コメントを投稿するにはログインが必要です
ログインページへ
八百万のOSS「ソースを公開する方がリスクが高い」——そんな時代が本当に来てしまったのかもしれません。
攻撃者がAIでOSSをスキャンして自動で弱点を突いてくる今、守る我々もAIで立ち向かうしかない。xz事件からHonoのAI Slop問題、TanStackのサプライチェーン攻撃、Takumi Guardのような新しい防御サービスまで、catatsuy が実体験を交えて語ります。
なぜ今、狙われているのが「開発者本人」なのか。OSSに関わるすべてのエンジニアに聞いてほしい一本です。
## xz
* Everything I Know About the XZ Backdoor - https://boehs.org/node/everything-i-know-about-the-xz-backdoor
* CVE-2024-3094 / Ubuntu security page - https://ubuntu.com/security/CVE-2024-3094
## Hono - OSSにおけるAI Slop問題の何が問題なのか?
* https://zenn.dev/yusukebe/articles/3fd5bc6ea341c9
## TanStackのnpmサプライチェーン攻撃とGitHub Actionsの危険な権限設計
* TanStack npm supply-chain compromise - https://tanstack.com/blog/npm-supply-chain-compromise-postmortem
* npm staged publishing - https://docs.npmjs.com/staged-publishing/
* pull_request_target の背景・リスクに関するGitHub Community discussion - https://github.com/orgs/community/discussions/179107
## axios ソフトウェアサプライチェーン攻撃の概要と対応指針
* https://blog.flatt.tech/entry/axios_compromise
## tj-actions/changed-files CVE-2025-30066
## Takumi Guard