Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed
2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。
Continue reading “GitHub Actions の脆弱性 CVE-2025-30154/CVE-2025-30066:サプライチェーン攻撃の可能性を考える”Open Source Updates Have 75% Chance of Breaking Apps
2024/09/12 InfoSecurity — Endor Labs の調査によると、オープンソース・ソフトウェアのバージョン・アップグレードにおいては、ほぼ全て (95%) の確率で他のコンポーネントの動作を妨げる、少なくとも1つの変更が含まれているという。そのため、パッチを適用すると、75%の確率で動作に支障をきたす可能性が生じる。この調査結果は、Endor Labs の第3回目の年次報告書 “2024 Dependency Management Report” で発表されたものであり、同社における脆弱性および顧客のデータと、Open Source Vulnerabilities(OSV) データベースの情報に加えて、Java ARchives (JARs) に関連するオープンソース依存関係 Top-15 を基に作成されている。
Continue reading “75% の確率でアプリは壊れる:依存関係のある OSS のアップデートが及ぼす影響 – Endor Labs”Research reveals where 95% of open source vulnerabilities lie
2022/12/09 HelpNetSecurity — Endor Labs の最新レポートが示すのは、アプリケーション開発における既存オープンソース・ソフトウェアの多用と、未成熟な監視の体制と、一般的な慣行から生じる危険性についての見解である。一例を挙げると、全脆弱性の 95%は過渡的依存関係 (開発者は選択していないが、間接的にプロジェクトに取り込まれるオープンソースのコードパッケージ) にあることが、この調査により判明している。
Continue reading “OSS の乱用から生じる危険性:アプリ開発の 80% で依存しているという現実”
IoT OT Security News 