InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Googleが展開するパスキー、パスワードを過去の遺物にするか?
Googleはすべての主要プラットフォームでGoogleアカウントにおけるパスキーのサポートを開始した。パスワードや2段階認証などの既存の認証方法と並んで追加の認証オプションとして利用可能になる。
-
Node.js 20をリリース、セキュリティ向上のための実験的な権限モデルを搭載
Node.jsチームは先日、Node v20をリリースした。Node v20は、10月に長期サポート(LTS)ステージに入った後、完全な実運用に向けた準備が整う予定だ。主な機能には、セキュリティ向上のための実験的な権限モデルや、スタンドアロンで実行可能なNodeアプリケーションのビルドを含んでいる。
-
心理的安全性の測定から学ぶこと
リスクテイクについてどう感じるかを尋ねることで、心理的安全性のレベルを知ることができるし、問題を発見するのに役立つ。その答えを議論することで成熟したチームであれば安全性のレベルを強化できるし、成熟していないチームであれば改善策を理解してもらう機会になる。
-
サプライチェーンのセキュリティ対策の調査結果、有用性の認識と導入に相関があることが判明か
サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
-
GitLab Ultimateにゲストロール向けコード閲覧機能を追加
GitLabは、Ultimateプランにカスタマイズ可能なロールを追加し、現在のゲストロールを基にロールを定義できるようになった。今回の変更によりUltimateユーザーはゲストロールに1つの権限を追加できるようになり、ユーザーがコードを表示できる機能を付与されたロールは"ゲスト+1"と呼ばれる。
-
GitHub Copilotアップデート、新しいAIモデルの採用とセキュリティ向上を強化
GitHubは、GitHub Copilotは以前のモデルよりも高速で正確な新しいAIモデルを採用したと発表した。さらにGitHubでは、セキュアでないコーディング・パターンをリアルタイムにブロックしてCopilotの提案から脆弱性を検出するためにAIの運用を開始した。
-
低スキルのサイバー犯罪者がChatGPTでマルウェアを作成している可能性について
最近のレポートで、イスラエルのサイバーセキュリティ会社 Check Point Research(CPR)は、サイバー犯罪者がChatGPTを使用してダークウェブ上で悪意のあるプログラムを開発している、と警告した。CPRによると、ChatGPTを用いて未熟な攻撃者でも機能するマルウェアが作成可能になる。
-
GitHub Actionsによるパスワード不要なクラウドデプロイメント
GitHub Actionsは、長期間有効な認証やパスワードを使用せずに、Open Identity Connect認証情報を使用してHashicorp Vault、AWS、Azure、GCPなどのクラウドプロバイダーに認証することをサポートしている。
-
Google、Security Command Centerに新たな料金モデルを追加
Googleはこのほど、Security Command Center(SCC)に、従量制の料金モデルと、プロジェクトレベルでのデプロイメントとセルフサービスによるアクティベーションという2つの機能を追加し、いくつかの新しいアップデートを発表した。
-
AWS、2023年4月に予定されているAmazon S3のセキュリティ変更について発表
先日AWSは、Amazon Simple Storage Service(Amazon S3)に対して、リージョン内のすべてのバケットでS3 Block Public Accessを有効にし、アクセス制御リスト(ACLs)をデフォルトで無効にするという2つの変更を発表した。これらの変更は2023年4月に適用され、数週間以内にすべてのAWSリージョンで展開される予定だ���
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
Chromiumがサードパーティ製Rustライブラリの使用を許可し、安全性とセキュリティの向上を図る
ChromiumプロジェクトはビルドシステムにRustツールチェーンを追加し、Rustで書かれたサードパーティライブラリの統合を可能にすることで、セキュリティや安全性の向上、開発スピードの向上を目指している。
-
CloudNativeSecurityCon 2023にて ~ eBPFを活用した不審な動作の特定
ワシントン州シアトルで開催されたCloudNativeSecrityCon2023で、AWSのエンジニアであるJeremy Cowan氏とWasiq Muhammad氏が、eBPFによる疑わしい行動の特定やそのユースケース、そしてAWSがそれを使ってどのように脅威検出と保護をしているかを発表した。
-
Google、脆弱性スキャンツールをオープンソースで公開
Googleは最近、Open Source Vulnerability (OSV) データベースのオープンソースフロントエンドインターフェイスである「OSV-Scanner」を公開した。
-
Cockroach Labs 2022クラウドレポート:AMDがIntelの性能を上回る
Cockroach Labsは最近、一般的なOLTP処理に対するAWS、Microsoft Azure、Google Cloudのパフォーマンスを評価する年次クラウドレポートをリリースした。これまでとは異なり、今年のレポートでは総合的なベストプロバイダーを掲示していないが、AMDインスタンスはIntelインスタンスよりも優れていると結論付けている。ARMインスタンスはテストの対象外であった。