InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
誤ったIAMポリシーによるS3データへのAWSアクセスに関する疑問
AWSサポートが使うポリシーの予期しない変更により、顧客のS3データへのアクセスに関する懸念が生じた。当クラウドプロバイダは変更を元に戻した。アクセス許可は使用されなかったし、できなかったと述べ、セキュリティ速報を公開した。セキュリティ専門家は、将来の同じような問題を検出して防止するための手順を提案している。
-
HashiCorp Boundary 0.7とBoundary Desktop 1.4が動的ホストカタログなどでリリース
HashiCorp は、ホストとサービスの環境全体にIDベースのセキュアなユーザアクセスを自動化するオープンソースプロジェクト Boundary のバージョン 0.7をリリースした。Boundary Desktop 1.4 は、Mac、Linux、および Windows にもリリースされた。主な新機能には、動的ホストカタログ、プラグインサポート (現在は内部使用のみ)、管理コンソールでの管理対象グループとリソースフィルタリングなどがある。
-
ブロックチェーンシステムにおける品質の作り込み
ブロックチェーン技術は、優れたソフトウェア品質を自然に提供可能なソリューションの構築に使用することができる。ブロックチェーンを使うことで、コントラクトにすべてを格納する、コンパクトなシステムへの移行が可能になるのだ。ただしそれには、データのニーズについて理解し、チェーン内に格納するものとしないものを判断した上で、要件、障害、テストといった履歴をコントラクトモデル内に構築する方法を検討する必要がある。
-
既存企業にスタートアップのようなイノベーションを起こすには
スタートアップの創業者は、自身のイノベーションプロセスの一部として、不確実性や失敗を想定している。企業を立ち上げるリーダは、次世代のものを作り上げるために、社員がリスクを取るようにする必要がある。プロダクトの小さな改善を着実に続けていくことが、時間とともに複合的な効果を生み出し、ユーザが本当に求めているものを実現する一助となるのだ。
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
Twitterのセキュリティキー実装の概要
最近、Twitterは内部の従業員アカウントを従来の2要素認証(2FA)から物理的なセキュリティキーに移行した。フィッシング攻撃の防止を目的としたセキュリティキーは、FIDOおよびWebAuthnセキュリティ標準を活用して悪意のあるサイトを識別できる。
-
Airbnbはコラボレーティブホスティングのための統合アーキテクチャで開発プロセスを効率化
Airbnbは最近、コラボレーションホスティング向けの統合アーキテクチャをどのように設計・構築したかについて詳しく説明した。このアーキテクチャによって新製品の開発プロセスが効率化される。エンジニアがすべてのホスティングユースケースをカバーする1つの中央フレームワークについて知るだけでよいためである。このフレームワークによって、特定のタイプのコラボレーションホスティングがカプセル化され、エンジニアがそのことを気にする必要がなくなる。
-
Universeイベントで発表されたGitHubのリリースで開発者フローが改善
年次の業界イベントで、GitHubはフロー、開発者エクスペリエンスの向上、セキュリティに重点を置いた新機能をリリースした。GitHub Universeは年次の会議だ。今年はバーチャルで開催された。この会議では、GitHubの新機能に関連する多数の発表がある。GitHubは、Microsoftの開発者ソースコードリポジトリおよびソフトウェア統合ツールである。
-
Googleのネットワークベースの脅威検出サービスクラウドIDSが一般向け提供へ
最近、Googleはネットワークベースの脅威検出のためのCloud IDSの一般向け提供を発表した。このコアネットワークセキュリティ製品は、ネットワークベースの脅威の検出をサポートする。組織が侵入検知システムを必要とするコンプライアンス基準を満たす助けとなる。
-
Linuxカーネルの新たなサイドチャネル脆弱性により、DNSのキャッシュポイズニングが可能に
カリフォルニア大学リバーサイド校の研究チームによる最新の論文には、これまで見落とされていたLinuxカーネルのサイドチャネルの存在が指摘されている。これはDNSサーバ攻撃に悪用される可能性がある。
-
RCEエクスプロイトが許可される複数のLog4jバージョンの脆弱性の影響
12月9日、著名な Java ロギングライブラリである log4j でゼロデイエクスプロイトが発見されたことが Twitter で公開された。含まれるのは 2.0 から 2.14.1 までのすべてのライブラリのバージョンで影響を受ける。Log4j 2.15.0 がリリースされ、この脆弱性はなくなった。GitHub で公開された POC が指摘したように、log4j が攻撃者によって制御された文字列値をログに記録すると、RCE が発生する。
-
Qoveryは”クラウドプロバイダを問わないHeroku”か?
Qoveryは、急成長中の企業が品質や安定性を犠牲にすることなく、迅速なデリバリペースを維持できるようにするための、開発者の生産性向上ツールの構築を目標として誕生した。ひとつの方法は、HerokuなどPaaSの単純さと'マジック'を、IaaSの柔軟性に組合せることだ。InfoQとの会話の中で、CEOで創設者のRomaric Philogene氏は、同社の活動について詳しく話してくれた。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
マシンラーニングがセキュリティにできること
マシンラーニングは、マルウェアの分析、予測の実施、セキュリティイベントのクラスタリングなど、さまざまな方法でセキュリティに適用できる。シグネチャの確立されていない、未知の攻撃を検出するために使用することも可能だ。