InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
Twitterのセキュリティキー実装の概要
最近、Twitterは内部の従業員アカウントを従来の2要素認証(2FA)から物理的なセキュリティキーに移行した。フィッシング攻撃の防止を目的としたセキュリティキーは、FIDOおよびWebAuthnセキュリティ標準を活用して悪意のあるサイトを識別できる。
-
Airbnbはコラボレーティブホスティングのための統合アーキテクチャで開発プロセスを効率化
Airbnbは最近、コラボレーションホスティング向けの統合アーキテクチャをどのように設計・構築したかについて詳しく説明した。このアーキテクチャによって新製品の開発プロセスが効率化される。エンジニアがすべてのホスティングユースケースをカバーする1つの中央フレームワークについて知るだけでよいためである。このフレームワークによって、特定のタイプのコラボレーションホスティングがカプセル化され、エンジニアがそのことを気にする必要がなくなる。
-
Universeイベントで発表されたGitHubのリリースで開発者フローが改善
年次の業界イベントで、GitHubはフロー、開発者エクスペリエンスの向上、セキュリティに重点を置いた新機能をリリースした。GitHub Universeは年次の会議だ。今年はバーチャルで開催された。この会議では、GitHubの新機能に関連する多数の発表がある。GitHubは、Microsoftの開発者ソースコードリポジトリおよびソフトウェア統合ツールである。
-
Googleのネットワークベースの脅威検出サービスクラウドIDSが一般向け提供へ
最近、Googleはネットワークベースの脅威検出のためのCloud IDSの一般向け提供を発表した。このコアネットワークセキュリティ製品は、ネットワークベースの脅威の検出をサポートする。組織が侵入検知システムを必要とするコンプライアンス基準を満たす助けとなる。
-
Linuxカーネルの新たなサイドチャネル脆弱性により、DNSのキャッシュポイズニングが可能に
カリフォルニア大学リバーサイド校の研究チームによる最新の論文には、これまで見落とされていたLinuxカーネルのサイドチャネルの存在が指摘されている。これはDNSサーバ攻撃に悪用される可能性がある。
-
RCEエクスプロイトが許可される複数のLog4jバージョンの脆弱性の影響
12月9日、著名な Java ロギングライブラリである log4j でゼロデイエクスプロイトが発見されたことが Twitter で公開された。含まれるのは 2.0 から 2.14.1 までのすべてのライブラリのバージョンで影響を受ける。Log4j 2.15.0 がリリースされ、この脆弱性はなくなった。GitHub で公開された POC が指摘したように、log4j が攻撃者によって制御された文字列値をログに記録すると、RCE が発生する。
-
Qoveryは”クラウドプロバイダを問わないHeroku”か?
Qoveryは、急成長中の企業が品質や安定性を犠牲にすることなく、迅速なデリバリペースを維持できるようにするための、開発者の生産性向上ツールの構築を目標として誕生した。ひとつの方法は、HerokuなどPaaSの単純さと'マジック'を、IaaSの柔軟性に組合せることだ。InfoQとの会話の中で、CEOで創設者のRomaric Philogene氏は、同社の活動について詳しく話してくれた。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートす��スタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
マシンラーニングがセキュリティにできること
マシンラーニングは、マルウェアの分析、予測の実施、セキュリティイベントのクラスタリングなど、さまざまな方法でセキュリティに適用できる。シグネチャの確立されていない、未知の攻撃を検出するために使用することも可能だ。
-
Amazon CloudFrontが設定可能なCORSとカスタムHTTPレスポンスヘッダーをサポート
先ごろ、Amazon CloudFront はレスポンスヘッダーポリシーのサポートの追加によって、レスポンスヘッダーを挿入するためのカスタム Lambda@Edge およびCloudFront ファンクションの不要とした。この新機能により、開発者はクロスオリジンリソースシェアリング (CORS)、セキュリティ、およびカスタムヘッダーを HTTP レスポンスに追加できる。
-
HashiCorp Vault 1.8に診断コマンド、キー管理シークレットエンジン、および有効期限マネージャを追加
HashiCorp Vault 1.8 は、Vault 診断、統合されたストレージオートパイロット、AWS のキー管理シークレットエンジン、有効期限管理の改善、コントロールグループトリガなど機密性とプライバシー製品に注目すべき機能と改善をもたらす。Vault は、UI、CLI や HTTP API を使用しユーザがシークレットを管理し、機密データを保護するのに役立つ。
-
動的プロセス分離はクラウドシステムでSpectreの対処に役立つ
Cloudflare で開発された動的プロセス分離は、Spectre のような攻撃から効果的な保護を提供し、複数のテナント間の Spectre 攻撃を完全に軽減して、システムを保護する技術であると、先ごろ Cloudflare と Graz University の共同研究が示した。
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。