GitHub の OAuth 実装の仕様違反とセキュリティ上の考慮事項 – Qiita

本稿は GitHub Docs の "Authorizing OAuth Apps" ページに書かれている情報に基づいています。英語版はこちら → "Spec Violations in GitHub OAuth Implementation and Security Considerations" 仕様違反箇所 認可リクエストの response_type リクエストパラメーターがない。当パラメーターは必須である。RFC 6749 (Th…

Docker創始者らが開発、ビルド/テスト/デプロイの自動化をポータブルにするツール「Dagger」登場。そのままローカルでもGitHubでもCircleCIでも実行可能に

Docker創始者らが開発、ビルド/テスト/デプロイの自動化をポータブルにするツール「Dagger」登場。そのままローカルでもGitHubでもCircleCIでも実行可能に Dockerの創始者であるSolomon Hykes氏らが中心となって開発しているオープンソースのCI/CD環境構築ツール「Dagger」が公開されました。 Windows、Mac、Linuxで試…

共同開発を始めるときに便利な 5 つの GitHub Actions

はじめに スタートアップ等において新しいプロダクトを始める時は、負債が無い代わりに何もありません。 そういった時に、ソフトウェアの品質を担保するための CI のセットアップが、初期から重要になってきます。 GitHub を使用している場合は、GitHub Actions を使用されることが殆どだと思うので、そちらを前提に進め…

GitHubのTrackedIssueの関係を可視化するツールを作った

こんにちはnasaちゃんです。 今日は最近GitHubのTracked Issueの関係を可視化するツールを作ったので紹介をしようと思います。このツールは今の所技術的に面白いことはしていないので技術話は省略します。 何が出来るか 次の3つが主な機能です。 TrackedIssueの関係図がissue上にコメントされます open, closeやサブイ…

HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)

2022-04-16にアナウンスが有ったHerokuのOAuthトークン流出インシデントを受けてやっておくといいことを、Organization管理者向けと個人向けに分けてまとめました。 注意 執筆者はGitHubやHerokuの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最…

HerokuのOAuthユーザートークン流出で、やっておくといいことリスト(コメント大歓迎)

日本時間の2022年4月16日にアナウンスがあった、Heroku/Travis-CIのOAuthユーザートークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナーとメンバー向けに分けてあります。 追記: ソニックガーデン社のJunichi Itoさんから補足のコメントを頂き、記事に…

HerokuのOAuthユーザートークン流出で、やっておくといいことリスト(コメント大歓迎)

日本時間の2022年4月16日にアナウンスがあった、Heroku/Travis-CIのOAuthユーザートークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナーとメンバー向けに分けてあります。 追記: ソニックガーデン社のJunichi Itoさんから補足のコメントを頂き、記事に…