GitHub Actions

npmレジストリが「staged publishing」を実装：SLSA証明書が防げなかった理由と残る1つの限界

CI/CDの盲点を突く史上最悪のサプライチェーン攻撃。「Mini Shai-Hulud」がAI開発環境を破壊する手口

TeamPCPによる自己増殖型ワーム「Mini Shai-Hulud」の第4波が、正規のCI/CDパイプラインを乗っ取り、SLSA証明付きマルウェアを配信するという新たなサプライチェーン攻撃を実行した。この攻撃は、GitHub Actionsの`pull_request_target`悪用、キャッシュポイズニング、OIDCトークン窃取を連鎖させ、署名と出所証明の限界を露呈した。

Claude CodeがAPIキー不要に：開発者のセキュリティ負荷を下げる新認証を導入

Anthropicは、静的APIキーの漏洩リスクを解消するため、業界標準のWIF（Workload Identity Federation）をClaude APIに直接統合した。これにより、AWSやGitHub Actionsなどの既存のIdP認証情報を活用し、静的キーを保存せずにセキュアな認証が可能となり、金融・医療・官公庁といった業界でのClaude導入が現実的になった。

GitHubが直面する可用性危機：生成AIが引き起こした「30倍」のトラフィック予測とシステムの限界

GitHubは、AIエージェントによるトラフィックが30倍に急増し、システムの可用性が危機に瀕している状況だ。これを受け、同社は新機能開発よりも可用性と容量の確保を最優先とし、システムの抜本的な再構築とマルチクラウド戦略への転換を進めている。

AIが毎回判断する「動的cronジョブ」：Claude Codeルーティンの実力と限界

AnthropicはClaude Codeに「ルーティン」機能を追加し、LLMがコンテキストを読みながら自律的にタスクを実行する動的な自動化を実現した。これにより、従来の固定スクリプトによる自動化とは異なり、開発者は意図を記述するだけで多様なシナリオに対応可能となる。同日発表されたデスクトップアプリの刷新と合わせ、開発インフラ全体をAnthropicのクラウド上で動かすことで、ユーザーがオーケストレーターとして方針を決め、複数のエージェントが並行して実行する開発スタイルへの移行を促す戦略が示されている。