InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
FacebookのMariana Trenchが、開発者によるAndroidアプリとJavaアプリの脆弱性発見を支援
最近Mariana Trench(MT)がFacebookによってオープンソース化された。MTは開発者がAndroidアプリケーションとJavaアプリケーションのセキュリティとプライバシーのバグを特定して防止するのを支援することを目的としたものだ。
-
Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A
Armoは先月、Kubescapeのリリースを発表した。Kubescapeは、National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)の発行する"Kubernetes hardening guidance"に従って、Kubernetes環境の安全性をテストするためのツールである。
-
オープンソースのセキュリティを改善するGitHubアプリAllstarが発表
Googleは先頃、特定の組織ないしプロジェクトリポジトリに対して、セキュリティポリシ適用の継続的なエンフォースメント(施行)を可能にするGitHubアプリのAllstarを発表した。Allstarは、オープンソースソフトウェア(OSS)のセキュリテイを改善するための、Googleのコントリビューションである
-
GithubがGitプロトコル、Dsaキー、レガシーSSHアルゴリズムのサポートを段階的に廃止
GitHubは、顧客データを可能な限り保護することに重点を置いて、暗号化されていないGitプロトコル、DSAキー、そして、一部のレガシーSSHアルゴリズムのサポートをやめることを決定した。また、新しく追加されたRSAキーに対する要件を追加し、およびEd25519ホストキーSSHのサポートを提供する。この変更はSSHユーザと「git://」ユーザにのみ影響する可能性がある。一方で「https://」ユーザは影響を受けない。
-
自己不信やインポスタ症候群から脱却し、テクノロジにおける多様性のメリットを見出すまで
Charu Bansal氏は、自身が非技術的なバックグラウンドを持っていることから、そのキャリアにおいて、自分がセキュリティに関する価値を提供できないのではないかと不安を持つ、インポスタ(詐欺師)症候群に度々陥っている。The Diana Initiative 2021で行った講演の中で氏は、非技術系のキャリアから情報セキュリティの分野に転向したことによる多様な観点を持つことが、困難なセキュリティ問題を解決する上でいかに役に立ったか、という話をした。
-
NSAとCISAがKubernetes強化ガイダンスを公開
National Security Agency(NSA)は、Cyber security and Infrastructure Security Agency(CISA)と協力して、Kubernetes強化ガイダンスを最近公開した。Kubernetes環境のセキュリティ保護にフォーカスしたテクニカルレポートだ。 このレポートは、Kubernetesのセキュリティリスクの一般的な領域(サプライチェーン、悪意のある攻撃者、内部脅威)を関してである。
-
Travis CIの脆弱性が顧客の秘密を漏洩した可能性
人気の継続的インテグレーションおよびデリバリーサービスであるTravis CIは、署名キー、アクセスクレデンシャル、APIトークンなどのセキュアな環境変数を漏洩する可能性のある脆弱性を明らかにした。この欠陥は9月10日にすぐに修正されたが、開発者コミュニティはこの問題のTravis CIの対応が不十分であることに気づいた。
-
CIS Service CatalogとReference Architecture 2.0の一般供与が開始
再利用可能なインフラストラクチャコードの開発を専門とする企業であるGruntworkは、CIS Service CatalogとCIS Reference Architecture 2.0の一般供与を開始すると発表した。Grunworkの既存および将来的なユーザは、実運用レベルのAWSテクノロジスタックとAWSサービスを使って、これを即座に始められるようになる。
-
クラウドプロバイダがランサムウェア軽減戦略を公開
過去数週間で、AWS、Azure、Google Cloudから、クラウドでのランサムウェア軽減手法に関する提案の記事とドキュメントの投稿があった。主な保護方法とリカバリ準備のアクションに焦点を当てている。
-
Denoが暗号化、メッセージ、ネットワークなどのWeb APIサポートを拡張
Denoの最近のバージョンでは、暗号化やネットワーク、メッセージに関するWeb APIサポートが強化されている。Deno 1.11ではWeb Crypto APIとBroadcastChannelAPIのサポートが導入され、Deno 1.12ではChannel Messaging APIのMessageChannelとMessagePortに関する部分のサポートが追加された。Deno 1.13はnavigator.hardwareConcurrency APIを実装している。
-
情報漏洩の定量化によってシステムを保護する
情報漏洩は、外部から参照可能な情報を機密情報に関連付けられる場合に発生する。パスワードや医療診断、場所、財務データなど、我々の世界を支える情報の多くには、エラーメッセージや電力消費パターンといった、それら機密情報のヒントを与えるような、さまざまな種類の情報が存在している。
-
AWSがコンプライアンス要件のためのBackup Audit Managerを導入
Amazonは先頃、バックアップのコンプライアンスステータスを監視し、ビジネス要件と規制要件を満たすレポートを生成するAWS Backupの新機能であるAWS Backup Audit Managerが利用可能になったことを発表した。
-
MicrosoftがAzure Cosmos DBの重大な脆弱性について顧客に警告
Azure Cosmos DBは、グローバル分散された、フルマネージドのNoSQLデータベースサービスだ。最近、MicrosoftはCosmos DBの何千もの顧客に、データが晒されてしまう脆弱性について警告した。サービスの欠陥により、悪意のある攻撃者にアクセスキーが付与され、機密データが盗まれたり、変更されたり、削除されたりする可能性がある。
-
AWSがセキュリティ調査のためのSecurity Analytics Bootstrapを提供
AWSは先頃、Amazon Athena分析環境を使ってAWSサービスログを対象にセキュリティ調査を行うオープンソースフレームワークとして、Security Analytics Bootstrapを発表した。
-
CVEはクラウドの脆弱性の解決策か?
先頃のBlack Hat USA 2021で、クラウドインフラストラクチャ企業のWizのセキュリティ専門家は、クラウドの脆弱性に関するCVEデータベースが必要であると主張し、クラウドとサイバーセキュリティのコミュニティで議論を始めた。