Summary Block dependency install scripts (preinstall, install, postinstall, and auto-detected node-gyp builds) by default during npm install. Projects opt in to running scripts for specific dependencies via a new allowScripts field in package.json. Two new CLI commands, npm approve-scripts and npm deny-scripts, help users build and maintain the allowlist. npm is the only remaining major package ma
![[RFC] Make install scripts opt-in by JamieMagee · Pull Request #868 · npm/rfcs](https://cdn-ak-scissors.b.st-hatena.com/image/square/5476bf1ec86ec1fa4c63b17205b6611ba794bb8b/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fcold-voice-b72a.comc.workers.dev%3A443%2Fhttps%2Fopengraph.githubassets.com%2F1293b842f1256058126f4ccf8783544d2590ed97315bb81ec43c75579f97093b%2Fnpm%2Frfcs%2Fpull%2F868)
Coding agents like Codex are helping developers write, execute, and prepare code for production. Every action that AI coding agents take against a database, an API, or a deployment pipeline requires access to credentials. Today, these credentials typically live in .env files, scripts, or hardcoded in repositories, where they can be easily exfiltrated and are difficult to govern and audit. The shif
Update: On May 19, 2026, GitHub publicly disclosed that approximately 3,800 of its internal source code repositories were exfiltrated after an employee's device was compromised by a poisoned VS Code extension. While GitHub did not officially name the extension, Nx CEO Jeff Cross confirmed that Nx is working with Microsoft and GitHub on the impact of the malicious Nx Console version 18.95.0, and no
クリップボードを監視して、機密情報やAPIトークンが入ったら自動的にマスクするmacOSアプリ SecureClipboard を作りました。 GitHub: secretlint/secure-clipboard テキストだけでなく画像にも対応していて、スクリーンショットに写り込んだトークンなどもVision frameworkでOCRしてマスクします。 内部ではsecretlintを使って、AWS、GitHub、Slack、GCP、Azure、npm、Dockerなどのトークンを検出します。 スキャン処理はすべてローカルで完結するmacOSアプリケーションなので、クリップボードの内容が外部に送信されることはありません。 なぜ作ったか API Tokenをコピーして.envへ貼り付けたあと、そのトークンがクリップボード上に残り続けることがあります。 そのまま別のウィンドウで⌘+Vしてしま
Two weeks ago we announced that we had identified and fixed an unprecedented number of latent security bugs in Firefox with the help of Claude Mythos Preview and other AI models. In this post, we’ll go into more detail about how we approached this work, what we found, and advice for other projects on making good use of emerging capabilities to harden themselves against attack. Suddenly, the bugs a
A multi-week, multi-ecosystem attack chain spanning GitHub Actions, Docker Hub, npm, PyPI, OpenVSX, VS Code Marketplace, and Jenkins. Impacted so far: Aqua's Trivy, Checkmarx KICS, LiteLLM, Bitwarden, TanStack, Mistral AI, AntV (323 packages), Microsoft DurableTask, GitHub (~3,800 internal repos), Red Hat Cloud Services (32 packages), +more.
On March 4, 2026, we received a vulnerability report through our Bug Bounty program from researchers at Wiz describing a critical remote code execution vulnerability affecting github.com, GitHub Enterprise Cloud, GitHub Enterprise Cloud with Data Residency, GitHub Enterprise Cloud with Enterprise Managed Users, and GitHub Enterprise Server. In less than two hours we had validated the finding, depl
LINEヤフーは、同社サービスのバグを発見した外部エンジニアに報奨金を提供する「LINE Security Bug Bounty Program」を12月3日から一時停止している。同プログラム参加者と同社によるバグ検証中に情報漏えいが起きたため。脆弱性の報告は専用メールアドレスで受け付けている。 【訂正:2025年12月11日午後5時50分 当初、プログラム参加者のバグ検証だけで漏えいが起きたように記載していましたが、LINEヤフーの検証でも漏えいが起きた可能性があると指摘を同社から受けたため、該当部分を修正しました。】 漏えいが起きたのは、プログラム参加者が9月に行った検証時。原因は、同社が利用しているAkamaiのCDNサービスの仕様と同社のデータ処理方式の違いにより、HTTPリクエスト処理に関する脆弱性が生じたこと。 報奨金プログラム参加者は、9月19日に「LINE公式アカウント」の
2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの? React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基本値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数
サイボウズ脆弱性報奨金制度 10周年記念Meetupを開催します! 幅広い参加者に向けた知見共有と交流の場です。 【お申し込み】https://cybozu.connpass.com/event/371777/ バグを見つけるプロフェッショナルたちがバグを見つけまくる合宿に密着しました。 3日間で行われ「kintone(キントーン)」「Garoon(ガルーン)」などのサイボウズ製品の脆弱性報告および認定をします。今回は61件の脆弱性が報告され、うち39件が認定されました。 00:00 オープニング 00:18 会場到着 03:53 バグハンター合宿とは? 報奨金について 07:09 バグハンターって何者? 11:36 報告されたバグを評価する 15:40 夕食&ゲーム 16:46 バグハンターに手応えを聞いてみる 20:25 バグハンは夜も続く 21:08 最終日ラストスパート!
米国時間2024年4月22日に、米国立標準技術研究所(NIST)が、米国の連邦政府機関のシステム向けとしての電子的な本人確認に係るデジタルアイデンティティガイドラインであるNIST SP 800-63第3版での、当人認証とその保証レベルについてのパートB(NIST SP 800-63B-3)用の補足文書(原文では「サプリメント」)を公表した[1]。 この補足文書は、複数の端末に同期して安全かつ便利な認証に使える(同期)パスキーといった「同期可能な認証器」(“syncable authenticator”)を、NIST SP 800-63B-3に取り込むためとされている。 これまでのNIST SP 800-63B-3では、「多要素暗号ソフトウェア認証器は秘密鍵を複数の端末に複製することを非推奨とするのが望ましく(SHOULD)、かつ行わないこと(SHALL NOT)」と規定されていたため、秘
npm/yarn/pnpm/bunを同じコマンドで扱えるni.zshのv1.8.0をリリースしました。 Release v1.8.0 · azu/ni.zsh このバージョンでは、Socket Firewallを統合し、パッケージのインストールと実行時にサプライチェーン攻撃から保護する機能を追加しました。 ni.zshについては、次の記事を参照してください。 npm/yarn/pnpm/bunを同じコマンドで扱える ni のzsh実装を書いた | Web Scratch ni.zsh: npmインストール時のサプライチェーン攻撃を検知する機能を追加 | Web Scratch ni.zsh v1.8.0の変更点 主要な変更点は次の通りです。詳細はリリースノートを参照してください。 Release v1.8.0 · azu/ni.zsh 🛡️ Socket Firewallの統合 Sock
この記事は、CYBOZU SUMMER BLOG FES '25の記事です。 はじめに PSIRTのJJです。本記事では、今年の2~3月に社内で実施した脅威モデリングワークショップについて、その取り組みについて紹介します。 背景 現在、サイボウズのPSIRTでは、製品のアプリケーションやクラウド基盤に潜むリスクを把握するために脅威モデリングを行っています。脅威モデリングは、システムに対する潜在的な脅威を明らかにし、実施すべきセキュリティ対策を明確化してセキュリティリスクを軽減するための活動です。PSIRT単独で進めることもありますが、より精度の高い成果を得るには、対象システムに関わる開発・運用メンバーの知見が不可欠です。 そこで、脅威モデリングを円滑に進めるための「必要な情報」と「考え方」を体験的に掴んでもらうことを目的に、有志参加のワークショップを開催しました。私が過去に社外で開催されて
2025年9月29日、アサヒグループホールディングスはサイバー攻撃によりシステム障害が発生していると公表しました。同社はその後、攻撃がランサムウェアによるものであったことを明らかにしています。ここでは関連する情報をまとめます。 ランサムウェアの攻撃受けシステム障害発生 アサヒグループホールディングス(以降アサヒGHDと表記)が自社へのサイバー攻撃を確認したのは9月29日。攻撃の影響により国内システムが起動不能となった。。*1 その後、同社は社内に緊急事態対策本部を設置し調査を進めた結果、同社サーバーがランサムウェアの攻撃を受けていたことが明らかになった。 同社は顧客や取引先の重要データ保護を最優先とし、被害拡大を防ぐためシステムを遮断する措置を講じた。この結果、国内グループ各社の受注・出荷業務やコールセンター業務が停止した。さらに、社外からのメール受信も不可能となった。 9月29日時点では
アサヒグループホールディングス(GHD)のサイバー被害に収束の兆しが見えない。ランサムウエア(身代金要求型ウイルス)とみられる攻撃で国内の受注や出荷、コールセンター業務が一斉に停止した。多くの企業は効率化のために情報システムの統合を進めており、一度の被害が広範囲に影響しやすい盲点が浮き彫りになった。同社は捜査当局への報告で、ファイルを暗号化して身代金支払いを迫るランサムウエア攻撃を受けた可能性
この記事は、CYBOZU SUMMER BLOG FES '25 の記事です。 TX-RAMPとは?アメリカ、テキサス州の州政府がクラウドサービスを導入するときは、TX-RAMP (Texas Risk and Authorization Management Program) の認証を受けたサービスから選択をする、という制度があります。日本の ISMAPと同じような制度となっています。 TX-RAMPのWebサイトはこちらです。 海外向け kintoneサイボウズでは、海外の顧客向けに日本と異なるドメインで、kintoneを提供しています。海外向けは kintone.com というドメインでサービスを提供しており、下のWebサイトでサービスの説明をしています。 海外向け kintone をテキサス州の州政府に提案する機会があり、採用のためには TX-RAMP Certified Clou
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
