GitLab IaC Scanning機能を利用する - TECHSTEP
今回はGitLab IaC Scanning機能を検証しました。 docs.gitlab.com 背景 GitLabのIaC ScanningはIaCファイルに対する静的解析機能を提供します。IaC Scanningの内部ではKICSというIac専用の静的解析ツールを実行しており、セキュリティの脆弱性やコンプライアンス的な問題点などを指摘します。 IaC Scanningの対象のIaCツールは複数あり、以下に対応しています。なお一つのリポジトリ上に複数のIaCツールファイルを配置する場合もサポートします。 Ansible AWS CloudFormation Azure Resource Manager Dockerfile Google Deployment Manager Kubernetes OpenAPI Terraform docs.gitlab.com IaC Scanning
GitHubのSecret scanning alertsを有効化してセキュリティリスクを低減する - Qiita
はじめに 本記事はGitHubのSecret scanning alertsについて記載しています。 2023年2月28日、GitHubのブログでSecret scanning alerts are now available (and free) for all public repositoriesが公開されています。 上記ブログの情報を踏まえて、Secret scanning alertsがすべてのパブリックリポジトリで無料で利用できるようになりました。 従ってSecret scanning alertsを有効化することで、code, issues, description, and commentsに関するクレデンシャル情報が漏洩した場合、アラートを通知することができます。 Secret scanning alertsの設定 Secret scanning alertsを有効化する
GitHub Actionsの`permissions`を自動で設定するツールを書いた
GitHub Actionsにはpermissionsというフィールドがあり、それぞれのWorkflow/Jobでのsecrets.GITHUB_TOKENの権限を設定できるようになっています。 secrets.GITHUB_TOKENはGitHub Actionsの実行ごとに発行されるGitHubのTokenで、多くのGitHub Actionsはこのトークンを使ってリポジトリをgit cloneしたり、Issueにコメントを書いたりしています。 GitHub Actions: Control permissions for GITHUB_TOKEN | GitHub Changelog Workflow syntax for GitHub Actions - GitHub Docs このpermissionsをちゃんと設定することでサプライチェーン攻撃などの影響を軽減することができます
KeycloakのSAML SSOでGitLabやMattermostにログインする - GeekFactory
KeycloakとGitLabでSAML SSOを設定する方法を説明します。ユーザ管理をKeycloakで行いながら、GitLabやMattermostにSSOできるのでとても便利です。 TL;DR Keycloakはオープンソースの統合ID管理ツールです。OpenID ConnectやSAMLによる認証を提供しています。(こちらの記事が参考になります) GitLabはオープンソースのソースコード管理ツールです。OmniAuth IntegrationでソーシャルアカウントやSAMLによるSSOに対応しています。 KeycloakとGitLabの連携にはSAMLを利用します。 Keycloakの設定 Keycloakで新しいClientを追加します。認証連携したいユーザがいるRealmで作業してください。 Client ID: https://gitlab.example.com *1 C
gitなどのSCMのssh URL処理の脆弱性 - てきとうなメモ
Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog ssh://-oProxyCommand=gnome-calculator/watというようなssh URLを処理しようとして、 ssh <ホスト名> ...のような形式で渡すと ssh -oProxyCommand=gnome-calculator ...となって、gnome-calculatorが実行されてしまうという話。 このssh URLを直接gitコマンドの引数として渡すのであればすぐ気付くだろうが、このURLはgit-lfsの.lfsconfigやgit submoduleの.gitmodulesに記述 することができるので、URLを用いてだけではなく、1コミットがこのような内容を含んでいれば攻撃できてしまう。 とはいえ、lfs
How I hacked Github again.
This is a story about 5 Low-Severity bugs I pulled together to create a simple but high severity exploit, giving me access to private repositories on Github. These vulnerabilities were reported privately and fixed in timely fashion. Here is the "timeline" of my emails. More detailed/alternative explanation. A few days ago Github launched a Bounty program which was a good motivator for me to play w
偶然にも500万個のSSH公開鍵を手に入れた俺たちは - slideshare
DeClang 誕生!Clang ベースのハッキング対策コンパイラ【DeNA TechCon 2020 ライブ配信】DeNA
Vulnerability announced: update your Git clients
EngineeringVulnerability announced: update your Git clientsA critical Git security vulnerability has been announced today, affecting all versions of the official Git client and all related software that interacts with Git repositories, including GitHub for Windows… A critical Git security vulnerability has been announced today, affecting all versions of the official Git client and all related soft
GitHub Security
GitHub Bug Bounty Software security researchers are increasingly engaging with internet companies to hunt down vulnerabilities. Our bounty program gives a tip of the hat to these researchers and provides rewards of $30,000 or more for critical vulnerabilities. If you have found a vulnerability, submit it here. You can find useful information in our rules, scope, targets and FAQ sections. Happy hac
GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
GitHub resets user passwords following rash of account hijack attacks
GitHub is experiencing an increase in user account hijackings that's being fueled by a rash of automated login attempts from as many as 40,000 unique Internet addresses. The site for software development projects has already reset passwords for compromised accounts and banned frequently used weak passcodes, officials said in an advisory published Tuesday night. Out of an abundance of caution, site
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Resynth1943 - Your Ultimate Destination for Business, Education, Gaming, Health, Lifestyle, News, Software, and Sports
GitLab as OpenID Connect identity provider | GitLab