InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ハードウェア攻撃によりnRF52デバッガーが露呈
ハードウェアバイパスにより、攻撃者は、多くの消費者向けおよび医療機器で使用されているnRF52無線チップセットで完全なデバッグ機能を復元できる。フォールトインジェクションは、ソフトウェアではパッチを適用できないシリコンを攻撃する方法でデバッグを再度有効にする。
-
Alcideの新しいsKanコマンドラインツールがKubernetesデプロイメントファイルをスキャンする
KubernetesセキュリティプラットフォームのAlcideは、開発者、DevOps、KubernetesアプリケーションビルダがAlcide Security PlatformにアクセスできるようにするコマンドラインツールであるsKanのリリースを発表した。sKanを使用すると、開発者はCIパイプラインを含むアプリケーション開発ライフサイクルの一部としてKubernetes構成ファイルとデプロイファイルをスキャンできる。
-
Appleサインインの0-Day脆弱性に$100,000の報奨金
今年の初め、セキュリティ研究者のBhavuk Jain氏は、Appleサインインのゼロデイ脆弱性を明らかにした。これにより、攻撃者は電子メールアドレスを知っているだけで被害者のアカウントを簡単に制御できるようになる。Appleはこの脆弱性にパッチを当て、悪用の証拠は見つからないと述べた。
-
GitLabの年次DevOps調査で、新たなトレンドと変化する役割を示す
21か国から3500人を超える開発者によって完了したGitLabのDevOps調査は、開発とリリース、セキュリティ、テストの3つの主要な領域を網羅している。この調査は、リリースサイクルの高速化と品質の向上を示唆しており、最近のDevSecOps領域では、より組織的な微調整が必要だ。InfoQは、GitLabのシニア開発者エバンジェリストであるBrendan O'Leary氏と話す機会を得た。
-
AWSでは、機密コンピューティング用の分離されたEC2環境であるNitro Enclavesが利用可能に
AWSでは最近、Nitro Enclavesが利用できるようになった。これは、機密データを処理するための分離されたEC2環境である。軽量Linux OSがベースのNitro Enclaveは、強化され、保証されており、高度な制約がある仮想マシンである。
-
WebAssembly: デフォルトで安全なエコシステムの構築 - WebAssembly SummitでのLin Clark氏の講演
WebAssemblyとRustに焦点を当てたMozillaの主任研究エンジニアであるLin Clark氏は、WebAssembly Summitで、WebAssemblyが対処しなければならないセキュリティの課題について話し合った。Clark氏は、ナノプロセスの提案が、ポータブルでデフォルトで安全なWebAssemblyモジュールを提供するためにどのように努力しているかを説明した。
-
CloudflareがクラウドベースのNetwork-as-a-Serviceソリューションをリリース: Cloudflare One
アメリカのWebインフラストラクチャおよびWebサイトセキュリティ会社であるCloudflareは、先頃、Cloudflare Oneと呼ばれる企業の従業員向けのクラウドベースのサービスとしてのネットワークソリューションを導入した。このソリューションは、主要なID管理およびエンドポイントセキュリティプロバイダーと統合された、安全で高速、信頼性が高く、費用効果の高いネットワークサービスを提供する。
-
MicrosoftはAzure Confidential ComputingからDCsv2-VMの一般向け提供を発表
最近、MicrosoftはDCsv2シリーズ仮想マシン(VM)の一般向け提供を発表した。これらのVMを使用すると、顧客は使用中にデータを保護するアプリケーションを提供できる。
-
Git 2.29でSHA-256の実験的サポートを導入
最新バージョンのGitでは、ファイルハッシュにSHA-1ではなくSHA-256を実験的に使用できるため、攻撃者が元のリポジトリと区別できないHEADを使用して偽装リポジトリを偽造できるという長年の脆弱性が排除される。
-
CloudflareがAPI Shieldを導入
Cloudflareは先頃、API Shieldを導入した。これは、不正なアクションを実行したりデータを盗み出したりするように設計された攻撃からAPIトラフィックを保護する無料のセキュリティツールである。スキーマ検証は現在クローズドベータ版だが、強力なクライアント証明書ベースのIDはすでに一般的に利用可能である。
-
GitHubコードスキャンはベータ版終了
1年前、GitHubは、Semmle QLクエリ言語を備えたセマンティックコード分析エンジンのメーカーであるSemmleの買収を発表した。数か月のベータ版を経て、GitHubは現在、すべてのパブリックリポジトリとプライベートリポジトリで新しいCodeQLベースのコードスキャン機能が利用可能になったことを発表している。
-
BridgecrewがState of Open Source Terraform Security Reportを発表
クラウドセキュリティを体系化する開発者ファーストのプラットフォームであるBridgecrewは、最近、State of Open Source Terraform Securityレポートを公開した。同社は、オープンソースのInfrastructure-as-Code(IaC)静的分析ツールであるCheckovを利用した。重要な発見の1つは、AWSリソースのプロビジョニングに使用されるモジュールが誤って構成されている可能性が高いということである。
-
Production Identity FrameworkのSPIREがCNCFインキュベーターに
Cloud Native Computing Foundationは、インキュベーションレベルのプロジェクトとしてSPIFFEとSPIREを受け入れた。SPIFFEは、プラットフォームに依存しない暗号化IDを使用してソフトウェアサービスを認証するための標準を定義する。SPIREは、本番環境に対応したSPIFFE APIの実装である。
-
webhint、Web開発者にベストプラクティスを提供
新しいMicrosoft Edge開発者ツールのプロダクトマネージャRachel Simone Weil氏は先日、OpenJS worldで講演を行い、webhintがWeb開発者のベストプラクティス実装をいかにサポートするのか解説した。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。