vonxai blog

オープンソース開発で重要性を増す「SECURITY.md」。Pythonライブラリ679件の調査データを基に、セキュリティポリシーの実態、推奨される脆弱性報告プロセス、そしてセキュリティスコアへの具体的な影響を解説します。

そのVS Code拡張機能は安全ですか？最新の研究論文によると、主要な拡張機能の26.5%が高リスクと判定されました。過剰な権限要求やデータ流出など、実際の調査データに基づく具体的な脅威とセキュリティ実態を解説します。開発者必見。

ハワイ大学の最新研究に基づき、npm開発者75名のセキュリティ実態を解説。サプライチェーン攻撃への懸念や、既存ツールへの不満、誤検知による「アラート疲れ」など、現場の本音と課題を浮き彫りにします。開発者が真に求めている改善策とは？

Hugging FaceとGitHubの議論データを分析した結果判明した、急増するAI固有の「pickle問題」やモデル・データ領域での対策不足を解説。現場で起きているリアルな課題と解決策の実態に迫ります。

アドオン5,300件の調査で判明した深刻な脆弱性とは。274件でソースコード、96件で秘密鍵が漏洩する実態が明らかに。DevOps環境の死角を突く攻撃手法と、開発者が実施すべき具体的なセキュリティ対策を解説します。

「npmは依存関係が深い」は誤解？最新の研究でMavenの依存関係増幅率がnpmの5倍以上であることが判明。Java、JS、Rust、Pythonなど主要10エコシステムの依存関係ツリーを徹底比較し、言語ごとのセキュリティリスクと対策を解説します。

GitHub上のAIエージェントによるセキュリティPR3万件を分析。脆弱性修正の実態や、人間による厳しいレビュー傾向（信用ギャップ）を解説します。AI作成コードが却下される最大の要因は「複雑さ」でした。AIと協働するための重要ポイントとは？

OWASP Top 10:2025徹底解説。最新ランキングの順位変動、新設カテゴリ、AIコーディング（Vibe Coding）のリスクと対策を網羅。設定ミスやサプライチェーン攻撃への対応など、Webエンジニアが今知るべきセキュリティトレンドをまとめました。

北京大学とTencentの共同研究による、GitHub上位1,000リポジトリの大規模調査結果を解説。AI生成コードの普及実態、言語別の採用傾向、そしてAI特有のセキュリティリスクや脆弱性の特徴について詳報します。

2025年の最新調査に基づき、npm・PyPI・Docker Hubを狙ったOSSサプライチェーン攻撃の手口と脆弱性を解説します。26億DLに影響した事例や、SBOM活用などの具体的な防御策について詳しく紹介します。

AIエージェントのセキュリティはなぜモデル単体では守れないのか？Googleらの最新論文に基づき、Microsoft Copilot等で起きた11の攻撃事例を分析。確率的なAIを堅牢なシステムで防御するための具体的指針を解説します。

脆弱性データがないOSSのリスク、どう評価していますか？最新論文が明かす「依存関係の更新速度」と「安全性」の意外な相関関係。見えないサプライチェーンリスクを見抜き、将来の負債を防ぐための実践的なチェックポイントを紹介します。