さむけい

Pythonパッケージマネージャー「uv」に、依存関係の脆弱性とマルウェアを検査する新機能が追加された。新たに導入された「uv audit」は既知の脆弱性や非推奨状態のパッケージを検出でき、さらにインストール時のマルウェアチェック機能も提供される。 開発元は6月8日、プレビュー機能として「uv audit」を発表した。これは依存関係をスキャンし、既知の脆弱性やプロジェクトの廃止・非推奨状態などを検出する機能で、既存のpip-auditと同様の用途を持つ。uvのロックファイルや設定情報を活用することで、典型的なプロジェクトではpip-auditより4～10倍高速に動作するとしている。 また、「uv add」や「uv sync」実行時にOSVデータベースを参照し、既知のマルウェアパッケージが依存関係に含まれていないか確認する機能も追加された。マルウェアが検出された場合、同期処理は中断される。 この機能は環境変数「UV_MALWARE_CHECK=1」を設定した場合のみ有効になる。現時点では公開されたアドバイザリ情報に基づいて判定を行う。 開発チームは今後、脆弱性を考慮した依存関係解決、OSV以外の脆弱性データソース対応、requirements.txtやpylock.toml対応などを検討しているとしている。 https://t.co/YChYy5bV1l

デンマークのDevOpsDaysが中止になっていた •デンマークDevOpsDaysが2026年4月28〜29日開催予定だったカンファレンスを中止。登壇希望者とスポンサーは過去最多だったのに、参加申し込みは早期割引ゼロ、プログラム公開後もわずか7名という異常事態。 •過去参加者555名へのアンケート結果:DevOpsは死んでいないが、Platform Engineering、IaC、ツール指向のOpsに変質した。この領域はすでにCloud Native Foundationがカバーしている。 •初期DevOpsを特徴づけていた「社会技術システム」への注目には明確な居場所がなくなり、DORA、DevX、エージェント型AIに断片的に分散している。 •参加者の本音は「マネージャーを2日間休ませてDevOpsカンファレンスに行かせる説得ができない」。 •印象的なコメント:「DevOpsカンファレンスはPlatform Engineeringの人たちの集まり。SAFeをAgileと呼ぶようなもの」「世界が燃えていて、みんな自分の職を守るので精一杯」「DevOpsは知ってて当然の前提知識。今面白いのは『人』の側、特にLLM時代の」。 •今後の方向性:協会の名称変更・リブランディングを検討中。DevOpsDays憲章からの離脱の可能性も。新コンセプトは「People in Tech」。 •イベント形式の転換:年1回の2日間カンファレンス → より小規模・高頻度のOpen Space、Lean Coffee、ワークショップ中心へ。デジタルコンテンツ(動画、音声、ブログ)にも注力。 •運営方針:非営利継続、コンテンツ完全無料、参加者も基本無料(ケータリング費程度)、オーフスとコペンハーゲン両拠点維持、スポンサー受け入れも継続。 https://t.co/YUpZGshk2B

🚨 TL;DR: Attackers are sending fake Sentry bug alerts to projects using public Sentry DSNs. The fake alert is designed to trick AI agents into running a malicious `npx` command that looks like a Sentry profiling diagnostic. Do NOT run commands from Sentry issues/logs/alerts unless verified. These are not legitimate Sentry fix commands. The malicious package reportedly steals environment variables/secrets and sends them to advisory-tracker[.]com.