技術2026年5月27日(水)約4分GitHub Actions認証障害で多数のworkflow runが開始できなかった2026-05-26のGitHub Actions/Pages障害は5月で2回目。認証エラーでrun開始とactionダウンロードが止まり、走行中jobやcronも巻き込まれた。5/15のservice discovery障害とは別件で、両方の時系列を整理した。GitHub ActionsGitHubCICDインシデント
技術2026年5月17日(日)更新約11分Shai-HuludワームがGitHubでオープンソース化、TeamPCPがBreachForumsで派生攻撃チャレンジを開催2026年5月12日にTeamPCPがShai-HuludワームをGitHub公開。Datadog解析でモジュール構成(Loader/Provider/Collector/Dispatcher/Sender/Mutator)とClaude Code SessionStartフック実装が判明、5月15日にBreachForumsで金銭報酬付き派生攻撃チャレンジが始動、コピーキャットによるFreeBSD対応PRも既に投下。検知の追加ポイントまで整理セキュリティnpmサプライチェーンマルウェアGitHub Actions
技術2026年5月14日(木)約11分Composer CVE-2026-45793でGitHub ActionsトークンがCIログに平文露出Composer 2.9.8と2.2.28で修正されたCVE-2026-45793。GitHubの新形式GITHUB_TOKENがハイフンを含むことで検証に落ち、CIログへ平文表示される条件と、GitHubの再ロールアウト前に確認する範囲を整理する。PHPセキュリティCVEGitHub Actionsサプライチェーン
技術2026年5月12日(火)更新約29分Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新セキュリティnpmサプライチェーンマルウェアGitHub Actions
技術2026年3月27日(金)約5分GitHub Actionsの2026年セキュリティロードマップtj-actionsやTrivy供給チェーン攻撃を受けたGitHubが、依存関係ロック・スコープ付きシークレット・Layer 7エグレスファイアウォールを軸にCI/CDパイプラインの攻撃面を削減する計画を公開した。GitHub ActionsCICDサプライチェーンセキュリティ
技術2026年2月24日(火)更新約6分Claude Code SecurityのAI推論ベース脆弱性検出Anthropicが発表したClaude Code Securityの技術的アプローチ、偽陽性対策、GitHub Action、競合ツールとの比較、そしてサイバーセキュリティ株$15B吹き飛びの背景を整理する。AnthropicClaudeセキュリティSASTAIGitHub Actions脆弱性検出
技術2026年2月20日(金)約4分ClineのAIボットがサプライチェーン攻撃に悪用された「Clinejection」の全貌AIコーディングツールClineのIssueトリアージボットがプロンプトインジェクション・キャッシュポイズニング・認証情報の混在という3段階の攻撃チェーンで悪用され、実際に約500万ユーザーを対象にした未承認パッケージ発行が発生した事案を解説する。セキュリティAIサプライチェーンClineGitHub Actions