InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
Dynatraceアプリケーションセキュリティゲートにより安全な自動リリースの促進へ
Dynatraceは最近、ソフトウェアインテリジェンスプラットフォームで「セキュリティゲート」が利用可能になったことを発表した。組織は、Dynatraceアプリケーションセキュリティゲートを使って、ソフトウェア開発ライフサイクルの早い段階でセキュリティの脆弱性をチェックし、必要な修復アクションをトリガーできるようになった。
-
ディープラーニングツールキットIntel OpenVINOではAPIが拡張され、パフォーマンスが向上
Intel OpenVINOの最新リリースでは、よりクリーンなAPIが提供される。自然言語処理のサポートが拡張されており、新しいAUTOプラグインのおかげでパフォーマンスと移植性が改善している。InfoQは、詳細についてAI Intel OpenVINOのシニアディレクターMatthew Formica氏と話をした。
-
IAM条件とタグでGoogle Cloud SQLのアクセス制御が改善
最近、GoogleはCloud SQL向けのIAM条件とタグの一般提供(GA)を発表した。これはMySQL、PostgreSQL、SQL Server用のフルマネージドリレーショナルデータベースサービスである。
-
AWS WAFが不正管理としてAccount Takeover Protectionを導入
Amazonは最近、不正管理としてAccount Takeover Protectionを導入した。ネットワークエッジでログインページを保護するためのAWS Webアプリケーションファイアウォールの新機能である。
-
セキュリティ・バイ・デザインがクラウド移行のリスク管理にどのように役立ったか
企業がクラウドに移行したとき、最初から利害関係者を参加させたり、セキュリティを関与させたりすることが困難であったため、セキュリティの問題が発生した。継続的なクラウドDevOpsプロセスの一部としてセキュリティ評価を組み込み、プロジェクトのライフサイクル全体を通じてセキュリティリスク管理にアジャイル戦略を採用することで、移行中のセキュリティのガバナンスを強化することができた。
-
AWSがCloudFrontにマネージドプレフィックスリストを導入
AWSは���近、CloudFrontのAWSマネージドプレフィックスリストが利用できるようになったことを発表した。顧客は、CloudFrontのオリジンフェイシングサーバに属するIPアドレスからのみに、VPCやアプリケーションへのインバウンドHTTP/HTTPSトラフィックを制限できるようになった。
-
Detector Libraryとログインジェクション脆弱性のためのセキュリティ検出器を特徴とする新たなCodeGuru Reviewer
Amazon CodeGuru Reviewerは、機械学習を活用してコード(JavaとPython)のセキュリティ上の欠陥を検出し、コードの品質向上のための提案をする開発者ツールである。最近、AWSはツールに2つの新機能を導入した。新しいDetector Libraryと、ログインジェクション脆弱性用のセキュリティ検出器である。
-
GitHubが機械学習を使って脆弱性コードスキャンを拡張した方法
GitHubは、機械学習技術をルールベースのセキュリティコードスキャン機能に適用し、既存のルールから新しいルールを自動的に推測することで、あまり一般的ではない脆弱性パターンにその機能を拡張できることを期待している。
-
Google Cloudが証明書マネージャーを発表
Google Cloudは最近、証明書マネージャーのパブリックプレビュー版を導入した。複数の証明書とドメインを管理するために外部HTTPS負荷分散と統合するサービスである。
-
Kubernetes YAMLのベストプラクティスの実施支援を目的とするValidKubeとは
ValidKubeは、いくつかのツールを組み合わせた新しいオープンソースツールである。Kubernetes YAML構成ファイルの検証、クリーニング、保護が簡単にできるようになる。InfoQは、ValidKubeの開発者でKomodorのCTO兼共同創設者であるItiel Shwartz氏と話をした。
-
AWS CloudFormation HooksでCloudFormationオペレーションのプロアクティブな検証が可能に
AWSはAWS CloudFormation Hooksの一般提供を発表した。CloudFormationスタック操作の作成、更新、削除の前にカスタムロジックを実行できるようにするものである。CloudFormation Hooksは、バージョニング、パブリックおよびプライベートディストリビューションをサポートし、複数のAWSアカウントやリージョンに公開できる。
-
レポートによるとクラウドランタイムの75%に重大な脆弱性が含まれている
Sysdigの最新のクラウドネイティブおよびセキュリティ使用状況レポートで、脆弱性のあるコンテナが配られるという行為がありふれていることがわかった。このレポートでは、コンテナの75%に重大度の高い脆弱性があり、パッチが適用された可能性のあることがわかった。レポートでは多くの組織が、迅速に移行やリリースをするためにこれを許容可能なリスクとして認識していることを強調している。
-
Log4Shellの防御 - Contrast SecurityのArshan Dabirsianghi氏が語るJava Agent
システムの持つ重要性と、log4shellの脆弱性が深刻かつ重大であることから、その修正には新たなアプローチが求められていた。この防御戦略で重要な役割を果たすのはJava Agentだ。アプローチに関する理解を深めるべく、InfoQは今回、Contrast Securityの創設者でチーフサイエンティストのArshan Debirsianghi氏に話を聞いた。
-
ランタイムセキュリティプロジェクトのFalcoが拡張可能なプラグインフレームワークを追加
クラウドネイティブなランタイムセキュリティプロジェクトのFalcoが、バージョン0.31.0をリリースした。今回のリリースでは、イベントソースやイベントエクストラクタをFalcoに追加定義する手段として、プラグインシステムが新たに導入されている。プラグインシステムには開発を簡略化するSDKも含まれる他、今回のリリースにはAWS CloudTrailプラグインが新たに同梱されている。