InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Universeイベントで発表されたGitHubのリリースで開発者フローが改善
年次の業界イベントで、GitHubはフロー、開発者エクスペリエンスの向上、セキュリティに重点を置いた新機能をリリースした。GitHub Universeは年次の会議だ。今年はバーチャルで開催された。この会議では、GitHubの新機能に関連する多数の発表がある。GitHubは、Microsoftの開発者ソースコードリポジトリおよびソフトウェア統合ツールである。
-
Googleのネットワークベースの脅威検出サービスクラウドIDSが一般向け提供へ
最近、Googleはネットワークベースの脅威検出のためのCloud IDSの一般向け提供を発表した。このコアネットワークセキュリティ製品は、ネットワークベースの脅威の検出をサポートする。組織が侵入検知システムを必要とするコンプライアンス基準を満たす助けとなる。
-
Linuxカーネルの新たなサイドチャネル脆弱性により、DNSのキャッシュポイズニングが可能に
カリフォルニア大学リバーサイド校の研究チームによる最新の論文には、これまで見落とされていたLinuxカーネルのサイドチャネルの存在が指摘されている。これはDNSサーバ攻撃に悪用される可能性がある。
-
RCEエクスプロイトが許可される複数のLog4jバージョンの脆弱性の影響
12月9日、著名な Java ロギングライブラリである log4j でゼロデイエクスプロイトが発見されたことが Twitter で公開された。含まれるのは 2.0 から 2.14.1 までのすべてのライブラリのバージョンで影響を受ける。Log4j 2.15.0 がリリースされ、この脆弱性はなくなった。GitHub で公開された POC が指摘したように、log4j が攻撃者によって制御された文字列値をログに記録すると、RCE が発生する。
-
Qoveryは”クラウドプロバイダを問わないHeroku”か?
Qoveryは、急成長中の企業が品質や安定性を犠牲にすることなく、迅速なデリバリペースを維持できるようにするための、開発者の生産性向上ツールの構築を目標として誕生した。ひとつの方法は、HerokuなどPaaSの単純さと'マジック'を、IaaSの柔軟性に組合せることだ。InfoQとの会話の中で、CEOで創設者のRomaric Philogene氏は、同社の活動について詳しく話してくれた。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
マシンラーニングがセキュリティにできること
マシンラーニングは、マルウェアの分析、予測の実施、セキュリティイベントのクラスタリングなど、さまざまな方法でセキュリティに適用できる。シグネチャの確立されていない、未知の攻撃を検出するために使用することも可能だ。
-
Amazon CloudFrontが設定可能なCORSとカスタムHTTPレスポンスヘッダーをサポート
先ごろ、Amazon CloudFront はレスポンスヘッダーポリシーのサポートの追加によって、レスポンスヘッダーを挿入するためのカスタム Lambda@Edge およびCloudFront ファンクションの不要とした。この新機能により、開発者はクロスオリジンリソースシェアリング (CORS)、セキュリティ、およびカスタムヘッダーを HTTP レスポンスに追加できる。
-
HashiCorp Vault 1.8に診断コマンド、キー管理シークレットエンジン、および有効期限マネージャを追加
HashiCorp Vault 1.8 は、Vault 診断、統合されたストレージオートパイロット、AWS のキー管理シークレットエンジン、有効期限管理の改善、コントロールグループトリガなど機密性とプライバシー製品に注目すべき機能と改善をもたらす。Vault は、UI、CLI や HTTP API を使用しユーザがシークレットを管理し、機密データを保護するのに役立つ。
-
動的プロセス分離はクラウドシステムでSpectreの対処に役立つ
Cloudflare で開発された動的プロセス分離は、Spectre のような攻撃から効果的な保護を提供し、複数のテナント間の Spectre 攻撃を完全に軽減して、システムを保護する技術であると、先ごろ Cloudflare と Graz University の共同研究が示した。
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
-
IntelのLoihi 2とLava Frameworkでニューロモルフィックコンピューティング研究の進歩を目指す
Intelは、ニューロモルフィック (神経形態) コンピューティングの分野の研究用ツールを提供することを目的として、第2世代のニューロモルフィックチップであるLoihi 2 を発表した。また、IntelはLavaをリリースした。これは、従来のハードウェアとニューロモルフィックハードウェアの両方でニューロモルフィックアプリを構築するためのソフトウェアフレームワークだ。
-
WICG、mXSS攻撃に対抗する新たなHTML Sanitizer APIプロポーザルを公開
Web Platform Incubator Community Groupは先頃、HTML Sanitizer APIのDraft Community Group Reportを公開した。HTML Sanitizer APIは、信頼できないHTML文字列をサニタイズ(sanitize、消毒)して、ドキュメントDOMに安全に挿入可能なものにするものだ。HTML文字列のサニタイズの最も一般的なユースケースは、クロスサイトスクリプティング(XSS)攻撃を防止することだ。
-
FacebookのMariana Trenchが、開発者によるAndroidアプリとJavaアプリの脆弱性発見を支援
最近Mariana Trench(MT)がFacebookによってオープンソース化された。MTは開発者がAndroidアプリケーションとJavaアプリケーションのセキュリティとプライバシーのバグを特定して防止するのを支援することを目的としたものだ。