#devsecops のAIニュース
61件の記事
GitLab、AIは脆弱性を検出できるがリスクを決定するのはAIガバナンスだと提言
GitLabは、AIがソフトウェア脆弱性の検出方法を急速に変えているが、AIが露呈するリスクを誰が管理し、どう対応するかが緊急課題だと指摘した。
OpenAIがソフトウェアの脆弱性を検出するAIエージェント「Codex Security」を発表
OpenAIは、ソフトウェアプロジェクトの脆弱性を自動検出するAIエージェント「Codex Security」を発表した。同エージェントは既にOpenSSHとChromiumの脆弱性を発見している。
Codex Security:研究プレビュー開始
OpenAIが、プロジェクトの文脈を分析して複雑な脆弱性を高精度・低ノイズで検出・検証・修正するAIアプリケーションセキュリティエージェント「Codex Security」の研究プレビューを開始した。
パッケージマネージャーは冷静になる必要がある
パッケージマネージャーとアップデートツールにおける依存関係のクールダウンサポートに関する調査が行われた。
Dependabotアラートの担当者割り当て機能が一般提供開始
GitHubが、Dependabotアラートを特定ユーザーに割り当てる機能をリリースした。これにより、チームは依存関係の脆弱性を明確な担当者を設定して効果的に追跡・修正できるようになる。
推移的信用
OpenSSFがソフトウェアサプライチェーンにおける推移的信用の重要性を指摘し、開発者が依存関係の深い階層まで信用を検証する必要性を説明している。
プレゼンテーション:アーキテクチャ・アズ・コードによる安全なAPI接続のためのプラットフォーム
Jim Gough氏が、安全なAPI接続の複雑さを管理する方法を説明し、開発者とセキュリティのギャップを埋めるためのCommon Architecture Language Model(CALM)フレームワークを共有した。
GitHub Enterprise Server 3.20 リリース候補版が利用可能に
GitHub Enterprise Server 3.20は、デプロイ効率、監視機能、コードセキュリティ、ポリシー管理を強化。マージ体験の改善などが含まれる。
CodeQLがGo 1.26とKotlin 2.3.10をサポートし、クエリ精度を向上
GitHubの静的解析エンジンCodeQLがバージョン2.24.2でGo 1.26とKotlin 2.3.10をサポートし、セキュリティ問題の発見精度を向上させました。
AIソフトウェアサプライチェーンのセキュリティ確保:67のオープンソースプロジェクトにおけるセキュリティ結果
GitHubのSecure Open Source Fundが67の重要なAIスタックプロジェクトの修正を加速し、エコシステムを強化し、オープンソースの回復力を向上させた取り組みについて。
PR駆動の変更、CI/CDでOS設定を自動反映 — Terraformで実現するJamf ProのIaC+GitOps基盤
メルカリのセキュリティエンジニアが、Jamf Proの構成管理にTerraformを導入し、IaCとGitOps基盤を構築した事例を紹介している。