オープニングと近況報告
こんばんは、Replay.fm第89回です。 こんばんは。
こんばんは。 はい。
はい。 はい。
はい。 どうですか?
こんばんは。 ご元気ですか?
暑いっすね。
暑くなってきたね、さすがに。
ちょっと寒い日もあったけど、土曜とか寒かったよね、結構。
そうね、こっちなんか今週は…
あ、そうね、なんかちょっとあれだね、別の国ぐらい離れてたからね、我々は。
そう、今週はね、なんか30度一瞬いったと思ったら、明日とか最高気温24度で、あれみたいな。
滋賀は何?暑くて寒い気候なの?
湖あるから、そんなでもないのかな?
滋賀生活4年目の所感としては、暑さはね、多分東京とそんな変わんないんじゃないかな。
東京より気持ち涼しい時あるぐらいで、寒さは寒さも変わんないんじゃないかな。
でも雪が降るね、1年に1回ぐらい。
まだ一応内陸っぽい感じではあるのかな。
そうだね、なんか気まぐれに1回、2回ぐらい積もるみたいな感じかな。
なんか程よいね。
程よい。
なんか隣、お隣の山越えた京都市外の方がなんか印象深いな。
なんかもう夏暑すぎて、これが盆地かって感じなの。
今時点でもだいぶきつい、なんか。
なるほど。
ビルだらけだから、照り返しとか、なんだろうな、なんだろう、なんかサウナって感じ。
はいはいはい。
人も多いし、緑もないし、サウナって感じ。
おすすめ。外国人文化だし。
そんなことで、夏バテせずに今日も頑張りましょうって感じですけど。
夏バテ、今5月から夏バテしてたらちょっと、
けどね、なんか。
はい、まあ頑張っていきましょう。
いや、夏かーってなえてもバテる人がいるかもしれない。
その、なんかエアー夏バテ、創造夏バテみたいな。
なんか陶器的な夏バテというか。
陶器的な夏バテ。
陶器的な夏バテ意味わかんねえな。
ちょっと先取りじゃないですけど、はい。
まあ元気にやっていきましょう。
何にも、何にもお得しないじゃん、陶器的に。
だって陶器的に夏バテしたからさ、夏、ほんまに夏バテしないわけでもない。
するしさ。
それはほんとにそうだね。
いやー、なんか夏バテの概念もさ、絶対俺らが子供の頃と違うというかさ、なんかもう。
精子に関わる。
そうそうそうそう。
俺らが子供の頃ってその、なんか、
2、なんか肌感覚2週間ぐらい、なんか食欲ない、1ヶ月ぐらい、この月に夏バテだったなみたいな感じだけど、
でも今なんかその、もう、その、ね。
あ、灼熱期間が長すぎてもう、デフォ夏バテみたいになっちゃいそう。相当気を付けて。
うん。
なんで?
灼熱期間が長すぎて。
長すぎるよ。
夏バテの概念も変わってそうだよな、それで言うと。
うん、なんか変わってそう。デフォ夏バテみたいな。
夏バテって言葉聞かねえな。
でもさ、年取っただけ説ない。その、年取って、なんか年中夏バテなんじゃない?我々。
なるほどね。その、そういうことか。
普段から回っててるから夏になると。
そうそうそうそう。
夏になるともっと酷くて、その。
ありそうでやだな。
ありそうでやだな。
全然ありそう。
でも、なんか、もう無理でしょ。野外フェスでサークルモッシュとか入れないでしょ。もうきっと。
うーん、会場によるかな。
うーん、まあ、会場によるか。
会場によるよ。俺はまだ行ける。
マジで?
うん。
無理だよ。ヤバティーのライブで発車台とかもう無理だよ。やってらんないよ。疲れちゃって。
ほう。わからない人はググってください。発車台、モッシュ、サークル。
無限に発車台やらされるんだよな。
なんか、固い姿勢高いからね。しょうがないね。
うん。
今日昼しかない。
今日昼ほどなんか冷めてないっていう。
そうだね。
頼まれたらやっちゃう。
うん。
優しいな。
うん。
体力あるからね、あの、っていうのもあると思う。
俺も、なんか、普通に自分の腕の危機を感じるから、2、3回目ぐらいから結構今日行っちゃう。
鍛えといたほうがいいんじゃないですか。
うーん、いやー、なんかその、無理だよ。60、70キロをさ、極地的にガッて抱えるトレーニングって何よって感じ。
何鍛えればいいの?
なんか、あれじゃない?その、こう、水の入った何かタンクみたいなのこう、持ち上げるトレーニング。スクワットとか。
いやー、それで言うと毎日6キロの人間を持ち続けてはいるんだよ。
うん。で、日々ちょっとずつ負荷が増えていくわけでしょ?
うん。
持ち続けていけば。
そうだね。
いつか、いつか何十キロになるわけじゃん。
いやー、なんかちょっと、使ってる筋肉の種類が違う気はせんでもないけど。
うーん、まあ頑張るか。
うん。
はい、やりましょう。
お便りお待ちしてます。
お待ちしてます。
X見てお待ちしてます。X久々にハッシュタグ見たけど、落とさないんで、まあまあ、いつも通りという感じです。
NPMのセキュリティ強化とステージングパブリッシュ
今日はね、4本、4本なんで、さらさらっとサクッといっていければなという感じですね。
じゃあ、1個目から。
ああ、唯一俺が読みたい記事に入れてるやつだから私が読みますが。
はい。
NPM Invalidates Granular Access Tokens as Mini-Cypher Sweeps the Registryというソケットの記事ですね。
はい。
これ、なんか、なんかタイトルに対していろいろ何か含んでて若干混乱したんだけど、記事の中で紹介されてるのは2つ3つあるのかな。
まずはNPMのそのニュース認証なしで、パブリッシュができるアクセストークンを全部無効化したよっていう話と、
トラステッドパブリッシングがやっぱ不十分だよねみたいな話があって、ステージとパブリッシングだっけ。
うん、ステージとパブリッシング。
そう、っていうのを生やしたよっていう話ですね。ステージとパブリッシングの中身読んでないわ、忘れてたのこれ。
ステージとパブリッシングは、トラステッドパブリッシングないし、何でもいいんですけどパブリッシングはポチッとしたら公開されておしまいだけど、
ステージとパブリッシングは、ステージとパブリッシングすると文字通りステージの状態になってまだ公開されてないっていう状態になって、
ステージの状態からパブリッシングするには、NPMのコンソールにログインしてこのバージョンをパブリッシングするっていうのを人間が手動でやらないとできないっていう仕組みが入ったって感じです。
だから何を解決したいかというと、CI取られてたらトラステッドパブリッシングだろうとアウトだよねっていうところを、攻撃者目線だとCIプラスNPMのアカウントも侵害しないといけない。
で、CI侵害っていうところに対しては結構耐性があるっていう感じかな。
なるほどね。
これ自体は全員に共生されるものではなくて、任意で使えるのかな。
だからそういうと言うと今話してて思ったけど、どこで設定するんだろうね。
OIDC連携してたらステージとパブリッシングしててもコマンド書き換えでパブリッシングできるんだって意味がないから、
その辺はもしかしたらNPM側でこのパッケージはステージとパブリッシングしかしないっていう設定ができるかもしれない。
ちょっと今見てみよう。
リリースワークフローの自動化みたいなのを考えると普及しなそうだね。
そうなんだよね。まさしくコメントで書いたんだけど、1個2個メンテしてるだけならいいと思うんだけど、
モノリポで10個20個みんなでメンテしてますみたいな人たちがいたときに、
これがリリース軽減のために取るには結構痛みのあるトレードを振ったような気はしていて。
でも普通にさ。
ちなみに今NPMのやつ見たらAllow NPM PublishとAllow NPM StagePublishっていうチェックボックスがあるから、
NPM Publish外してStage Publishだけ許可するっていうふうにすれば、
CI侵害されてもPublishできるね。
なるほどね。
さすがにちゃんと考えてる。
でもどうなんだろうな。
ワークフローを守るってそんなに難しいのかな。そんなに難しいからこうなってるんだろうけど。
サプライチェーンを考えるときっついよなっていう。
オンプレリクエストターゲットとかはどうにかしてやると思うけど、
サードパーティーアクションが侵害されて、
IDトークナイトがついててトークン抜かれましたとか。
サードパーティーアクションをリリースのワークフローの中で呼ばないっていうのはできないのかな。
物によるだろうけど。
物によるかな。できそうではあるけど、
できたとして結局それを維持し続けられるのかとか考えたときに、
いやもうそもそも現象起きなくした方がいいよねみたいな。そうはあるかなって気がする。
それはそうね。
なんかこんだけやられちゃってると、
努力して防ぐ限界はあるよねという前提でいろいろ考えた。
逆にワークフローを守る意識がない人からステージパブリッシングに切り替えるかというより、
それもちょっと疑問ではあって。
あくまでパブリックプレビューでどのくらい使えるかって感じだと思うけど、
どうなっていくんでしょうっていう気がするね。
なんか難しいね。
なんかもうちょっとどうにか。
GitHub Actions側のセキュリティロードアンパンプはあるから、
それもどうなんでしょうって感じですけど。
あとアクセストーカー全部無効化したけど、
Safeway Bypassできるトークンを作れなくなったわけじゃないから、
つけ明け場的な部分はあるよねっていうのを別の記事でコメントがあった。
結局トラステッドパブリッシングはパッケージの最初のパブリッシュでは使えないんだね。
この記事の中でも言われてたけど。
そうなんだ。それ知らんかったな。
だからトークンはもう無くせないんだって俺は解釈したんだけど。
そうなのか。知らんかったです。
最初リリース用の使い捨てトークンみたいなのがあったらいいのかな。
放置されるリスクを防ぐのだったら。
KMSのインポートジョブとインポート用の暗号書きみたいなやつだよね。
考え方的にはね。
マークフローをガチャガチャするより、とりあえず元からパブリッシュしていこうかみたいな見たいとかはあるから。
トラスティックパブリッシュオンリーは無理なんだろうな。
あとはGitHub使ってませんとかGitHubGitHub使ってないとか。
あんま少ないと思うけどBitBucketですとか。
そっかそっか。GitHubがある世界でしか生きてないけどそういうパターンもあるんだな。
そうだね。GitHubアクション、GitLabを探る試合しかサポートしてないから
ウチャトラミス試合ですって言われたら、じゃあみたいな感じはある。
まあそうですね。普及具合は気になる。
まあちょっと使ってみようかな。自分で。
結構なんか4つ?3つか。今3つだけメンテしてるけど、3つでももうちょっとめんどくさいなって気持ちある。これ。
まあ使ってみないと。
第1回使ってみた記事。
次回の収録までにリリースタイミング来るかな。
なんかリリースすればいいじゃん。
いやいやだよ。もうね、サイクル決めてやってるんだよめんどくさいから。
そうなんだ。仕事やん。
そう、でもそうしないとめっちゃ放置しちゃうからさ。
だし、微妙になんかすごく薄くつかれてる気配はするから、その人たちがdependabotアラートで苦しまないようにちゃんとやろうと思ってますよ。
優しい。優しさに満ち溢れている。
というかなんかその、医者の不要状みたいで嫌じゃん。
こんだけLibreFMでパッチ当てないとか、心外云々とか言ってるくせに自分管理してパッケージはずっと放置してるみたいな。
それはそうね。
よくないよなと。
苦労度の。
でもリリース頻度とかは気にしてなかったな。なんかバカすく上げてるわ普通に。
多い分にはいいんじゃない?なんか僕の場合はその金の追加ほぼしてないけど、その依存パッケージの生成がどんどん進むから、それを放置したくないって感じかな。
お試しあれ。僕も試してみよう。
ちなみに次は6月1日にやる予定なんで、大喜利試してみたら言えるな。ちょっと収録後に設定しとこう。
じゃあ次いきますかね。
Anthropicのプロジェクト・グラスウィングとMITOSの成果
次は、これ記事のタイトルなんだ?ちょっと納書の方が壊れてるけど。
あった。
プロジェクトグラスウィングアンイニシャルアップデートというアンソレピックのアナウンスメンツですね。
何かっていうと、ちょっと結構どうなんでしょう。話題になってるのか、なってないのかわからないですけど。
話題のMUTOSくんのアンソレピックのMUTOS脆弱性を見つけるのにめちゃくちゃ強いモデルが出たぞっていうところの
セミクローズドなプロジェクトであるプロジェクトグラスウィングの進捗報告っていうような感じになっています。
あれだよね。一部のパートナーにだけ公開するよって言ってたやつがこれだよね。
これです。
で、誇張しすぎなんじゃないかとか、前回はカールで大して見つからなかったよとか、
マーケティングなんじゃないかみたいな話がいろいろあるけど、その辺の実態を出してくれてるって感じで。
さらっと話すと、まずなんか基本的に中身的に触れてるのは脆弱性の量とかタイプに触れてて中身は触れてなくてっていうのも
開始数週間なんで、監修に従って見つけた脆弱性は90日間は公開しないっていう部分にのっとって、まだ話せないよっていう。
ただ90日内所パッチが当たっていったものに関してはちょこちょこアナウンス出していくよっていうエクスキュースがありつつ、
ざっくりどういう成果が出てるかみたいなところで言うと2軸あって、
1つはパートナー企業、さっき言ったクローズドの今約50社ぐらいのパートナー企業があるんだけど、そこで活用されてどうだったかっていう話と、
もう1つはアンソロピック自身がOSSに対してMITOSを使ってスキャンしてどうだったかみたいな2つがあって、
まずパートナー企業での成果みたいなところは、50社全部合わせて1万件以上の脆弱性が今発見されていますと。
これ1万件全部正しいかはアンソロピック側で把握しきれないっていう部分があるというか、
多分企業側で精査しないっていう部分があるんだけど、多分1万件見つかっていると。
例えば、バイネームで言うとクラウドフレアとかは内部の重要なシステムで2000件バグ検出がされていて、
そのうち400件はクリティカルフラグがついている脆弱性が見つかっていますよみたいな部分とか、
クラウドフレアからのフィードバックとして、人間より誤検出が少ないみたいな部分でMITOS使えるぞってなってますよみたいな話とか、
他にも前も話しましたけど、モジュラで271件の修正が入りましたとか、
いろんな企業で脆弱性をボンボン見つけられて、これは良いぞとなってますよみたいな話が定性的な部分で書いてありましたと。
これは何か知らなかったなって思うんですけど、脆弱性の発見以外にも活用をトライしているのかなっていう部分がめっちゃ具体的には書いてあるんですけど、
一部を書いてあったのは、とあるパートナーの銀行で、攻撃者がお客さんの、銀行のお客さんのアカウント、メールアドレスを乗っ取って、
鳴りすまし電話をかけて、不正送金、150万ドル不正送金なんで、
たくさん、たくさん。
たくさんだね、2億ぐらいですか。
不正送金をされそうになったのを検知して阻止できましたっていう部分にMITOSが役立ったっていう報告があったりして、脆弱性以外でも。
これは何かLLMならではというか別に。
どこにフックしておいたんだろうね。
そうだね、本当この1行しかないから結構詳しく聞かせてっていう気持ちだったんだけど。
聞きたい人多そう。
ちょっと後々教えてくれた感じなんですけど。
パートナー企業ではそういう成果が出ていますよっていうところと、
あとOSSのほうではさっきそのご検出の話をちょっとしたけど、
その辺の言及があってなるほどと言っていて、
具体的に何してるかというと、1000以上の広く使われているOSSに対してMITOSを使ってガンガンスキャンかけてますよっていうのをやっていて、
この記事を出した時点で重大、クリティカル内緒はハイとかですか、
よくあるCVTというハイクラスの脆弱性を約6202件発見していますと。
しょぼい脆弱性、ローミットとかも含めると23,000件の脆弱性を1000以上のOSSに対して見つけてますと。
なかなか、なかなかだなって感じですけど、
その23,000件のうち6,200件が重大なものですと。
この6,200件のうち多分全部やるのかわかんないけど、
1,700件ぐらい、1,752件を人間が再レビューして本当に正しい検出なのか、
ラベル付けなのかっていうのをセキュリティベンダーに協力を仰ぎつつ、
アンソロピック自身も手を動かして評価していますっていうのも書いてあって、
その結果、信用性の割合が90%ぐらい。
60%ぐらいは重大な脆弱性だったっていう。
ちょっとわかりづらいけど、どういうことかというと、
ミュートス使ったら1,752件重大な脆弱性ですって報告してきたけど、
そのうち165件は偽用性、1割ぐらいは嘘で、
残った9割のうち1,094件は報告通り重大な脆弱性。
残りの493件は確かに脆弱性なんだけど、重大レベルではないっていう部分。
これもある種の偽用性といえば偽用性の感じですけど、
そういう結果でしたよという感じですと。
23,000件は今時点で脆弱性スキャンは現在進行形なんで、
どんどん増えていくことになりそうですって話をしている感じですね。
これに対して所感というかいろいろ決まり文句というか、
パッチ当てるスピードがやっぱボトルデンクなんでみたいな話がいろいろ書いてあるんですけど、
面白いのがこのOSSに対する脆弱性の検出件数とか、
そのうち何件レビュー済みかみたいな部分は多分リアルタイムで更新されるダッシュボードを、
リアルタイムは嘘だな。
定期的に更新されそうなダッシュボードを公開してくれていて、
これはぜひ気になる方は見てくださいって感じなんですけど、
グラフでいうとさっき言った通り23,000件見つけて、
そのうち1,900件は外部の、
違うわ、人間がレビューしてそのうち1,700件が正しくてみたいなのをプライベートなんで見ていって、
細かい部分はちょっと分かんないですけどグラフとかで、
でもあれだね、プロジェクト単位とかで、
プロジェクト単位でも見れるね。
エンジンXで何見つけたかとかそういうのも見れるようなやつがあったりしますね。
へー。
これ気づかなかったな。
何が一番多いんだろう、気になるな。
イメージマジックはそうでもないけどな。
これでも全部は出してないのかもね、もしかしたら。
っていうのもパッと見たときに合計が1,600件、
だからプロジェクター軽いのやつあるから公開していいよって言われたやつだけ、
SSのやつって公開してるのかもしれないね。
逆になくそのあれじゃない、
ステータスがフィクスドか、ステータスがフィクスドになったら、
あーそういうことか。
多分公開してんじゃない。
なるほどね。
あーほんとだ。
へー。
そんな感じするね。
うんうん。
まだまだ。
これ5月22なんで、あれですけど、
まあ確かにな、この。
なるほどね。
この状態に対して結構偉いなっていうのが、
これ23,000件見つけたけど、これ23,000件見つけたよって言って、
そのOSSメンテナーに送るんじゃなくて、
基本的には全部外部ベンダーとかアンソロピック自身が検証し直して、
正しい検知だったらメンテナーに対して丁寧にレポート作成して送るっていうのをやってる。
コツコツやってますよと。
で、OSSメンテナーがAIストロップで苦しんでることは重々承知なんで、
その辺は慎重にやってますよって話。
とは言え、その方法でも依然としてパッチが全然間に合わないから、
情報の開示っていうのを遅らせてほしいっていう風に依頼してきてるメンテナーが。
具体的にどれぐらいかっていうのが書いてあるけど、
いましたよみたいな話。
とか、また見つけた脆弱性に対して、
やっぱり修正のペースが全然追いついてない。
今パッと見ても、1600件検証済みで多分報告済みのものがあって、
そのうち27件しか22日時点では直ってないんで、
その辺りが業界全体としての課題になっていきそうだよねっていう風に触れられてるっていう感じですね。
なんかゴリゴリにビジネスロジックを含む行動に対しての、
こういうのってあんまりまだ見かけてない気がするんだけど、
どうなんだろうね、どっかやってんのかな。
一、そのインハウスのセキュリティエンジニアとして気になるのってどっちかっていうとそっちでさ、
各企業が、パートナー企業がいろいろ見つけられてる部分が実際何かって話かなって気がしてて、
でもそれで言うとそれなりに見つけんじゃないかって気はなんとなくするけどね、
この前のモジュラのやつとかも具体的なやつ、開示できるやつは開示してって買ったけど、
割と複雑性が高いようには見えたし、
でも具体的なやつを多分検証しないと何とも言えないかな、
その辺はちょっとおいおい情報をくださいって感じはするかもね。
なんか人間が正解不正解のラベルをつけないといけないものに関してはどうなんだろうね。
それ以外は見つけられそうな気はするけど、
なんかこのロールはこれができていいかどうかみたいな、
メタ情報がない状態でそれを検証するかどうか。
でもその辺までやりたくなったら見通すだろうとなんだろうと、
人間がなんか補助線というかそういうシステムを組まないといけない気はするけどね。
正しい振る舞いを文書かなんかで渡しておいて、
そこから外れるものも見つけてみたいな感じになりそう。
あとは僕はまだ触れてないですけど、
クラウドコードセキュリティがどんぐらいその辺に刺さるかどうかなのかな。
コーデックスセキュリティは前にも話したかもしれないけど、
結構いけそうな雰囲気あるから、
順当進化で割といいとこまでいけそうな気がしてるけど、
クラウドセキュリティは触れてないからちょっとわかんないな。
でもやっぱ何されるにしてもそのメタ情報をどう渡すかはめっちゃ大事な気がするな、普通に。
その仕様とか、あとはそのシステムがどこに配置されてるかとかも、
場合によっては判断軸になるわけじゃん。
間違いない。
脆弱性だけれどセキュリティが上がるのか下がるのか。
露出してたら上がるだろうし、
内部システムなら避けてもいいかもしれないしとか。
全然ありそう。
でもそれは取り合わせの段階の話のような気がするな。
別に出すだけ出していいと思うんだよな。
行動を見てどうなるかっていうのは。
どっちかっていうと、これはご検知ですよ、覚えておけるっていうのが多分大事で。
それこそハーネスの話になるんだろうね、結局。
その辺はあとは組織によって正解が変わりそうな気はするな。
システムが巨大で取り合わせがきついなら取り合わせもやりにやらせようと思うし、
そこそこの規模なら取り合わせから人間がやろうとか、
全然ありなはんだ。
結構MUTOSどうなんだいっていう感じだったけど、成果は出てるんだろうなって。
あとは先週も矢口が言ってくれたけど、
N年ものを見つけてて落ち着くタイミングが来るのか、
その辺は引き続き答えてるのはいつぐらいかな。
半年ぐらい経ったら落ち着くのかどうなのかって感じな気がするけど。
見守りましょうって感じですかね。
はい、そんな感じです。
じゃあ、次。
今日は人生の探検が多いなって感じですね。
そうね、続いてたね。
メガドローン攻撃キャンペーンとリポジトリ侵害
ステップセキュリティの記事で、
メガドローン、マスキッドアバクション、 シークレットエクスペリトリーションアクロース、
5500プラスパブリックリポジトリ、記事ですね。
何かというと、メガロドンっていうふうに名付けられた、
これはステップセキュリティが名付けたのかわかんないですけど、
名付けられてる攻撃キャンペーンがありましたよと。
この攻撃キャンペーンは何かっていうと、
5500以上のパブリックリポジトリに対して悪意のあるワークフローが
コミットされましたっていう話ですね。
これによって何が起きてるかっていうと、
認証情報の収集をやってますという感じです。
直近の流行っている攻撃とは少し経路が違うんで
おおってなって取り上げたんですけど、
今コミットが積まれたって言ったんですけど、
何が起きたかというと、
文字通りそのパブリックリポジトリに
リポジトリのメンテナーとして
コミットが積まれたっていう話みたいで、
なんでフォークしてオンプリリクエストターゲットの脆弱性を狙ってとか、
そういう話ではなさそうという感じ。
5500ものリポジトリに何故そんなことができたのかが
情報が足りず全容は見えてこないというか、
多分おいおい続報出しますっていう風になってるんで、
全部見えたら出してくると思うんですけど、
いろんな記事を漁ってみてる感じは、
インフォースティーラーで盗まれたいろんなパッドとか、
あとはデプロイ機みたいなのを使って、
シンプルにプッシュ権限、コンテンツライト権限があるんで、
それを使って直接コミット積まれちゃったっぽい
っていう風なことが書いてあるので、
このセキュリティの記事では、
メンテナー権限を持ってたとしてもブランチプロテクションをきちんと、
例えばデフォルトランチを守るとかが大事だよみたいなことを書いてあって、
最初はちょっと何言ってるんだろうと思ったけど、
なるほどねっていう感じですね。
これ本当にそれで防げんの?
結局バイパスアクターの設定と何使ってアクセスされてるか次第だよね。
そうなんだよね。
例えばだけど、GitHub CLIのトークンが、
レポライトがついてるオースアップのトークンだったら、
多分レポライトだっけ?レポアドミンだっけ?
ちょっと忘れてたけど、レポライトか。
違うな、レポだ。忘れてたんだけどごめん。
オースアップ側のパーミッションの名前に全く馴染みがなくて忘れちゃったんだけど。
オースアップは多分、本当にインフォスティーダなんであれば、
オースアップのトークン盗まれることあんまない気はしてて、
ローカルにはないじゃないですか。
オースのプロバイドの方が持ってるやつが盛れたパターンだと思うから、
その場合は。
いやいやいや、だってGitHub CLIのトークンはいるじゃん、ローカルに。
あー、CLIは、確かに。CLIはいるね。
あいつオースの何だっけ?何かのフローでしょ。
それは確かにね。
例えば、個人でやってたりやってなかったりするけど、
自分自身でも直プッシュはできないようにして、
このCAパスしないとっていうのはやってたりするから、
そういうのあったら防げたよねとかはもしかしたらあるかもしれない。
あるかもしれないけどね。
まあでも、バイパスアクターに一応入れててとかは普通にありそうな気がするし。
だから完全な個人リポだと守るのきついな、普通に。
で、個人じゃなくて複数人でメンテナンスしてるやつは、
単純に他人のアップルーブ一つとかで防げるんじゃないかな。
完全に個人だとね、そもそも自分で立てたBRって自分でアップルーブできないから、
なんか無理だよね。
そうだね。だからそれこそCAパスしてとか。
でもCAパスも今自分で言ったけど、普通にその枠を書き換えちゃえばいけちゃうから、
なかなか。
だから侵害されたリポジトリとかいくつか多分貼ってるけど、
パッと貼られてるやつとか、
なんかコミュニティでメンテされてそうなやつが貼られたりするから、
なんかこういうのはちゃんとブラウンチプロテクトしてくれるんだよねっていう話かもね。
はい、なんでちょっと規模感がきついなっていうか、結構。
まあね。
これあんま騒がれてないってことは、これで侵害されたやつって、
めっちゃみんなが使ったやつはそんななかったのかなっていう。
あとはそのリポジシンが被害に遭うだけでコード改ざんとかしてないっぽいから、
だけど割と被害がなかなか顕在化しづらいインフォスティーラーのやつがここで発火するかっていうところと、
またここから繋がっていくんでしょうか。
いや、勘弁してほしいんですけど。
だからどちらかというと個人個人がお気をつけください案件かもね。
情報があって何か有益な情報があればまた取り上げようかなと思いますという感じです。
次も続報を待ちたいシリーズ。
これは続報を待ちたいね。
さらっともう散々話題になってるんですよ。
GitHub内部リポジトリ侵害事件
復習型だという感じかもしれませんが、
Investigating Unauthorized Access to GitHub'sInternal Repositories
GitHubの公式ブログ記事ですね。
GitHub侵害されましたよって話で、
GitHubの社内リポジトリ3800匹ぐらいが漏洩したのがほぼ確定なのかなというところですね。
原因としてはVSコード、悪意のあるVSコードを社員が使っていて、
そこから侵害されましたという部分ですね。
何か多分第三者がいろいろ出てるけど、
公式から出てる情報はほぼ今言ったことぐらいなんで、
続報をお待ちしましょうという部分。
一応、XのGitHubのアカウントか何かでちょろちょろ更新はあったけど、
そんなに引き続き続報をお出しますぐらいしか最後に言ってなかった気がするから。
今頑張って調査してるんだろうね。
NXコンソールっていうVSコードがあれば。
きついね。18分しか公開されてなかったけど、
自動更新で入っちゃったって書いてあるから。
だいぶしんどいね。
なんか立て続いてるね。
バーセルしかり、オープンAIしかり、
あの辺の企業にも入れちゃって、GitHubもやられてて。
これね、対策いろいろワイヤワイヤ出てるけど、
VSコードの拡張機能をホワイトリスト管理はできるのかな?
ホワイトリスト管理はできて、どうなんだろう?
バージョン管理までできるのかな?
自動更新をオフのポリシーは配布できるかもね、もしかしたら。
VSコード、エンタープライズ、プライズ、アップデート。
これ、あんまりやりたくないことをどんどんさせられる感覚があるというか。
会社として防ぐってなったときに、
じゃあホワイトリスト管理してそのポリシー配布しましょうってなった。
基本的には不便にどんどん倒していくしかないというか、
申請してもらって次ディジェクトしたらOKですよとか、
アップデートもすぐには降ってこないとか、
アップデートぐらいはいいかもしれないけど、
あとはチェックしたところで防げたのかと言われると結構、
別のレイヤーで防ぐしかないのかな。
今回のでいうと18分しか公開されてないから、
それこそミニマルリリースエッジじゃないけど、
ディレイを入れとけば済んだっていう話ではあるよね、正直。
結構別の事例ちょこちょこ、
定期的にVSコードの侵害って出てるけど、
そういうの見てないな、何分ぐらいあるんだろうな。
何日ぐらいの単位でやってれば、
大体テイクダウンされるでしょうとは思うから。
有名どころであれば基本的には消えそう。
問題はディレイじゃなくて無効なんだよな、
多分できる設定が今。
なるほどね。
ポチってやられたらもうダメってことね。
そうそう。
VSコード側が出すかもね、これ受けて、
クールダウンの機能とかもしかしたら。
Chromeとかも出して欲しいし、
でもそうするとカーソルは?とか、
VSコードベースの他のエディターは?みたいな話が
多分どんどん出てきちゃうから。
そうすると動かせるソフトウェア自体を
縛らないとダメなのっていう話になってきちゃって、
しんどいね。
Chromeのプラグインとかも一緒じゃんとかね。
EDRだと拡張機能は云々みたいな話を見たけど、
どうなんだろうな。
あそこも狙われたんじゃないかみたいな。
狙われたというか、噛み合ったんじゃないかみたいな。
結構きついね。
続報お待ちしてますケースね。
まだ全然中身わかんないんで。
言うても5月1週間ぐらいもうすぐ経つのか。
大変だなまして。
今日はそんな感じか。
その他の話題とエンディング
お気を付けくださいだらけだったな。
プロジェクトグラスウィングは明るいニュースかもしれないと。
Google IOWNもあったけど、あんまり
うおー!みたいなニュースは正直そんなになかったというか。
感じはするんで。
全然追っかけてないな。
あれじゃない?ジェミニスパークとかちょっと話題になってたかな。
Googleは24時間動く。
Googleアクスペースをいろいろやってくれるジェミニの
AIエージェント的な。
具体的な内容は全く喋ってないけど、
とりあえず24時間あなたの代わりに働くっていうキャッチフレーズっぽい。
あとはあれか。
本当に多分あんまり盛り上がってないのかもしれない。
コマゴマウェーブンの話とかは見たけど。
気になる人はそっちも追ってみてくださいって感じ。
夏バテに負けずにサラッとですけど。
来週も頑張りましょう。
夏バテとカレーに負けずに頑張っていきましょう。
本当に筋トレ筋トレ。
心の奥にないですか?
ないっす。
たまにはこんな感じで。
来週ステージドパブリッシュの感想を持ち込むんで楽しみにしてください。
やったぜ。
皆さん来週も楽しみにしてください。
おやすみなさーい。
おやすみなさーい。