
Docker Blogが解説、EUサイバーレジリエンス法とコンテナチームが押さえるべき要点
Docker Blogが、EUのサイバーレジリエンス法(CRA)についての解説記事を公開しました。SBOM(ソフトウェア部品表)の義務化や脆弱性報告のルール、コンテナを扱う開発チームが意識すべき対応期限など、CRA対応の全体像を整理した内容です。
まとめでも翻訳でもない。公式発表を、AIが日本語でわかりやすく。
トピック: security解除

Docker Blogが、EUのサイバーレジリエンス法(CRA)についての解説記事を公開しました。SBOM(ソフトウェア部品表)の義務化や脆弱性報告のルール、コンテナを扱う開発チームが意識すべき対応期限など、CRA対応の全体像を整理した内容です。
Meilisearchがセキュリティ修正版v1.48.2とv1.47.1を公開しました。特定のAPIキー設定や検索用テナントトークンの利用者に影響する権限昇格(CVE-2026-57824)と情報漏洩(CVE-2026-57823)の脆弱性を修正しています。悪用の痕跡は確認されていませんが、対象条件に該当する利用者は速やかな更新が推奨されます。
Meilisearchはセキュリティ修正版となるv1.47.1およびv1.48.2を公開しました。特定の条件のAPIキーやテナントトークンを利用している場合、権限昇格や情報漏洩につながる2件の脆弱性(CVE-2026-57823、CVE-2026-57824)が修正されています。悪用の痕跡は確認されていませんが、該当する利用者には早急なアップデートが推奨されています。
Docker(Moby)がDocker Engine 29.6.1をリリースしました。悪意あるイメージによるメモリ枯渇攻撃と、BuildKitのSeccomp/AppArmor無効化を許してしまう脆弱性を修正しています。合わせてcontainerdとBuildKitのバージョンも更新されました。

Vercelは、Sensitive(機密)に設定した環境変数のうち32文字以上の値をビルドログ上で自動的に[REDACTED]表示に置き換える機能を追加しました。Activity Logには変数名やプロジェクト・デプロイ情報のみが記録され、値自体は一切残りません。デプロイのセキュリティに関わる一部のシステム環境変数も同様にマスキング対象となります。
パッケージマネージャーpnpmのバージョン11.11がリリースされました。新機能としてレジストリ上のパッケージ権限を管理する`pnpm access`コマンドが追加され、同時に複数のパストラバーサル脆弱性の修正やクレデンシャル漏洩対策など、セキュリティ関連のパッチが多数含まれています。加えて依存解決時のメモリ使用量を約30%削減する改善も行われました。

Docker Blogが、EU AI Act(EU AI法)への準拠に関する記事を公開しました。リスク階層ごとの対応要件や2027年までの主要な期限、そしてエンジニアリングチームがAIガバナンスを実務に落とし込む方法がテーマとして紹介されています。
Pythonパッケージマネージャーuvの0.11.25が公開されました。tar解析ライブラリの更新によるセキュリティ強化に加え、ツールレシートへのロックファイル追加やスコープ付き依存関係の上書き・除外サポートなど多数の改善が含まれます。プレビュー機能ではワークスペースやty連携の強化も進んでいます。
PostgreSQL用ODBCドライバ「psqlodbc」の新バージョンREL-18_00_0002がPostgreSQL Newsで発表されました。目玉はメモリ安全性の改善で、スタックバッファオーバーフローやSQLDisconnect時の二重解放、ログへの機密情報漏えいなどが修正されています。新機能追加ではなく堅牢性強化が中心のメンテナンスリリースです。
OpenAIが、政府機関や国家安全保障関連組織との協業に関する基本方針を発表しました。責任あるAI利用、民主的な説明責任、そして公共の安全という3つの観点から、パートナーシップの姿勢を示す内容です。具体的な運用ルールの詳細は明らかにされていませんが、AIと国家権力の関わり方に対するOpenAIの立場を知る手がかりとなります。
米NISTが将来の標準化候補として新たに9つの耐量子署名アルゴリズムを選定したことを受け、Cloudflareが詳細な分析記事を公開しました。同社は各アルゴリズムの可能性を評価しつつも、現時点では既に標準化済みのML-DSAを使うべきだと主張しています。
Cloudflareの公式ブログに掲載された記事「We cannot wait for better post-quantum signature algorithms」がHacker Newsで話題になりました。タイトルが示す通り、より優れた耐量子計算機暗号の署名アルゴリズムの登場を待つのではなく、現行の**ML-DSA**を実運用に採用すべきだという趣旨の主張とみられます。Hacker Newsでの反応は5ポイント・コメント0件と限定的でした。

GitHubは、GitHub Advanced Securityのエンタープライズ顧客向けに「Innersourceセキュリティアドバイザリ」の一般提供(GA)を開始しました。オープンソース向けのセキュリティアドバイザリと同様の仕組みを、組織内部のリポジトリに限定して利用できるようになります。これにより、社外に公開できない内部ライブラリや共有コンポーネントの脆弱性情報も、組織内で体系的に管理・共有できるようになります。

Djangoチームがセキュリティリリース方針に基づき、Django 6.0.7と5.2.16を公開しました。キャッシュ経由でのCookie漏洩、GDALRasterのヒープバッファ過読み、DomainNameValidatorの改行受理によるヘッダインジェクションの3件を修正しています。いずれも深刻度は「低」ですが、全ユーザーに早急なアップグレードが推奨されています。

GitHub Changelogの発表によると、npmのメジャーバージョンである**npm v12**が正式リリースされ「latest」タグに指定されました。6月に発表されていたインストール時セキュリティの既定機能が有効化され、同時にGranular Access Token(GAT)のbypass2fa機能の廃止プロセスも始まっています。
AnthropicはAE Studioとの共同研究で、ウイルス学やサイバーセキュリティなど悪用可能な知識だけをモデルの特定モジュールに閉じ込め、後から着脱できる手法「GRAM」を発表しました。従来のデータフィルタリングでは用途ごとに複数モデルを訓練する必要がありましたが、GRAMなら1回の訓練で複数の構成を作り分けられます。まだ実験段階の研究であり、Claudeの本番モデルには未適用です。

GitHub Changelogによると、npmのメジャーバージョンである**npm v12**が正式リリースされ、latestタグに設定されました。従来自動実行されていたライフサイクルスクリプトやGit・リモートURL依存の解決がデフォルトでオプトイン方式に変更され、あわせて2FAをバイパスできるgranular access token(GAT)の権限も段階的に廃止されていきます。

Docker BlogにDocker CaptainのKaran Verma氏が寄稿し、AIエージェントの実行環境に隔離(isolation)が必要な理由を解説しました。あわせて、より安全なAIワークフローを実現する仕組みとしてDocker SBXと、それを支援するSandbox Kitsが紹介されています。
Prometheusの長期サポート(LTS)版となるv3.13.0が公開されました。UIのXSS脆弱性(CVE-2026-44990)修正に加え、異なるホストへのリダイレクト時に認証情報を送信してしまう脆弱性(CVE-2025-4673、CVE-2023-45289)への対策が行われています。あわせてPromQLの新関数や検索API、TSDBの性能改善なども含まれています。

GitHub Blogが、社内のOpen Source Program Office(OSPO)がGitHubの新しいライセンスコンプライアンス製品をどのように活用しているかを紹介しています。オープンソース依存関係のライセンス管理を大規模に行う際の実例として位置づけられています。