InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Cockroach Labs 2022クラウドレポート:AMDがIntelの性能を上回る
Cockroach Labsは最近、一般的なOLTP処理に対するAWS、Microsoft Azure、Google Cloudのパフォーマンスを評価する年次クラウドレポートをリリースした。これまでとは異なり、今年のレポートでは総合的なベストプロバイダーを掲示していないが、AMDインスタンスはIntelインスタンスよりも優れていると結論付けている。ARMインスタンスはテストの対象外であった。
-
OpenSSFがFuzz Introspectorをリリースして、C/C++ファズテストのカバレッジを改善
Open Source Security Foundation(OpenSSF)は、ファジングのカバレッジを改善するツールをリリースした。このツールは、開発者がアクションに移すことができる分析結果を提供し、カバレッジブロッカー(カバレッジを阻害するもの)の特定を支援する。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱性がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
AuguryはAppleシリコンに影響を及ぼす新たなマイクロアーキテクチャ攻撃
イリノイ大学アーバナシャンペーン校、ワシントン大学、テルアビブ大学の研究者が、Auguryと呼ばれる攻撃について説明した。これはA14ファミリーとM1ファミリーを含む、Appleの最近のプロセッサで保存されているデータを漏洩するものである。
-
HashiCorp Vaultでサーバーサイド整合性トークンにより結果整合性が向上
HashiCorpはVault 1.10をリリースした。シークレットとID管理プラットフォームに多くの新機能が追加されている。サーバサイド整合性トークンを使うと、パフォーマンススタンバイノードを使うときに結果整合性モデルをより細かく制御できる。新しいオープンソースのログイン多要素認証統合を使って認証を実行できるようになった。データベースプラグインの多重化サポートが追加され、Vaultエージェントのテレメトリが改善されている。
-
Amazon EC2がNitroTPMとUEFIセキュアブートをサポート
AWSは最近、UEFIセキュアブートとNitroTPMの一般向け提供を発表した。NitroTPMは、AWS Nitroシステムをベースとした、EC2インスタンス向けの仮想TPMモジュールである。この新機能は、ブートプロセスの検証、キーの保護、デジタル著作権管理のための設計となっている。
-
GitHub Enterprise Server 3.5ではセキュリティを改善し、GitHubアクションをアップデート
GitHubによると、GitHub Enterprise Serverの最新リリースでは、セキュリティとコンプライアンスに特に重点を置いた多くの新機能が提供されている。そこには、Dependabot統合、セキュリティ機能の向上、GitHubアクションの更新などが含まれている。
-
DockerがDocker ExtensionsとDocker Desktop for Linuxをリリース
DockerCon 2022で、Dockerは、開発者がDocker Desktopを利用し、新しいExtension SDKを使ってその機能を拡張する方法を発表した。さらに、Docker DesktopはついにLinuxでも利用できるようになった。macOSやWindowsで利用できるものと同じエクスペリエンスが提供される。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Metaがどのように匿名化された認証でプライバシーを配慮したクレデンシャルを使ったか
Metaは認証を使って、サービスのエンドポイントを不正使用から保護している。個人を特定できる情報を削除するためにアクセスデータを後処理することは、リソースを大量に消費するアプローチであることがわかった。��のようにMetaが匿名化された認証を活用して、サービスとユーザのプライバシーを同時に保護するかを説明する記事が最近公開された。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。
-
RDSとAurora PostgreSQLの脆弱性により、AWSが多くのマイナーバージョンを非推奨へ
セキュリティ会社Lightspinの研究者は最近、PostgreSQL拡張機能を使って、どのように内部AWSサービスへの認証を取得し、RDS上のローカルファイル読み取りの脆弱性を悪用できるかを説明した。AWSはこの問題を確認し、Amazon AuroraとRDS for PostgreSQLの数十のマイナーバージョンを非推奨にした。
-
VMwareの脆弱性を悪用した暗号マイナが横行
VMware Workspace ONE AccessとVMware Identity Managerに関係する重大な脆弱性により、悪意のある攻撃者が、サーバサイド・テンプレート・インジェクションを起動する任意のコードをリモート実行できるようになる。VMwareによると、この脆弱性は実際に悪用されている(actively exploied)ということだ。
-
AWS Firewall ManagerがPalo Alto NetworksのCloud Next Generation Firewallに対応
AWSは先頃、Firewall ManagerがPalo Alto NetworksのCloud Next Generation Filewalls(NGFW)をサポートすることを発表した。Palo Alto NetworksはAWSとの提携を通じて、AWSデプロイメントのセキュリティを簡単に確保できるように設計された"マネージド・ファイアウォールサービス"を提供する。
-
Dockerfile Linter Hadolintでは多くの修正、改善がされ、ARM64バイナリをサポート
長い期間待った後に、Hadolintの最近のリリースでは多くの修正、改善がされており、ARM64バイナリに対するサポートが追加された。