InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
低スキルのサイバー犯罪者がChatGPTでマルウェアを作成している可能性について
最近のレポートで、イスラエルのサイバーセキュリティ会社 Check Point Research(CPR)は、サイバー犯罪者がChatGPTを使用してダークウェブ上で悪意のあるプログラムを開発している、と警告した。CPRによると、ChatGPTを用いて未熟な攻撃者でも機能するマルウェアが作成可能になる。
-
GitHub Actionsによるパスワード不要なクラウドデプロイメント
GitHub Actionsは、長期間有効な認証やパスワードを使用せずに、Open Identity Connect認証情報を使用してHashicorp Vault、AWS、Azure、GCPなどのクラウドプロバイダーに認証することをサポートしている。
-
Google、Security Command Centerに新たな料金モデルを追加
Googleはこのほど、Security Command Center(SCC)に、従量制の料金モデルと、プロジェクトレベルでのデプロイメントとセルフサービスによるアクティベーションという2つの機能を追加し、いくつかの新しいアップデートを発表した。
-
AWS、2023年4月に予定されているAmazon S3のセキュリティ変更について発表
先日AWSは、Amazon Simple Storage Service(Amazon S3)に対して、リージョン内のすべてのバケットでS3 Block Public Accessを有効にし、アクセス制御リスト(ACLs)をデフォルトで無効にするという2つの変更を発表した。これらの変更は2023年4月に適用され、数週間以内にすべてのAWSリージョンで展開される予定だ。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
Chromiumがサードパーティ製Rustライブラリの使用を許可し、安全性とセキュリティの向上を図る
ChromiumプロジェクトはビルドシステムにRustツールチェーンを追加し、Rustで書かれたサードパーティライブラリの統合を可能にすることで、セキュリティや安全性の向上、開発スピードの向上を目指している。
-
CloudNativeSecurityCon 2023にて ~ eBPFを活用した不審な動作の特定
ワシントン州シアトルで開催されたCloudNativeSecrityCon2023で、AWSのエンジニアであるJeremy Cowan氏とWasiq Muhammad氏が、eBPFによる疑わしい行動���特定やそのユースケース、そしてAWSがそれを使ってどのように脅威検出と保護をしているかを発表した。
-
Google、脆弱性スキャンツールをオープンソースで公開
Googleは最近、Open Source Vulnerability (OSV) データベースのオープンソースフロントエンドインターフェイスである「OSV-Scanner」を公開した。
-
Cockroach Labs 2022クラウドレポート:AMDがIntelの性能を上回る
Cockroach Labsは最近、一般的なOLTP処理に対するAWS、Microsoft Azure、Google Cloudのパフォーマンスを評価する年次クラウドレポートをリリースした。これまでとは異なり、今年のレポートでは総合的なベストプロバイダーを掲示していないが、AMDインスタンスはIntelインスタンスよりも優れていると結論付けている。ARMインスタンスはテストの対象外であった。
-
OpenSSFがFuzz Introspectorをリリースして、C/C++ファズテストのカバレッジを改善
Open Source Security Foundation(OpenSSF)は、ファジングのカバレッジを改善するツールをリリースした。このツールは、開発者がアクションに移すことができる分析結果を提供し、カバレッジブロッカー(カバレッジを阻害するもの)の特定を支援する。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱性がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
AuguryはAppleシリコンに影響を及ぼす新たなマイクロアーキテクチャ攻撃
イリノイ大学アーバナシャンペーン校、ワシントン大学、テルアビブ大学の研究者が、Auguryと呼ばれる攻撃について説明した。これはA14ファミリーとM1ファミリーを含む、Appleの最近のプロセッサで保存されているデータを漏洩するものである。
-
HashiCorp Vaultでサーバーサイド整合性トークンにより結果整合性が向上
HashiCorpはVault 1.10をリリースした。シークレットとID管理プラットフォームに多くの新機能が追加されている。サーバサイド整合性トークンを使うと、パフォーマンススタンバイノードを使うときに結果整合性モデルをより細かく制御できる。新しいオープンソースのログイン多要素認証統合を使って認証を実行できるようになった。データベースプラグインの多重化サポートが追加され、Vaultエージェントのテレメトリが改善されている。
-
Amazon EC2がNitroTPMとUEFIセキュアブートをサポート
AWSは最近、UEFIセキュアブートとNitroTPMの一般向け提供を発表した。NitroTPMは、AWS Nitroシステムをベースとした、EC2インスタンス向けの仮想TPMモジュールである。この新機能は、ブートプロセスの検証、キーの保護、デジタル著作権管理のための設計となっている。
-
GitHub Enterprise Server 3.5ではセキュリティを改善し、GitHubアクションをアップデート
GitHubによると、GitHub Enterprise Serverの最新リリースでは、セキュリティとコンプライアンスに特に重点を置いた多くの新機能が提供されている。そこには、Dependabot統合、セキュリティ機能の向上、GitHubアクションの更新などが含まれている。