Primary Sources Only

Tech / AI ニュース

まとめでも翻訳でもない。公式発表を、AIが日本語でわかりやすく。

トピック: security解除

Docker Blogが解説、EUサイバーレジリエンス法とコンテナチームが押さえるべき要点

Docker Blog重要度 652026/6/25

ワンポイントCRA対応でSBOMと脆弱性報告がコンテナチームの必須事項に

Docker Blogが、EUのサイバーレジリエンス法(CRA)についての解説記事を公開しました。SBOM(ソフトウェア部品表)の義務化や脆弱性報告のルール、コンテナを扱う開発チームが意識すべき対応期限など、CRA対応の全体像を整理した内容です。

Meilisearch、権限昇格と情報漏洩の2件のCVEを修正したv1.48.2/v1.47.1をリリース

Meilisearch重要度 852026/6/25

ワンポイント認証不備で権限昇格・情報漏洩の2脆弱性を修正、対象者は即時更新推奨

Meilisearchがセキュリティ修正版v1.48.2とv1.47.1を公開しました。特定のAPIキー設定や検索用テナントトークンの利用者に影響する権限昇格(CVE-2026-57824)と情報漏洩(CVE-2026-57823)の脆弱性を修正しています。悪用の痕跡は確認されていませんが、対象条件に該当する利用者は速やかな更新が推奨されます。

Meilisearch、権限昇格と情報漏洩の脆弱性を修正したv1.47.1・v1.48.2をリリース

Meilisearch重要度 852026/6/25

ワンポイント権限昇格と情報漏洩の脆弱性2件を修正、該当ユーザーは要更新

Meilisearchはセキュリティ修正版となるv1.47.1およびv1.48.2を公開しました。特定の条件のAPIキーやテナントトークンを利用している場合、権限昇格や情報漏洩につながる2件の脆弱性(CVE-2026-57823、CVE-2026-57824)が修正されています。悪用の痕跡は確認されていませんが、該当する利用者には早急なアップデートが推奨されています。

Docker Engine 29.6.1リリース、OOMやビルドセキュリティの脆弱性を修正

Docker (Moby)重要度 722026/6/26

ワンポイント悪意イメージによるOOMとビルドの保護回避を修正したv29.6.1

Docker(Moby)がDocker Engine 29.6.1をリリースしました。悪意あるイメージによるメモリ枯渇攻撃と、BuildKitのSeccomp/AppArmor無効化を許してしまう脆弱性を修正しています。合わせてcontainerdとBuildKitのバージョンも更新されました。

Vercelのビルドログ、機密な環境変数の値を自動でマスキング

Vercel Blog重要度 652026/7/9

ワンポイント32文字以上の機密環境変数、ビルドログで自動的に[REDACTED]表示へ

Vercelは、Sensitive(機密)に設定した環境変数のうち32文字以上の値をビルドログ上で自動的に[REDACTED]表示に置き換える機能を追加しました。Activity Logには変数名やプロジェクト・デプロイ情報のみが記録され、値自体は一切残りません。デプロイのセキュリティに関わる一部のシステム環境変数も同様にマスキング対象となります。

pnpm 11.11リリース、パストラバーサル脆弱性の修正とpnpm accessコマンドを追加

pnpm重要度 722026/7/9

ワンポイントpnpmの複数パストラバーサル脆弱性を修正、更新推奨

パッケージマネージャーpnpmのバージョン11.11がリリースされました。新機能としてレジストリ上のパッケージ権限を管理する`pnpm access`コマンドが追加され、同時に複数のパストラバーサル脆弱性の修正やクレデンシャル漏洩対策など、セキュリティ関連のパッチが多数含まれています。加えて依存解決時のメモリ使用量を約30%削減する改善も行われました。

Docker Blogが解説、EU AI Act対応をエンジニアリング視点でどう進めるか

Docker Blog重要度 652026/6/27

ワンポイントEU AI Act対応、リスク階層と2027年までの期限がカギ

Docker Blogが、EU AI Act(EU AI法)への準拠に関する記事を公開しました。リスク階層ごとの対応要件や2027年までの主要な期限、そしてエンジニアリングチームがAIガバナンスを実務に落とし込む方法がテーマとして紹介されています。

uv 0.11.25リリース、tar処理のセキュリティ強化とロックファイル関連機能を拡充

uv重要度 652026/6/27

ワンポイントtarライブラリ更新で不正な配布物を拒否するように強化

Pythonパッケージマネージャーuvの0.11.25が公開されました。tar解析ライブラリの更新によるセキュリティ強化に加え、ツールレシートへのロックファイル追加やスコープ付き依存関係の上書き・除外サポートなど多数の改善が含まれます。プレビュー機能ではワークスペースやty連携の強化も進んでいます。

tech/ai news

PostgreSQL ODBCドライバ REL-18_00_0002公開、二重解放やバッファオーバーフローを修正

PostgreSQL News重要度 652026/7/8

ワンポイントスタックオーバーフローや二重解放など複数の安全性バグを修正

PostgreSQL用ODBCドライバ「psqlodbc」の新バージョンREL-18_00_0002がPostgreSQL Newsで発表されました。目玉はメモリ安全性の改善で、スタックバッファオーバーフローやSQLDisconnect時の二重解放、ログへの機密情報漏えいなどが修正されています。新機能追加ではなく堅牢性強化が中心のメンテナンスリリースです。

tech/ai news

OpenAI、政府・国家安全保障分野との連携方針を公表

OpenAI News重要度 652026/7/8

ワンポイントOpenAIが政府・安保パートナーシップの3原則を公表

OpenAIが、政府機関や国家安全保障関連組織との協業に関する基本方針を発表しました。責任あるAI利用、民主的な説明責任、そして公共の安全という3つの観点から、パートナーシップの姿勢を示す内容です。具体的な運用ルールの詳細は明らかにされていませんが、AIと国家権力の関わり方に対するOpenAIの立場を知る手がかりとなります。

NIST、新たな耐量子署名アルゴリズム9種を選定 CloudflareはML-DSA採用を推奨

Cloudflare (Bluesky)重要度 722026/7/9

ワンポイント新候補9種は有望だが、今はML-DSA一択とCloudflareが提言

米NISTが将来の標準化候補として新たに9つの耐量子署名アルゴリズムを選定したことを受け、Cloudflareが詳細な分析記事を公開しました。同社は各アルゴリズムの可能性を評価しつつも、現時点では既に標準化済みのML-DSAを使うべきだと主張しています。

tech/ai news

Cloudflareが提言、耐量子署名は「今あるML-DSA」で妥協するしかない

Hacker News (trusted domains)重要度 722026/7/9

ワンポイントCloudflare「完璧な耐量子署名を待たずML-DSAを今使うべき」

Cloudflareの公式ブログに掲載された記事「We cannot wait for better post-quantum signature algorithms」がHacker Newsで話題になりました。タイトルが示す通り、より優れた耐量子計算機暗号の署名アルゴリズムの登場を待つのではなく、現行の**ML-DSA**を実運用に採用すべきだという趣旨の主張とみられます。Hacker Newsでの反応は5ポイント・コメント0件と限定的でした。

GitHub、Innersource向けセキュリティアドバイザリが一般提供開始

GitHub Changelog重要度 722026/7/8

ワンポイント社内限定の脆弱性情報共有がGitHubで正式にGA

GitHubは、GitHub Advanced Securityのエンタープライズ顧客向けに「Innersourceセキュリティアドバイザリ」の一般提供(GA)を開始しました。オープンソース向けのセキュリティアドバイザリと同様の仕組みを、組織内部のリポジトリに限定して利用できるようになります。これにより、社外に公開できない内部ライブラリや共有コンポーネントの脆弱性情報も、組織内で体系的に管理・共有できるようになります。

Django 6.0.7・5.2.16がリリース、3件の低深刻度セキュリティ脆弱性を修正

Django Blog重要度 852026/7/7

ワンポイントDjango 6.0.7/5.2.16でCookie漏洩など低深刻度脆弱性3件を修正

Djangoチームがセキュリティリリース方針に基づき、Django 6.0.7と5.2.16を公開しました。キャッシュ経由でのCookie漏洩、GDALRasterのヒープバッファ過読み、DomainNameValidatorの改行受理によるヘッダインジェクションの3件を修正しています。いずれも深刻度は「低」ですが、全ユーザーに早急なアップグレードが推奨されています。

npm v12がGAに、インストール時セキュリティ既定化とGATのbypass2fa廃止が始動

GitHub Changelog重要度 752026/7/8

ワンポイントnpm v12でインストール時セキュリティが既定有効化

GitHub Changelogの発表によると、npmのメジャーバージョンである**npm v12**が正式リリースされ「latest」タグに指定されました。6月に発表されていたインストール時セキュリティの既定機能が有効化され、同時にGranular Access Token(GAT)のbypass2fa機能の廃止プロセスも始まっています。

Anthropic、AIモデルに「危険知識のスイッチ」を組み込む新手法GRAMを発表

Hacker News (trusted domains)重要度 752026/7/9

ワンポイント1回の訓練で危険知識を着脱可能にする新手法GRAM

AnthropicはAE Studioとの共同研究で、ウイルス学やサイバーセキュリティなど悪用可能な知識だけをモデルの特定モジュールに閉じ込め、後から着脱できる手法「GRAM」を発表しました。従来のデータフィルタリングでは用途ごとに複数モデルを訓練する必要がありましたが、GRAMなら1回の訓練で複数の構成を作り分けられます。まだ実験段階の研究であり、Claudeの本番モデルには未適用です。

npm v12がGA、インストール時のスクリプト実行やGit/リモートURL依存の解決がデフォルトで無効化

Hacker News (trusted domains)重要度 852026/7/9

ワンポイントnpm v12でinstallスクリプトの自動実行がデフォルトOFFに

GitHub Changelogによると、npmのメジャーバージョンである**npm v12**が正式リリースされ、latestタグに設定されました。従来自動実行されていたライフサイクルスクリプトやGit・リモートURL依存の解決がデフォルトでオプトイン方式に変更され、あわせて2FAをバイパスできるgranular access token(GAT)の権限も段階的に廃止されていきます。

Dockerが提起する「AIエージェントには隔離が必要」という論点、SBXとSandbox Kitsを解説

Docker Blog重要度 652026/7/1

ワンポイントAIエージェントの安全な実行にはDocker SBXによる「隔離」が鍵

Docker BlogにDocker CaptainのKaran Verma氏が寄稿し、AIエージェントの実行環境に隔離(isolation)が必要な理由を解説しました。あわせて、より安全なAIワークフローを実現する仕組みとしてDocker SBXと、それを支援するSandbox Kitsが紹介されています。

Prometheus 3.13.0がリリース、LTS版でXSS脆弱性とリダイレクト時の認証情報漏洩を修正

Prometheus重要度 852026/7/1

ワンポイントPrometheus 3.13.0でリダイレクト時の認証情報漏洩を修正

Prometheusの長期サポート(LTS)版となるv3.13.0が公開されました。UIのXSS脆弱性(CVE-2026-44990)修正に加え、異なるホストへのリダイレクト時に認証情報を送信してしまう脆弱性(CVE-2025-4673、CVE-2023-45289)への対策が行われています。あわせてPromQLの新関数や検索API、TSDBの性能改善なども含まれています。

GitHubのOSPOに聞く、新しいライセンスコンプライアンス製品による依存関係管理の実践

GitHub Blog重要度 652026/6/30

ワンポイントGitHubのOSPOが自社製品でOSS依存関係のライセンス管理を実践

GitHub Blogが、社内のOpen Source Program Office(OSPO)がGitHubの新しいライセンスコンプライアンス製品をどのように活用しているかを紹介しています。オープンソース依存関係のライセンス管理を大規模に行う際の実例として位置づけられています。