InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
GitHub Actionsの一部アクションの侵害でCI/CDサプライチェーンのリスクが浮き彫りに
先日、参照・利用用途で人気のGitHub Actionsの一部のアクションが利用者リポジトリを侵害する事件があり、オープンソース GitHub Actionsの公開・使用に伴う重大な脆弱性が露呈する事態となった。
-
Google Goモジュールミラーが3年以上にわたってバックドアを提供していた
2025年2月、Goプログラミングエコシステム内で重大なサプライチェーン攻撃をSocketの研究者が発見した。github.com/boltdb-go/boltという悪意のあるパッケージが正規の広く使われているBoltDBモジュールになりすましていることが発見された。このバックドア化されたパッケージはGo Module Proxyのキャッシュ機構を悪用して何年もの間検知されずに存在し続け、モジュール管理システムの脆弱性を浮き彫りにした。
-
Meta社がうるう秒を処理するためにPrecision Time Protocolを使用する方法
多くのシステムは、調整、ログ記録、セキュリティ、分散オペレーションにおいて、正確で一貫性のある時間管理に依存している。金融取引、データベースのレプリケーション、スケジュールされたタスクなど、時間に敏感なプロセスでは、1秒のズレでさえ障害を引き起こす可能性がある。分散データベース、テレメトリーパイプライン、イベント駆動アーキテクチャのような厳密な同期が必要なシステムでは、うるう秒の取り扱いを誤ると、データの損失、重複、不整合につながる可能性がある。そのため、うるう秒を正確に管理することで、高精度の時刻に依存する環境全体のシステムの信頼性と一貫性を確保できる。
-
AWSはWell-Architected Generative AI Lensにおいて責任あるAIを推進
AWSは、生成AIワークロード設計と運用のベストプラクティス提供にフォーカスした、新しいWell-Architected Generative AI Lensの提供を発表した。このLensは、生成AIを使って堅牢かつコスト効率の高いソリューションを提供する責任を持つビジネスリーダー、データサイエンティスト、アーキテクト、エンジニアを対象としている。このドキュメントはクラウドに依存しないベストプラクティス、実装ガイダンス、その他のリソースへのリンクを提供している。
-
Cloudflare Security Week 2025 総括:量子暗号からAI Labyrinthまで
先日開催されたCloudflare Security Week 2025 において、クラウドプロバイダーはサイバーセキュリティサービスの様々な改善とセキュリティ脅威の傾向と課題を分析した複数のレポートを発表した。さらに不正なクローラーに対抗するハニーポットの新バージョン AI Labyrinthと、安全なAI技術の採用を支援することを目的としたツール群 Cloudflare for AIも発表した。
-
GitHubによるCodeQLのセキュリティ活用方法
GitHubのProduct Security Engineeringチームでは、GitHubの裏側を支えるコードのセキュリティ確保に向けて、CodeQLといったツール開発を通した大規模な脆弱性の検出・修正を行っている。 同チームからアプローチに関する洞察が共有されており、他の組織でもコードベース保護に向けたCodeQLの活用方法を知ることができる。
-
GitLabがECRイメージの移行とプル遅延を自動化した方法
GitLabは最近、Amazon Elastic Container Registry(ECR)からGitLabのContainer Registryへのコンテナイメージの移行を自動化するソリューションについて議論した。チームは、Amazon ECRからGitLabのContainer Registryへのコンテナイメージの発見、再タグ付け、転送のプロセスを自動化するCI/CDパイプラインを作成した。
-
Google CloudのAI Protection:AIアセットを保護するためのソリューション
Google Cloudは最近、生成AIに関連するリスクや脅威から保護する包括的なソリューション、AI Protectionを発表した。
-
Googleが機密フェデレーション分析でデータプライバシーを強化
Googleはプライバシーを保護しながらデータ処理の透明性を高めるために設計された技術、Confidential Federated Analytics(CFA)を発表した。フェデレーション分析を基盤に、CFAは機密コンピューティングを活用して生データがサーバーやエンジニアに公開されることなく、ユーザーデータに対して事前に定義された検査可能な計算のみが実行されるようにする。
-
GitLabがコードの変動性と重複報告に対処するための高度な脆弱性追跡を導入
GitLabは脆弱性管理における2つの重要な課題に対処する新機能を導入した:コードの変動性と重複報告である。コードの変動性がコードベースに頻繁に変更が加えられることで以前に解決された脆弱性が再検出されることを指すのに対し、重複報告は複数のセキュリティツールが同一の脆弱性を特定する場合に発生する。この新機能はこれらの問題に対処するために高度な追跡メカニズムを統合し、脆弱性検出と管理の精度と効率を向上させる。
-
Google Cloudが将来の脅威からデータセキュリティを守るため、量子安全デジタル署名をCloud KMSに導入
Googleは最近、Cloud Key Management Service(Cloud KMS)に量子耐性デジタル署名を導入し、国家標準技術研究所(NIST)のポスト量子暗号(PQC)基準に準拠した。このアップデートは現在プレビュー版として利用可能であり、将来の量子コンピュータが従来の暗号化手法を破る可能性に対する懸念に対応している。
-
ライセンス変更後にルールセットを自由化するため、OpengrepがSemgrepをフォーク
JITとOrca Securityを含むソフトウェア企業のコンソーシアムはOSSバージョンで提供されるルールに関するライセンス変更への対応として、SemgrepのオープンソースソフトウェアをフォークしたOpengrepをローンチした。
-
AWSがOrganizations用集中型ルートアクセス管理を導入
AWSがAWS Organizationsメンバー用新機能を導入し、管理者が複数のAWSアカウントにまたがるルートユーザーアクセスを一元管理および制限できるようになった。このアップデートにより組織にクラウド環境内の最も特権的なアクセスに対してより大きな制御力を持たせることで、セキュリティと��バナンスが強化される。
-
AWS、セキュリティとコンプライアンス情報の一元化リソース「AWS Trust Center」を導入
AWSは、同社がクラウド上の顧客資産保護に向けた取り組みを説明するオンラインリソース「AWS Trust Center」を導入した。
-
ほとんどの企業が毎週障害を経験:The State of Resilience 2025 Report
Cockroach Labsが発表したThe State of Resilience 2025 Reportによると、ほとんどの組織で障害は日常的に発生しており、55%の企業で毎週、14%の企業で毎日障害が発生していると報告している。驚くべきことに調査参加者の100%が障害による収益損失を経験しており、過去12ヶ月間で100万米ドル以上の損失を報告した企業(8%)もあった。