InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
DockerがDocker ExtensionsとDocker Desktop for Linuxをリリース
DockerCon 2022で、Dockerは、開発者がDocker Desktopを利用し、新しいExtension SDKを使ってその機能を拡張する方法を発表した。さらに、Docker DesktopはついにLinuxでも利用できるようになった。macOSやWindowsで利用できるものと同じエクスペリエンスが提供される。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Metaがどのように匿名化された認証でプライバシーを配慮したクレデンシャルを使ったか
Metaは認証を使って、サービスのエンドポイントを不正使用から保護している。個人を特定できる情報を削除するためにアクセスデータを後処理することは、リソースを大量に消費するアプローチであることがわかった。どのようにMetaが匿名化された認証を活用して、サービスとユーザのプライバシーを同時に保護するかを説明する記事が最近公開された。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。
-
RDSとAurora PostgreSQLの脆弱性により、AWSが多くのマイナーバージョンを非推奨へ
セキュリティ会社Lightspinの研究者は最近、PostgreSQL拡張機能を使って、どのように内部AWSサービスへの認証を取得し、RDS上のローカルファイル読み取りの脆弱性を悪用できるかを説明した。AWSはこの問題を確認し、Amazon AuroraとRDS for PostgreSQLの数十のマイナーバージョンを非推奨にした。
-
VMwareの脆弱性を悪用した暗号マイナが横行
VMware Workspace ONE AccessとVMware Identity Managerに関係する重大な脆弱性により、悪意のある攻撃者が、サーバサイド・テンプレート・インジェクションを起動する任意のコードをリモート実行できるようになる。VMwareによると、この脆弱性は実際に悪用されている(actively exploied)ということだ。
-
AWS Firewall ManagerがPalo Alto NetworksのCloud Next Generation Firewallに対応
AWSは先頃、Firewall Manager���Palo Alto NetworksのCloud Next Generation Filewalls(NGFW)をサポートすることを発表した。Palo Alto NetworksはAWSとの提携を通じて、AWSデプロイメントのセキュリティを簡単に確保できるように設計された"マネージド・ファイアウォールサービス"を提供する。
-
Dockerfile Linter Hadolintでは多くの修正、改善がされ、ARM64バイナリをサポート
長い期間待った後に、Hadolintの最近のリリースでは多くの修正、改善がされており、ARM64バイナリに対するサポートが追加された。
-
Microsoft、Azure API Managementプレビューでプライベートリンクのサポートを開始
先頃Microsoftは、APIの公開、保護、変換、維持、監視を行うフルマネージドサービスであるAzure API Managementサービスを対象とするAzure Private Linkサポートのプレビューを発表した。
-
Intel、Arm、AMD CPUのハードウェア軽減策がSpectre v2に対して効果がないことが明らかに
Vrije Universiteit Amsterdamのセキュリティ研究者は、IntelプロセッサとArmプロセッサの両方で実行されるSpectre v2攻撃に対するハードウェアによる軽減策には、ブランチ履歴インジェクションに対して脆弱になる根本的な欠陥があることを示した。
-
CRI-Oコンテナランタイムの新たな脆弱性により、攻撃者によるホストへのアクセスが可能に
CRI-Oコンテナランタイムは多くのKubernetesインストールで使用されているが、その新たな脆弱性により、悪意のあるユーザがホストへroot権限でアクセスできるようになる。この脆弱性はCrowdStrikeの研究者によって発見され、CRI-Oプロジェクトによってすぐに修正された。
-
MetaがWebコードの真正性を立証するためのブラウザ拡張をオープンソース化
Code Verifyは、もともとはWhatsAppユーザがブラウザに提供されるWhatsAppコードの真正性を検証するために作成されたものである。これは、Chrome、Edge、Firefoxに対する新たなオープンソース拡張機能であり、他のWebサービスに対しても同レベルのセキュリティを提供できるとMetaは述べている。
-
Google Cloudがコミュニティセキュリティ分析を導入
Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。
-
ソフトウェアサプライチェーンセキュリティプロジェクトのin-totoがCNCFインキュベーターとして承認される
CNCF技術監視委員会(TOC)は、in-totoプロジェクトをCNCFインキュベーションプロジェクトとして受け入れた。in-totoプロジェクトは、ソフトウェアのビルド・配信プロセス全体(「サプライチェーン」)を悪意のある攻撃者から暗号によって保護することを目的としている。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。