github informationleakage GitHub が全ての公開リポジトリへのシークレットスキャン*1をデフォルトで有効化するようなのでメモ。
これによりコミットにシークレットが含まれているとリポジトリへの push に失敗するようになり、シークレットを削除するか、ブロックを解除して push するかが選択できるようになります。現在でも自分で有効化はできるようなので、デフォルトの有効化を待たずに自分で設定することもできます。これらの措置は公開リポジトリのみで、プライベートなリポジトリに同様な設定をしたい場合には GitHub Enterprise を導入する必要があるようです。
Keeping secrets out of public repositories - The GitHub Blog
This week, we began the rollout of push protection for all users. This means that when a supported secret is detected in any push to a public repository, you will have the option to remove the secret from your commits or, if you deem the secret safe, bypass the block.
2fa github GitHub が 2023 年末までにコードに貢献するユーザーに 2 要素認証(2FA)を強制することを公表していました。
ちなみに現在の 2FA の設定率は GitHub のアクティブユーザーの16.5%、npm の場合は6.64% と思っていたよりもかなり低いです。
ソースコードリポジトリへの侵害は近年の DevOps や CI/CD 環境の普及によって、開発者や開発元の企業に対して影響を及ぼすだけに留まらず、ダイレクトにユーザーへ影響することも増えてきました。このあたりの時代の変化には敏感になっておきたいところです。
Software security starts with the developer: Securing developer accounts with 2FA | The GitHub Blog
Today, as part of a platform-wide effort to secure the software ecosystem through improving account security, we’re announcing that GitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023.
ちなみに僕は全てのアカウントで 2FA の設定を済ませてあります。
github uml markdown diagrameditor 
GitHub の Markdown が Mermaid 形式をサポートするようなのでメモ。
Mermaid は以前、取り上げたPlantUML と同様にフローチャートや UML の画像を生成して埋め込むための DSL です。これでイチイチ画像を生成して Markdown に貼り込む必要がなくなるのでメンテナンスも楽になりますね。
Include diagrams in your Markdown files with Mermaid | The GitHub Blog
Mermaid is a JavaScript based diagramming and charting tool that takes Markdown-inspired text definitions and creates diagrams dynamically in the browser.
Markdown のリポジトリと Live エディタは以下にあります。
meti github 研究開発型スタートアップと事業会社間のモデル契約書の改訂に向けて、GitHubによる2回目の意見募集を実施します。今回は、GitHub上のIssues機能を用いて、より多くのスタートアップの契約に携わる方々と議論した上で取りまとめたいと考えています。ぜひご参加下さい。https://t.co/KwoBut9UVYhttps://t.co/IsFQhMR6ul
— 経済産業省 (@meti_NIPPON)September 8, 2021
経産省がモデル契約書の改訂にむけてGitHub で意見募集していたのでメモ。
PullReq だと集まりが悪かったようで、Issue の受付もされるようになっているようです。
以前、NIST が SP800-63 を改訂するときに GitHub で意見募集していましたが、やっと経産省も追いついてきたという感じでしょうか。
github ai programming FSF がGitHub Copilot に対するホワイトペーパー募集を出していたのでメモ。
Copilot はコードの自動補完を行うサービスですが、その学習データに GitHub に公開されているコードがライセンスを区別せずに用いられているという問題があり、これを著作権的な問題があるとして FSF が追及したいという趣旨のようです。ソフトウェア工学系の AI は単なるコピペの増進という感じになっているので、そのあたりはちょっと気に入らないところではあります。
FSFが「GitHub Copilot」に疑問視、ホワイトペーパーを募集 | OSDN Magazine
Copilot、著作権、機械学習、フリーソフトウェアを扱うホワイトペーパーを募集し、問題についての啓蒙を促すものを公開し認知を広げる。具体的な関心領域としては、「著作権を侵害した公開リポジトリ上でトレーニングしているのか? フェアユースか?」「Copilotのアウトプットが、GPLでライセンスされている作品を侵害していることを主張する可能性はどのぐらいあるか?」「Copilotが生成する侵害に対して、開発者はどのようにして自分が著作権を持つ任意のコードを保護できるのか?」などを挙げている。
github microsoft ai programming GitHub がCopilot と呼ばれる AI による自動プログラミングツールを公開していたのでメモ。
見た感じは自動プログラミングというより、ちょっと賢くなったコード補完という感じでしょうか。
ちょっと気になるのはトレーニングデータで、GitHub から無造作にデータを使っているとなると、ライセンス的な問題とか大丈夫なんでしょうか。
GitHubのAIプログラミングツール「Copilot」、プレビュー版が提供開始 - ZDNet Japan
OpenAI Codexは、GitHubのパブリックレポジトリーにあるコードなど、公開されている多数のソースコードのほか、自然言語でもトレーニングされた。そのため、プログラミング言語と人間の言語の両方を理解できる。Copilotのエディター拡張は、Copilotサービスにコメントとコードを送信する。同サービスは、OpenAI Codexを利用して同期してから、コードの各行と関数全体を提案すると、MicrosoftはFAQで説明している。
java github OpenJDK のソースを確認したい場合にはGitHub の OpenJDK のリポジトリを確認すれば良いと安直に考えていたのですが、覗いてみると Java 11 関連だけでもjdk11,jdk11u,jdk11u-dev と 3 つもあって困ってしまいました。
jdk11 は最終更新が 2018/8 なので Java 11 リリース当初のままのようです。jdk11u-dev には日々、アップデートが入っているようなのでこれは開発用ですね。というわけで、残ったjdk11u が最新のリリースが格納されているリポジトリのようなので、一般に使われている Java のコードを確認するためにはこれを見るのが良さそうです。
今回は ArrayList と LinkedList が見たかったので、以下の2つでした。
こういうクラスって最近はあまり更新されていないと思っていたのですが、ちょいちょいアップデートはされているんですね。
git github gist に間違えて push してしまった場合に、履歴ごと消し去る場合のやり方をメモ。
強制的に履歴を書き換えるために-f オプションを使う必要があります。
場合によっては履歴が吹っ飛んで修復不能になってしまうので、コマンドが何をやろうとしているのかよく分かっていない場合には実行しない方が良いです。
informationleakage github CSAJ が GitHub の正しい理解のための文章を公表していたのでメモ。
これはGitHub で SMBC などのソースコードが漏洩した件を受けた発表されたものです。この事件は結構大きな話になってしまっていて、あちこちでよく分かっていない人から「GitHub が危ない」というような声が聞かれるようになってきたので、これは良くない流れだなと思っていましたが、ちゃんとこういう声明を出してくれるところがあって良かったです。
ここに書かれているとおり、クラウドサービスはセキュリティモデルがこれまでの IT 系のサービスとは異なっているところが多く、しかも公開設定等は間違っていても気づきづらいという特性があるので、あらかじめきちんと理解した上で利用することが重要です。
GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会
クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要請するものであります。
github humanerror ソースコードによる年収診断を試そうとして、 GitHub に開発した顧客のソースコードを IT エンジニアが無断で公開した話については Twitter の深夜の TL でちょっとした話題になっていましたが、公開されていたコードはかなり広範に及ぶようで、大きくニュースで取り上げられる事態になってきました。
これについては GitHub が悪いということもないですし、経験がない若い人がうっかりミスをしてしまったわけでもないみたいなので、IT 業界の残念な部分が露わになった感じかなと思います。
三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】 - ITmedia NEWS
三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。委託先の企業に勤務するSE(システムエンジニア)から流出したとみられるものの、顧客情報の流出はなく、セキュリティに影響はないとしている。
Academic[574]
Book[155]
Diary[522]
Disaster[101]
Foodlogue[1425]
Game[284]
Goods[805]
Healthcare[341]
Hobby[32] IT[1195]
Military[343]
misc.[1570]
Mobile[510]
Music[38]
Neta[106]
News[95]
Photo[391]
RealEstate[120] Security[1178]
SEO Contest[36]
Software[634] Tips[1886]
Travelogue[1238]
Web[675]
Work[193]
