InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
マシンラーニングがセキュリティにできること
マシンラーニングは、マルウェアの分析、予測の実施、セキュリティイベントのクラスタリングなど、さまざまな方法でセキュリティに適用できる。シグネチャの確立されていない、未知の攻撃を検出するために使用することも可能だ。
-
Amazon CloudFrontが設定可能なCORSとカスタムHTTPレスポンスヘッダーをサポート
先ごろ、Amazon CloudFront はレスポンスヘッダーポリシーのサポートの追加によって、レスポンスヘッダーを挿入するためのカスタム Lambda@Edge およびCloudFront ファンクションの不要とした。この新機能により、開発者はクロスオリジンリソースシェアリング (CORS)、セキュリティ、およびカスタムヘッダーを HTTP レスポンスに追加できる。
-
HashiCorp Vault 1.8に診断コマンド、キー管理シークレットエンジン、および有効期限マネージャを追加
HashiCorp Vault 1.8 は、Vault 診断、統合されたストレージオートパイロット、AWS のキー管理シークレットエンジン、有効期限管理の改善、コントロールグループトリガなど機密性とプライバシー製品に注目すべき機能と改善をもたらす。Vault は、UI、CLI や HTTP API を使用しユーザがシークレットを管理し、機密データを保護するのに役立つ。
-
動的プロセス分離はクラウドシステムでSpectreの対処に役立つ
Cloudflare で開発された動的プロセス分離は、Spectre のような攻撃から効果的な保護を提供し、複数のテナント間の Spectre 攻撃を完全に軽減して、システムを保護する技術であると、先ごろ Cloudflare と Graz University の共同研究が示した。
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
-
IntelのLoihi 2とLava Frameworkでニューロモルフィックコンピューティング研究の進歩を目指す
Intelは、ニューロモルフィック (神経形態) コンピューティングの分野の研究用ツールを提供することを目的として、第2世代のニューロモルフィックチップであるLoihi 2 を発表した。また、IntelはLavaをリリースした。これは、従来のハードウェアとニューロモルフィックハードウェアの両方でニューロモルフィックアプリを構築するためのソフトウェアフレームワークだ。
-
WICG、mXSS攻撃に対抗する新たなHTML Sanitizer APIプロポーザルを公開
Web Platform Incubator Community Groupは先頃、HTML Sanitizer APIのDraft Community Group Reportを公開した。HTML Sanitizer APIは、信頼できないHTML文字列をサニタイズ(sanitize、消毒)して、ドキュメントDOMに安全に挿入可能なものにするものだ。HTML文字列のサニタイズの最も一般的なユースケースは、クロスサイトスクリプティング(XSS)攻撃を防止することだ。
-
FacebookのMariana Trenchが、開発者によるAndroidアプリとJavaアプリの脆弱性発見を支援
最近Mariana Trench(MT)がFacebookによってオープンソース化された。MTは開発者がAndroidアプリケーションとJavaアプリケーションのセキュリティとプライバシーのバグを特定して防止するのを支援することを目的としたものだ。
-
Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A
Armoは先月、Kubescapeのリリースを発表した。Kubescapeは、National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)の発行する"Kubernetes hardening guidance"に従って、Kubernetes環境の安全性をテストするためのツールである。
-
オープンソースのセキュリティを改善するGitHubアプリAllstarが発表
Googleは先頃、特定の組織ないしプロジェクトリポジトリに対して、セキュリティポリシ適用の継続的なエンフォースメント(施行)を可能にするGitHubアプリのAllstarを発表した。Allstarは、オープンソースソフトウェア(OSS)のセキュリテイを改善するための、Googleのコントリビューションである
-
GithubがGitプロトコル、Dsaキー、レガシーSSHアルゴリズムのサポートを段階的に廃止
GitHubは、顧客データを可能な限り保護することに重点を置いて、暗号化されていないGitプロトコル、DSAキー、そして、一部のレガシーSSHアルゴリズムのサポートをやめることを決定した。また、新しく追加されたRSAキーに対する要件を追加し、およびEd25519ホストキーSSHのサポートを提供する。この変更はSSHユーザと「git://」ユーザにのみ影響する可能性がある。一方で「https://」ユーザは影響を受けない。
-
自己不信やインポスタ症候群から脱却し、テクノロジにおける多様性のメリットを見出すまで
Charu Bansal氏は、自身が非技術的なバックグラウンドを持っていることから、そのキャリアにおいて、自分がセキュリティに関する価値を提供できないのではないかと不安を持つ、インポスタ(詐欺師)症候群に度々陥っている。The Diana Initiative 2021で行った講演の中で氏は、非技術系のキャリアから情報セキュリティの分野に転向したことによる多様な観点を持つことが、困難なセキュリティ問題を解決する上でいかに役に立ったか、という話をした。
-
NSAとCISAがKubernetes強化ガイダンスを公開
National Security Agency(NSA)は、Cyber security and Infrastructure Security Agency(CISA)と協力して、Kubernetes強化ガイダンスを最近公開した。Kubernetes環境のセキュリティ保護にフォーカスしたテクニカルレポートだ。 このレポートは、Kubernetesのセキュリティリスクの一般的な領域(サプライチェーン、悪意のある攻撃者、内部脅威)を関してである。
-
Travis CIの脆弱性が顧客の秘密を漏洩した可能性
人気の継続的インテグレーションおよびデリバリーサービスであるTravis CIは、署名キー、アクセスクレデンシャル、APIトークンなどのセキュアな環境変数を漏洩する可能性のある脆弱性を明らかにした。この欠陥は9月10日にすぐに修正されたが、開発者コミュニティはこの問題のTravis CIの対応が不十分であることに気づいた。
-
CIS Service CatalogとReference Architecture 2.0の一般供与が開始
再利用可能なインフラストラクチャコードの開発を専門とする企業であるGruntworkは、CIS Service CatalogとCIS Reference Architecture 2.0の一般供与を開始すると発表した。Grunworkの既存および将来的なユーザは、実運用レベルのAWSテクノロジスタックとAWSサービスを使って、これを即座に始められるようになる。