InfoQ ホームページ Coding Standards に関するすべてのコンテンツ
-
ソフトウェアの生産性を犠牲にせずにセキュリティを確保する方法
セキュリティは開発効率と衝突することがある。侵害の影響を最小限に抑えることに焦点を当てる方が、予防よりも効果的である。Dorota Parad氏は、コンプライアンスの柔軟性とセキュリティチームとの協力によって実用的な保護策を定義することを主張している。影響範囲を制限し、自動化を利用することで、生産性の損失を最小限に抑えながらセキュリティを向上させることができる。
-
コーディングの規約とガイドラインで得られた学び
コーディングの規約とガイドラインに従うことでコードの一貫性が向上するが、運用を誤ると残念な結果につながることがある。 Arne Mertz氏は、規約やガイドラインの採用範囲をソフトウェア開発者で選択し、逸脱箇所を明確に文書化しておくことを提案している。こうすることで、開発者同士がコミュニティや日々の仕事の中でエクスペリアンスを議論でき、不必要で煩雑な書類作業に煩わされることなく、コラボレーションの促進やコード品質の向上を目指すことができる。
-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
Rust 2021 Editionリリース - Armin Ronacher氏に聞く
Rust 2021 EditionがRust 1.56.0と合わせて、予定通り10月21日にリリースされた。最新バージョンにはディスジョイント・キャプチャ(disjoint capture)のサポート、マクロ規則のorパターンなどが含まれている。SentryのエンジニアリングディレクタであるArmin Ronacher氏に、Rustの現在の状況について聞いた。
-
IBM Fully Homomorphic Encryption ToolkitがMacOSとiOSで利用可能に
IBMのFully Homomorphic Encryption (FHE) Toolkitの目的は、開発者がFHEを自らのソリューションに導入できるようにすることだ。暗号化されたデータを直接操作可能にするFHEには、高度に規制された産業におけるデータセキュリティとプライバシを劇的に変える影響力がある、とIBMは言う。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
SAPがJava SCAツールのソースを公開
SAPは,Java/Pythonアプリケーションにある既知の脆弱性を,ソフトウェア構成分析を通じて検出するツールをオープンソースとして公開した。
-
リーンコーディングでより良いコーディングを学ぶ
リーンコーディングは、実際のコーディング作業についての洞察を提供することを目的としており、開発者が10分レベルで物事が想定通りに進行していないことに気付き、直ちに支援を求めることを可能にする。開発者はリーンコーディングを使用することで、より良いコードを書けるような技術的スキルを向上させることができる。
-
Zeppelin - ブロックチェーンアプリケーションでセキュアなスマートコントラクトを実現するオープンソースフレームワーク
ZeppelinはMITライセンスでオープンソースされた,ブロックチェーンアプリケーショ��を開発するためのセキュアなスマートコントラクト開発フレームワークである。"The DAO"ハッキングのようなインシデントを削減すべく,試験と監査の実施されたセキュアなスマートコントラクトコードの開発を可能にすることを目標とした,コミュニティの努力の成果だ。ブロックチェーンを意識しないことを目標とするが,開発初期である現時点ではSolidityツールが中心である。
-
Coolblueの継続的デプロイメント
継続的デプロイメントは結果的に,より高い責任感とデプロイメントの品質向上をもたらす - CoolblueのテクニカルパスファインダであるPaul de Raaij氏は,このように主張する。コーディング標準はコードベースの混乱を防止し,自動化されたインスペクションは退屈で単純なチェック作業に効果がある。そして手作業によるチェックは,ロジックやコードの利用の妥当性のチェックに最適な方法だ。
-
マイクロサービス実装時の課題 - なぜプログラミングスタイルが問題なのか
Fred George氏がGOTO Amsterdam 2015で,“Challenges in Implementing MicroServices”および“The Secret Assumption of Agile”と題した講演を行った。InfoQは氏にインタビューして,マイクロサービスをできる限り小さくする方法,マイクロサービス実装時の問題と対処方法,プログラムスタイルが問題となる理由,開発者がコードスキルを向上させるためにできること,などについて聞いた。
-
コードの品質のためにアジャイルとウォーターフォールを組み合わせる
2014年のCAST Research on Application Software Health (CRASH)のレポートは、アジャイルとウォーターフォールを混ぜた手法で開発した企業向けソフトウエアはどちらか一方の手法だけで開発されたものよりも強靭で安全であると報告し��いる。InfoQはBill Curtis氏に今回の調査について、また構造的品質要因について、アジャイルとウォーターフォールを混ぜることについて話を聞いた。
-
DidFail: 情報リークを検出するフリーのAndroidツール
CERT Secure CodingチームがAndroidアプリからのセンシティブな情報のリークを分析できるフリーで使えるツールをリリースした。CERTの研究者は、このツールは「Androidアプリのための最も正確な汚染フロー静的解析ツール」だとうたっている。
-
Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手
OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは,同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週,その目覚ましい成果を公開している。