトウェアサプライチェーンセキュリティの変化とSBOMの重要性を解説する。
セキュリティ評価でCopilotに質問する機能が利用可能に
GitHubは、組織管理者とセキュリティ管理者がリスク評価結果から直接Copilotを起動し、状況に応じた説明と次のステップのガイダンスを得られる機能を提供した。
API、Webhook、委任ワークフロー向けシークレットスキャン改善
GitHubがAPI、Webhook、委任ワークフロー向けシークレットスキャン機能を改善し、新フィルターや充実したペイロードを提供して開発者体験を強化した。
組織向けコードセキュリティリスク評価の提供開始
GitHubが組織管理者とセキュリティ管理者向けに無料のコードセキュリティリスク評価を提供開始。脆弱性を深刻度・ルールタイプ・プログラミング言語別に分析し、Copilot Autofixによる自動修正提案を含む対処ガイダンスを提供する。
Dynatraceのランタイムコンテキストを使用してセキュリティアラートを優先順位付け
DynatraceがGitHub Advanced Securityと連携し、Kubernetes環境でデプロイされたアーティファクトとランタイムリスクに基づいてセキュリティアラートの優先順位付けを可能にした。
DependabotアラートをAIエージェントに割り当てて修正可能に
GitHubは、Dependabotの脆弱性アラートをCopilotやClaudeなどのAIコーディングエージェントに割り当てられる機能を発表した。AIエージェントは脆弱性を分析し、修正案を含むプルリクエストの草案を作成する。
コードスキャン:プルリクエストでセキュリティアラートの修正を一括適用可能に
GitHubが、プルリクエストのFiles changedタブでコードスキャンアラートの修正をバッチに追加して一括適用できる機能を追加した。これにより、複数のアラートを迅速に対処でき、各アラートごとの個別スキャンではなく単一のコミットでスキャンを実行できるため、修正とレビューの時間を短縮し、プルリクエストの進行を促進する。
シークレットスキャンツール「scan-for-secrets」バージョン0.3のリリース
シモン・ウィトソン氏が開発した「scan-for-secrets」がバージョン0.3へアップデートされた。新機能として、検出した機密情報を確認後「REDACTED」に置換するリダクションオプションと、ファイル処理用のPython関数が追加された。
Copilotクラウドエージェントがコミットに署名
GitHub Copilotクラウドエージェントは、自身が作成したすべてのコミットに署名するようになった。これにより、コミットがエージェントによって真正に作成され、改ざんされていないことを確認できる。
オープンソースセキュリティツールTrivyがサプライチェーン攻撃を受け、業界の緊急対応を促す
広く利用されているオープンソース脆弱性スキャナーTrivyのメンテナーが、悪意のあるリリースが一時的にユーザーに配布されたことを確認し、ソフトウェアサプライチェーンセキュリティの重大な弱点を露呈した。
GitHubにおけるオープンソースサプライチェーンのセキュリティ確保
GitHubは、攻撃者がGitHub Actionsのワークフローを侵害してAPIキーなどの秘密情報を窃取し、悪意のあるパッケージを公開する新たな攻撃パターンに対処するためのセキュリティ対策を実施している。
GitHubシークレットスキャン - カバレッジの更新
GitHubがシークレットスキャン機能を更新し、LangchainやSalesforceなど7プロバイダーの9つの新規検出器を追加した。FigmaやGoogleなどのシークレットはデフォルトでプッシュ保護され、npmシークレットの妥当性チェックもサポートされた。
CodeQLプルリクエストインサイトがセキュリティ概要で全ての保護ブランチをカバー
GitHubが、CodeQLプルリクエストインサイトタブでCopilot Autofixとアラート統計をデフォルトブランチだけでなく全ての保護ブランチから報告するように更新した。これによりコードベース全体でのAutofixの価値をより完全に把握できる。
CloudflareがエッジにAPI脆弱性スキャンを追加
CloudflareがAPI Shieldプラットフォームの一部として、WebおよびAPI脆弱性スキャナーのオープンベータを発表した。
GitHub初心者向け: GitHubセキュリティの始め方
GitHubが初心者向けに、リポジトリの脆弱性を修正するためのセキュリティツール(シークレットスキャン、Dependabot、コードスキャン、Copilot Autofix)の使用方法を紹介する記事を公開した。
プレゼンテーション:Log4Shellのような次なるサイバーセキュリティ危機に備えられているか?
Soroosh Khodami氏が、依存関係の混乱や侵害されたビルドの実演を通じて、小さな見落としがハッカーにシステム全体へのアクセスを与えると指摘し、SBOMや依存関係ファイアウォール、セキュリティ左シフトによる強靭なDevSecOps文化の重要性を説明した。
Kubescape 4.0がランタイムセキュリティとAIエージェントスキャンをKubernetesにもたらす
オープンソースのKubernetesセキュリティプラットフォーム「Kubescape」がバージョン4.0をリリースし、ランタイム脅威検出とAIエージェント向けの新たなセキュリティ機能を追加した。
プレゼンテーション:セキュリティとアーキテクチャ:一方を裏切ることは両方を破壊すること
Shana Dacres-Lawrenceが、セキュリティとアーキテクチャの複雑な関係を説明し、物理的・感情的・信頼の3種類の「裏切り」がシステム全体の障害につながると指摘した。CrowdStrikeやChange Healthcareなどの実例を基に、オープンなコミュニケーションや自動化などの5つの防御戦略を共有した。
パッケージマネージャーは冷静になる必要がある
著者がLiteLLMのサプライチェーン攻撃を契機に、依存関係の更新を数日間待つ「クールダウン」の実践を再検討し、パッケージマネージャーのセキュリティ対策の重要性を主張している。
プルリクエストにおけるCodeQLの高速な増分分析
GitHubが、プルリクエストにおけるCodeQLの静的解析を増分分析化し、C#、Java、JavaScript/TypeScript、Python、Rubyのコードスキャンを高速化した。変更部分のみを分析することでパフォーマンスを向上させている。
リポジトリ設定からのプッシュ保護免除の指定が可能に
GitHubが、秘密情報スキャンのプッシュ保護免除をリポジトリ設定から直接指定できる機能を追加した。これにより、組織やエンタープライズレベルのセキュリティ設定だけでなく、リポジトリ単位での柔軟な免除管理が可能になった。
GitHub、AI駆動の検出機能でアプリケーションセキュリティのカバレッジを拡大
GitHubがGitHub Code SecurityにAI駆動のセキュリティ検出機能を導入し、より多くの言語とフレームワークにわたるアプリケーションセキュリティのカバレッジを拡大している。
Sonatype、AI支援コード生成の安全性向上ガイドを発表
Sonatypeは、AIコーディングツールとオープンソースエコシステムの間に位置するリアルタイムガードレールシステム「Sonatype Guide」を発表した。このシステムは、AI生成コードが安全で有効かつ保守可能な依存関係を使用することを保証する。
Harness、DevSecOps向けに新アーティファクトレジストリを発表
Harnessは、DevSecOpsパイプライン内でソフトウェアアーティファクトの保存・セキュリティ・管理を簡素化する「Harness Artifact Registry」の一般提供を開始した。
Dependabotがnpm依存関係のマルウェアを検出可能に
GitHubのDependabotが、リポジトリが依存するnpmパッケージに既知の悪意あるバージョンがある場合にアラートを送信する機能を追加した。ユーザーは設定でマルウェア警告を有効にできる。
ロール、チーム、アプリ向けのプッシュ保護免除
GitHubが組織向けに、特定のロール・チーム・アプリを秘密スキャンのプッシュ保護から免除できる機能を導入した。免除対象が秘密を含むコンテンツをプッシュしても保護は適用されず、バイパス要求は生成されない。
GitHub Advanced Securityの設定が簡素化
GitHubが組織向けにAdvanced Securityの管理を容易化。新ガイド機能で設定とリポジトリ対象の編集が迅速化。GitHub Enterprise Cloudで利用可能、Enterprise Server 3.22に順次展開。
自律エージェントによるコードベースのセキュリティ確保
Cursorのセキュリティチームが、急速に変化するコードベース全体の脆弱性を発見・修正するためのセキュリティエージェント群を構築した。
シークレットスキャン パターン更新 — 2026年3月
GitHubが2026年3月にシークレットスキャンの検出器を更新し、15のプロバイダーから28の新しいシークレット検出器を追加、39の検出器でプッシュ保護をデフォルト有効化、5サービスのトークン有効性チェックを追加した。
CodeQL 2.24.3がJava 26サポートとその他の改善を追加
GitHubが静的解析エンジンCodeQL 2.24.3をリリースし、Java 26のサポート追加とコードスキャン精度向上の改善を実施した。
実用的な洞察のためのセキュリティ概要ダッシュボードの構築
セキュリティ業界は、文脈のない可視性向上は単なるノイズ増加であると指摘。現代のセキュリティチームはデータ不足ではなくデータ過剰が最大の課題であり、複数ツール間を行き来して「次に何をすべきか」を探す現状を説明している。