Takumi Guard がテスト通知の送信機能に対応
Takumi Guard の設定ページから、Webhook エンドポイントやメールアドレスに テスト通知 を送信できるようになりました。実際に悪性パッケージのアドバイザリが公開されるのを待たずに、通知の配信経路が正しく動作しているかを確認できます。
Takumi Guard の設定ページから、Webhook エンドポイントやメールアドレスに テスト通知 を送信できるようになりました。実際に悪性パッケージのアドバイザリが公開されるのを待たずに、通知の配信経路が正しく動作しているかを確認できます。
Takumi Guard が npm・PyPI・RubyGems に加えて Go モジュール に対応しました。
Go プロジェクトで go get・go mod download・go build を Takumi Guard 経由でルーティングすることで、CI や開発環境に届く前に悪性モジュールをブロックできるようになりました。

組織内の開発者が、自社の IdP でサインインしたうえで自身の Takumi Guard 組織ユーザートークン(tg_org_)を払い出せるオープンソースの参考実装ポータルを、flatt-security/takumi-guard-portal-example として公開しました。Bot のクレデンシャル自体を各開発者の端末に配布する必要のない構成です。
Takumi Guard の 組織ユーザートークン(tg_org_)を、Takumi API 経由で発行・一覧・取り消し・有効性確認できるようになりました。CI/CD パイプラインやオンボーディングスクリプト、MDM ツールといった自動化フローから、コンソールを経由せずトークンをプログラマブルに管理できます。
Takumi Guard のセットアップスクリプト v0.5.0 で、配信フローを管理者側で組み立てるための 5 つのプリミティブサブコマンドが追加されました。あわせて、これらを用いた「端末あたり 1 トークン」の配信スクリプト例も新たに公開しています。v0.4.x までの呼び出し方法は引き続きそのまま動作するため、既存の配信構成はそのままアップグレードできます。
GitHub Actions と Takumi Guard / Shisho Cloud の間の OIDC フェデレーションが、GitHub との接続が不安定な場合も、頑強に動作するようになりました。
Takumi ブラックボックス診断におけるクロール機能のカバレッジが改善され、設定したクレジット上限の範囲内でより多くのページを探索するようになりました。
Takumi Guard が npm・PyPI に加えて RubyGems に対応しました。
Bundler を使用する Ruby プロジェクトで、Takumi Guard 経由でインストールをルーティングすることで、CI や開発環境に届く前に悪性パッケージをブロックできるようになりました。

脆弱性検証機能が、Takumi の診断結果以外の脆弱性にも対応しました。 バグバウンティや第三者によるレポートなど、さまざまな脆弱性報告の再現検証を Takumi で実行できます。
Takumi Guard が組織単位の感染可能性の通知に対応しました。組織ユーザートークンやGitHub Actions OIDC 認証を用いるクライアントがダウンロードしたパッケージが、後に悪性と判明した際の通知を、組織で選んだ Webhook エンドポイントまたはメールアドレスに届けられます。