koki@五月病

書きました！！！！！！！！ 初心者向けプログラミング学習サービス「Codize」を公開しました｜koki zenn.dev/kou_pg_0131/ar… #zenn

嘘か本当かパッと見分けがつかない類の技術関連のエイプリルフールネタ、ほんと嫌い マジで嫌い

Go 入門コースを公開しました codize.dev/courses/go-bas…

npm の min-release-age の単位 : days pnpm の minimumReleaseAge の単位 : minutes bun の install.minimumReleaseAge の単位 : seconds なんでなん？？？？？？？？という気持ちになった

書きました セキュリティ重視の GitHub Actions 静的解析ツール「ghasec」の紹介｜koki zenn.dev/kou_pg_0131/ar… #zenn

毎日 Claude Code に技術ニュースを収集・要約させるやつ作った koki-develop.github.io/techclip/

完成した途端に虚無な気持ちになったので即アーカイブした github.com/koki-develop/3…

X のポストを 3 行目までしか読めなくする Chrome 拡張つくってた

怖すぎるな これもう収拾つかんやろ

1 行目のテキスト 2 行目のテキスト 3 行目のテキスト 4 行目のテキスト あいうえおかきくけこさしすせそたちつてと foo bar baz hoge fuga AAABBBCCCDDDEEEFFFGGGHHHIIIJJJKKKLLLMMMNNNOOOPPPQQQRRRSSSTTTUUUVVVWWWXXXYYYZZZ0123456789

GitHub Actions の静的解析ツール、ある程度できたので紹介記事を書き始める github.com/koki-develop/g…

これは激アツすぎる！！！！！！！！！！！！！！！！！！！！！！！！！！ translate.preferredai.jp/news/20260324-…

ポエム GitHub Actions「今どき静的検査ツール使うのなんて常識ですよね！！！！」｜koki_develop sizu.me/koki_develop/p…

npm はいつになったらデフォルトで postinstall 無効にするんだ？？？？

マジで pull_request_target 経由の漏洩や npm postinstall 経由の侵害、見飽きすぎてる いつまでやってんだほんと

npmエコシステムで正規パッケージが次々と乗っ取られる新型攻撃「CanisterWorm」が確認された。開発者が依存関係をインストールするだけで感染し、認証トークンを奪って別のパッケージへと連鎖的に拡散する“ワーム型サプライチェーン攻撃”が現実化している。 JFrogによると攻撃グループ「TeamPCP」はnpmの公開トークンやCI/CD認証情報を窃取し、@emilgroupなど既存の信頼済みパッケージを改ざん。不正コードはpostinstallフックとして仕込まれ、npm install時に自動実行される。感染後はPython製バックドアを展開し、Linuxではpgmonというsystemdユーザーサービスを作成して永続化する。さらに.npmrcや環境変数から認証トークンを収集し、npm APIを通じて公開権限のある全パッケージを列挙、悪性コードを注入して再公開することで爆発的に拡散する。C2にはICPのcanisterを利用し、外部から柔軟にペイロードを差し替える仕組みも備える。影響範囲は複数組織のSDKに広がっており、トークンのローテーションや不正バージョンの削除など緊急対応が求められる。 gbhackers.com/canisterworm-h…

書きました 【GitHub Actions】コミット SHA で固定したアクションのバージョンを更新する｜koki zenn.dev/kou_pg_0131/ar… #zenn

今回の Trivy の事例も参考リンク追加しておいた zenn.dev/kou_pg_0131/ar…

👀 stepsecurity.io/blog/trivy-com…

@raki ですです

@koki_develop zizmor みたいなの？ docs.zizmor.sh

こういうの作り始めた