Tag: SigStore

Google の GUAC:OSS の全ての要素を結びつける Knowledge Graph の作成が目標

Google Launches GUAC Open Source Project to Secure Software Supply Chain

2022/10/20 TheHackerNews — 木曜日に Google は、ソフトウェア・サプライチェーン強化の継続的な取り組みの一環として、新たなオープンソース構想 Graph for Understanding Artifact Composition (GUAC) とへの、コントリビュータを募集していると発表した。Google の Brandon Lum と、Mihai Maruseac、Isaac Hepworth は、「GUAC とは、ソフトウェアのビルド/セキュリティ/依存関係のメタデータを生成するための、エコシステム全体で急成長している取り組みから生まれたニーズに対応するものだ」と、The Hacker News で共有した投稿で述べている。

Continue reading “Google の GUAC:OSS の全ての要素を結びつける Knowledge Graph の作成が目標”

PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮

One-Third of Popular PyPI Packages Mistakenly Flagged as Malicious

2022/08/24 DarkReading — オープンソース・コードのリポジトリ Python Package Index (PyPI) で、悪意のパッケージを検知するスキャナーが、かなりの数の誤報を生成していたことが、研究者たちにより明らかにされた。PyPI とは、Python で記述されたアプリケーションが使用する、ソフトウェア・コンポーネントのメイン・リポジトリのことである。Chainguard の分析によると、そのスキャナーにより、悪意のパッケージの 59% が検出されるが、人気のある正規 Python パッケージの3分の1に対して、また、ランダムに選択されたパッケージの 15% に対して、悪意の判定フラグを立ててしまうことが判明した。

Continue reading “PyPI のセキュリティ対策:人気パッケージの3分の1を誤検知するスキャナーに苦慮”