PyPIタイポスクワッティングを悪用したShai-Hulud模倣攻撃、Python開発者を狙う
GitLabの脆弱性リサーチチームが、PyPIを標的とした新たなPythonサプライチェーン攻撃を発見しました。悪意あるパッケージがShai-Huludワームを展開し、主要なクラウドプロバイダーのCI/CDシステムから認証情報を窃取します。
記事を読むセキュリティタグを含む記事を閲覧する
特集記事
最近の投稿
セキュリティ
SBOMベースの依存関係スキャンでサプライチェーンリスクを軽減
GitLab 19.0でSBOMベースの依存関係スキャンが一般提供開始。プロジェクト内の直接・推移的依存関係を網羅的に一覧化し、脆弱なパッケージがプロジェクトに混入した経路を追跡します。コードが実際に使用している脆弱性を優先的に特定・修正できます。
セキュリティ
数分でコードベース全体のセキュリティスキャンを完全カバー
GitLab 19.0のセキュリティ設定プロファイルを活用すると、SAST・依存関係スキャン・シークレット検出を数千のプロジェクトに一括適用できます。YAMLファイルを編集せずにスキャナーカバレッジを迅速に確立し、セキュリティの抜け漏れをなくします。
セキュリティ
GitLab Secrets ManagerでCI/CD認証情報を管理
CI/CD変数への認証情報の保存をやめましょう。GitLab Secrets Managerでは、各シークレットを環境またはブランチにスコープし、コードと同じアクセス制御で管理できます。GitLab 19.0でパブリックベータ版を提供開始。
セキュリティ
AIコーディング時代に備えるパイプラインの堅牢化
パイプラインは今や、人間・AIエージェント・サードパーティコードが集約される重要な場所となっています。GitLab Ultimateで、すべての変更をリアルタイムで可視化し、ポリシーを自動適用し、脆弱性を効率的に修正できるDevSecOpsコントロールプレーンを構築しましょう。
セキュリティ
誤解を招く脆弱性の重大度を、ポリシーで修正する5つの方法
デフォルトのCVSSスコアは実際のリスクを反映していません。GitLabの重大度オーバーライドポリシーを使用すると、CVE、CWE、ファイルパス、ディレクトリを条件として重大度を自動調整し、実際のリスクに即した脆弱性レポートを実現できます。
ニュース
Monday Merge 5月号:AIによるコードの増加 - 派生する課題とは?
5月号のMonday Mergeでは、AIによるコード増加がもたらす「レビュー・セキュリティ・パイプライン管理」への新たな負担を取り上げ、GitLab 18.11のエージェント型AIでボトルネック解消を目指す取り組みを紹介しています。
セキュリティラボ
GitLab CI/CDとDuoで自動検知テストフレームワークを構築する
GitLabのSignals Engineeringチームが構築したWATCHフレームワークを通じて、セキュリティ監視パイプラインを継続的に検証する方法をご紹介します。
Find out which plan works best for your team
Learn about pricingLearn about what GitLab can do for your team
Talk to an expert