security

Sigstore・cosign で「改ざんされていない」を検証した仕組み

Sigstore・cosign で「改ざんされていない」を検証した仕組み

本記事は、 「Trivy サプライチェーン攻撃:FutureVuls 配布バイナリの安全性検証レポート」の解説編です。検証レポートで実行した cosign verify や Rekor 透明性ログ検索が内部で何をしているのか、その信頼の仕組みを支える Sigstore エコシステム(Cosign / Fulcio / Rekor)を体系的に解説します。 この記事で扱うこと 2026 年 2 月 27 日〜3 月 2 日にかけて、hackerbot-claw と名乗る AI 自律型ボットが GitHub...
hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

hackerbot-clawが狙った7リポジトリ — 攻撃直前の OpenSSF Scorecardを検証する

この記事の経緯 2026年2月24日、FutureVuls の定期リリースで trivy v0.69.1 のバイナリを GitHub Releases から取得しました。その4日後、trivy リポジトリが hackerbot-claw を名乗る自律型 AI エージェントによって侵害されました。バイナリの真正性検証を行い、改ざんがなかったことを確認してインシデント対応をクローズしています(検証レポート)。
VulnCon 2026にFuture Corporationとして登壇します

VulnCon 2026にFuture Corporationとして登壇します

こんにちは、FutureVulsチームの棚井です。
あなたの依存関係は本当に安全ですか? — OSSの見えないEOLリスクと「uzomuzo」

あなたの依存関係は本当に安全ですか? — OSSの見えないEOLリスクと「uzomuzo」

CVEゼロでも安心できない — SCAが見逃すOSSとの依存関係とEOLリスク 10年前の2016年、当時同じチームにいた後輩が「あなたのサーバは本当に安全ですか?」という記事を書いた。Vuls の紹介記事だ。
GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド

【注意事項】
Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

Trivy サプライチェーン攻撃(第2波・3/19発生):FutureVuls 影響調査レポート

※2026/03/25(水)「GitHub Actions・Docker Hub・npm・PyPIに波及:Trivyサプライチェーン攻撃の影響確認ガイド」 を追加で公開しています。
突然ですが君たちの脆弱性調査は間違っています

突然ですが君たちの脆弱性調査は間違っています

皆様こんにちは。ウィスキーとサウナと四谷たけださんの牡蠣バター焼きをこよなく愛するVulsの神戸です。普段こんな手順で脆弱性調査をしていませんか。
Prev
1
Next

カテゴリー