GitLabで依存関係の脆弱性管理を自動化する流れ👇 1️⃣ Secureタブ → Security configuration で Dependency Scanning プロファイルを有効化 2️⃣ requirements.txt などのマニフェストからpreステージで依存グラフ生成 3️⃣ Dependency list(SBOM)で直接/トランジティブ依存と脆弱性を確認 パイプラインに組み込むだけでSBOMベースの可視化まで到達できます。 #GitLab #DevSecOps #SBOM #DependencyScanning #ScanMe youtu.be/r_QjbNUqJT0?si=0z-z…

AI agents are getting smarter, but are they getting more secure? A quick but important insight from my conversation with @AyeshaDissanayaka on the future of AI agent security. We explore why securing AI agents is becoming a critical conversation for organizations adopting AI at scale. #AI #AgenticAI #AIAgents #AISecurity #CyberSecurity #Authentication #CloudSecurity #DevSecOps #ArtificialIntelligence #TechPodcast

🛡️ Agile Cybersecurity: Why PMI-ACP Certification Is the Missing Piece in Your DevSecOps Arsenal Video undercodetesting.com/agile-c… Educational Purposes!

Google Cloud Apigee Bug #gcp #api #cloud #devops #platformengineering #devsecops #sre #googlecloud This is a clip from our recent Ship It Weekly Podcast episode. Visit link in bio to listen to the full episode!

O ganho de produtividade na esteira DevSecOps é enorme. Você bem colocou, é pastelaria gourmet mesmo mas sabendo e conhecendo os ingredientes e entregando com qualidade porque domina os patterns. Parabéns.

【AUR 400超パッケージがrootkit/infostealer配布に悪用】 Arch LinuxのAURで、400以上のパッケージがrootkitおよびinfostealer配布に悪用されたと報じられています。 攻撃ではatomic-lockfileという悪性npmパッケージが使われ、GitHub、SSH、Vault、Docker/Podman、VPN、Slack、Teams、ブラウザCookieなど、開発者環境の秘密情報が標的になっています。 これは単なる端末感染ではなく、リポジトリ、CI/CD、クラウド環境への二次侵入につながり得るサプライチェーン攻撃です。 AUR利用者は影響パッケージ、PKGBUILDのpost-install、atomic-lockfileの痕跡を確認し、感染が疑われる場合は認証情報ローテーションを優先してください。 #CyberSecurity #SupplyChain #Linux #ArchLinux #AUR #Infostealer #DevSecOps bleepingcomputer.com/news/se…

【Langflow CVE-2026-5027、AI開発基盤の未認証RCEリスク】 LangflowのCVE-2026-5027について、パストラバーサルによる任意ファイル書き込みと、RCEへの発展が報じられています。 特に危険なのは、デフォルトのauto-login構成により、認証が実質的な防壁にならない点です。 LangflowはLLM APIキー、DB資格情報、外部SaaS連携情報を持つことが多く、侵害されるとAIアプリ基盤だけでなくクラウドや開発環境へ被害が広がる可能性があります。 防御側は1.9.0以降への更新、auto-login無効化、`/api/v2/files` の監視、cronやauthorized_keysの不審変更確認を急ぐべきです。 #CyberSecurity #AIセキュリティ #Langflow #CVE #RCE #DevSecOps #SOC labs.cloudsecurityalliance.o…

新たな攻撃「Agentjacking」が公開。Sentryのエラーイベントに悪意ある指示を仕込み、AIコーディングエージェントにMCP経由で攻撃者のコマンドを実行させる。フィッシング不要、成功率は約85%。AWSキーやGitHubトークンが静かに窃取される。MCP応答を鵜呑みにしないことが重要。 #セキュリティ #DevSecOps #AIセキュリティ #プロンプトインジェクション thehackernews.com/2026/06/ag…

🧑🏻‍🦱AIキラのソフトウェアニュース 🔴AAPL：AIがテクノロジー最大の戦場になっているとの見方の中で、iPhoneを巡る話題と絡めてiOS 27の「サプライズ」がAIの語られ方を変える可能性があると報じられた。一方で、主要サプライヤーとされるTata Electronicsがインド当局から地下水汚染を指摘され、調査対象になっていると伝えられ、同国での供給網や生産体制に影響が及ぶ可能性が意識されている。 🟢SHOP：AI検索から加盟店ストアに流入する注文が前年比で13倍になったと6月1日に述べたとされ、AI駆動のコマースが新たな成長チャネルになり得るとの文脈で取り上げられた。加えて、商取引プラットフォームが規模拡大を続けつつ、フリーキャッシュフローの強さやバランスシートの健全性が語られ、GMVの伸びがオペレーティングレバレッジ余地を示すという見方も報道されている。 🟢GTLB：6月10日にGoogle Cloudとの協業を拡大し、最新のGeminiおよびGemmaモデルを用いたフルマネージドのDevSecOpsプラットフォーム提供に踏み込むと伝えられた。企業顧客がGoogle Cloud上でGitLabを運用しやすくする狙いが示され、AIの活用がエンタープライズのDevSecOps需要を一段と深めている、という流れで紹介されている。 🟡MNDY：AIを活用して中核のワークマネジメント基盤を深める動きが、業務フロー自動化の広がりと結び付けて報じられた。5月6日に「大きなプラットフォームシフト」を発表したとされ、既存のOSや業務基盤を置き換えずに日常業務の自動化を進めたい企業ニーズを背景に、成長の延伸余地が論じられている。 🟢CRWD：Falconプラットフォームが規模拡大を続ける中で、ARRの成長が引き合いに出され、サイバーセキュリティ予算の中でさらに展開余地があるとの見方が示された。高成長ソフトウェア企業の中でもキャッシュフロー面の特徴が語られ、同社が投資先候補として取り上げられたと報じられている。 🟢DDOG：クラウド監視、セキュリティ、AIオブザーバビリティの需要が広がっているとの文脈で、強い売上成長とキャッシュ創出につながっていると伝えられた。5月7日に第1四半期売上高が10.1億ドルで前年比32%増と報じられ、AI観測領域の取り組みが需要拡大を後押ししている、という整理で紹介されている。 🟢PLTR：政府・商業の両顧客でAIソフト需要が加速しているとされ、無借金のバランスシートが「財務的な火力」として言及された。5月4日に第1四半期売上高が16.3億ドルと報じられ、AI成長と財務余力を軸に同社のソフトウェアストーリーが取り上げられている。 🔴MSFT：ジム・クレイマーが取り上げた銘柄の一つとして報じられ、株価が過去1年で14.6%下落、年初来で15%下落していると伝えられた。あわせて6月7日にUBSが同社に言及したとされるものの、記事では「Microsoftは1000億ドルを必要としない」との見出しを中心に、評価や資金面の論点が話題になっている。 🔴ADBE：5月四半期で利益が予想を上回り通期見通しも引き上げた一方、今年の成長がやや鈍化すると説明したと報じられ、過去最高売上の報告にもかかわらず投資家が売りで反応したと伝えられた。あわせて大手投資銀行が目標株価を見直したとされ、AI戦略が逆風になったとの表現で取り上げられている。

Would you recommend Go or Rust for a Python asylum seeker in DevSecOps

リスクが最大なのは、自覚が最小の会社だ。 Gartnerは「2027年までに、エージェント型コーディングを使うチームの65%超がIDEを必須と考えなくなる」と予測する。 でも本当の変化は、開発ツールの話じゃない。 “コードを書く人” の範囲が広がることだ。 ① 開発会社の中で、AIを使う素人層が増える ② 業務部門が、本番に近いものを作り始める ③ 最も危ないのは——「うちは開発会社じゃない」と思っている会社 理由は単純。リスクが最大なのは、それを自覚していない場所だから。 AIがコードの参入障壁を壊した結果、AppSecが必要な市場は「ソフトウェア会社」から「ソフトウェアを生み出してしまうすべての会社」へ広がり始めている。 ▼ 全文 aikido-community.jp/articles… #AppSec #生成AI #シャドーAI #サプライチェーン攻撃 #DevSecOps

DevSecOpsになると、さらにSecurity（セキュリティ）も最初から参加。 ポイントは、役割を増やすことではなく、部署の壁をなくすこと。 だから、「DevOps導入」だけでは、何を変えたのか実は分からなかったりします。 #IT用語ワケわからんシリーズ #DevOps #DevSecOps #DX

#VMware @VMware 159 #CVEs, 88% unpatched. 10 CISA KEV exploited. Avg CVSS 7.14. Trust Score: D. Virtualization security can’t be ignored. #infosec #cybersecurity Stats from official sources available #DevSecops #DevOps #sysadmins #sysadmin #linux Full: valtersit.com/vendors/vmware…

For the last few months I've been building ZenVeil. The idea started with a simple observation: AI is helping developers write code faster than ever. But security tooling hasn't become easier. Most tools tell you what's wrong. Few help you understand it. Even fewer help you fix it. So I built ZenVeil. A developer-first security platform that helps you: • Scan repositories • Scan APIs • Understand findings • Generate fixes • Open pull requests Launching on Product Hunt June 16 🚀 @ProductHunt producthunt.com/products/zen… app.arcade.software/share/yG… #BuildInPublic #DevSecOps #ProductHunt #WomenInCyber #Python #AI

従来のDevSecOpsは通用しない？　AIの弱点を突く脅威への最適解「MLSecOps」 techtarget.itmedia.co.jp/tt/…

- $META employee hijacks AI livestream, calls executives profanity — forced AI division transfers affecting 6,500 workers exposed - Figma stock plunges near all-time low — $50 billion market cap wiped out post-IPO - Microsoft CEO warns against AI future dominated by few models — emphasizes need to maintain IP control - NVIDIA shares up 40% over past year, 7.4% year-to-date — Jim Cramer asserts NVDA is key to the market - Sandisk stock reaches new all-time high — leading Nasdaq 100 and S&P 500 gains this year - Tilray international revenue grows 73% — market largely ignoring the growth - GitLab (GTLB): Google Cloud Expansion Shows How AI Is Deepening Enterprise DevSecOps Demand goodmoat.com/markets/macro/2…

Slow queries dragging down performance? Learn to configure and analyze slow query logs to pinpoint bottlenecks. Tune your database with actionable insights. Full guide here: valtersit.com/vault/configur… #devops #devsecops #developers #sysadmin #database

20 packages. Current versions. The kind of stack thousands of teams are running right now. Next.js 14. React 18. Express. Django. Spring. axios. jsonwebtoken. OpenSSL 3.1.4. 146 known vulnerabilities found. Live from OSV NVD GHSA. SHA-384 Merkle commitment. RS256 signed. Bitcoin-anchored. Independently verifiable. The tool doesn't have an opinion. It just shows you what's there. Free trial — no account needed: #SupplyChainSecurity #SBOM #AppSec #DevSecOps #CycloneDX #NextJS #Django @nextjs @django @webpack @expressjs @SpringFramework @SocketSecurity @anchore #CycloneDX

Enterprises know #AI-generated #code is vulnerable; they're shipping it anyway > buff.ly/JdRrNiW #tech #AI #genAI #AgenticAI #digital #innovation #appsec #developers #devops #leadership #SDLC #devsecops #vibecoding #CISO #CIO #CTO #CDO #coding

Everyone in software supply chain security is talking about SBOMs. Nobody's talking about what happens when the SBOM lies. Miasma proved it. Valid signatures. Legitimate provenance. Code that didn't match the source. A signature proves who pushed. It cannot prove the binary is still what it was at shipment. We built the missing layer. SHA-384 Merkle commitment over your entire component list. RS256 signed. Timestamped. Independently verifiable by anyone, no account required. Zero data retention. Your SBOM is a claim. A CBOM receipt is evidence. Free to try. No account. 60 seconds. cbomcompliance.com #SupplyChainSecurity #SBOM #AppSec #DevSecOps #Miasma