InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
-
IntelのLoihi 2とLava Frameworkでニューロモルフィックコンピューティング研究の進歩を目指す
Intelは、ニューロモルフィック (神経形態) コンピューティングの分野の研究用ツールを提供することを目的として、第2世代のニューロモルフィックチップであるLoihi 2 を発表した。また、IntelはLavaをリリースした。これは、従来のハードウェアとニューロモルフィックハードウェアの両方でニューロモルフィックアプリを構築するためのソフトウェアフレームワークだ。
-
WICG、mXSS攻撃に対抗する新たなHTML Sanitizer APIプロポーザルを公開
Web Platform Incubator Community Groupは先頃、HTML Sanitizer APIのDraft Community Group Reportを公開した。HTML Sanitizer APIは、信頼できないHTML文字列をサニタイズ(sanitize、消毒)して、ドキュメントDOMに安全に挿入可能なものにするものだ。HTML文字列のサニタイズの最も一般的なユースケースは、クロスサイトスクリプティング(XSS)攻撃を防止することだ。
-
FacebookのMariana Trenchが、開発者によるAndroidアプリとJavaアプリの脆弱性発見を支援
最近Mariana Trench(MT)がFacebookによってオープンソース化された。MTは開発者がAndroidアプリケーションとJavaアプリケーションのセキュリティとプライバシーのバグを特定して防止するのを支援することを目的としたものだ。
-
Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A
Armoは先月、Kubescapeのリリースを発表した。Kubescapeは、National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)の発行する"Kubernetes hardening guidance"に従って、Kubernetes環境の安全性をテストするためのツールである。
-
オープンソースのセキュリティを改善するGitHubアプリAllstarが発表
Googleは先頃、特定の組織ないしプロジェクトリポジトリに対して、セキュリティポリシ適用の継続的なエンフォースメント(施行)を可能にするGitHubアプリのAllstarを発表した。Allstarは、オープンソースソフトウェア(OSS)のセキュリテイを改善するための、Googleのコントリビューションである
-
GithubがGitプロトコル、Dsaキー、レガシーSSHアルゴリズムのサポートを段階的に廃止
GitHubは、顧客データを可能な限り保護することに重点を置いて、暗号化されていないGitプロトコル、DSAキー、そして、一部のレガシーSSHアルゴリズムのサポートをやめることを決定した。また、新しく追加されたRSAキーに対する要件を追加し、およびEd25519ホストキーSSHのサポートを提供する。この変更はSSHユーザと「git://」ユーザにのみ影響する可能性がある。一方で「https://」ユーザは影響を受けない。
-
自己不信やインポスタ症候群から脱却し、テクノロジにおける多様性のメリットを見出すまで
Charu Bansal氏は、自身が非技術的なバックグラウンドを持っていることから、そのキャリアにおいて、自分がセキュリティに関する価値を提供できないのではないかと不安を持つ、インポスタ(詐欺師)症候群に度々陥っている。The Diana Initiative 2021で行った講演の中で氏は、非技術系のキャリアから情報セキュリティの分野に転向したことによる多様な観点を持つことが、困難なセキュリティ問題を解決する上でいかに役に立ったか、という話をした。
-
NSAとCISAがKubernetes強化ガイダンスを公開
National Security Agency(NSA)は、Cyber security and Infrastructure Security Agency(CISA)と協力して、Kubernetes強化ガイダンスを最近公開した。Kubernetes環境のセキュリティ保護にフォーカスしたテクニカルレポートだ。 このレポートは、Kubernetesのセキュリティリスクの一般的な領域(サプライチェーン、悪意のある攻撃者、内部脅威)を関してである。
-
Travis CIの脆弱性が顧客の秘密を漏洩した可能性
人気の継続的インテグレーションおよびデリバリーサービスであるTravis CI��、署名キー、アクセスクレデンシャル、APIトークンなどのセキュアな環境変数を漏洩する可能性のある脆弱性を明らかにした。この欠陥は9月10日にすぐに修正されたが、開発者コミュニティはこの問題のTravis CIの対応が不十分であることに気づいた。
-
CIS Service CatalogとReference Architecture 2.0の一般供与が開始
再利用可能なインフラストラクチャコードの開発を専門とする企業であるGruntworkは、CIS Service CatalogとCIS Reference Architecture 2.0の一般供与を開始すると発表した。Grunworkの既存および将来的なユーザは、実運用レベルのAWSテクノロジスタックとAWSサービスを使って、これを即座に始められるようになる。
-
クラウドプロバイダがランサムウェア軽減戦略を公開
過去数週間で、AWS、Azure、Google Cloudから、クラウドでのランサムウェア軽減手法に関する提案の記事とドキュメントの投稿があった。主な保護方法とリカバリ準備のアクションに焦点を当てている。
-
Denoが暗号化、メッセージ、ネットワークなどのWeb APIサポートを拡張
Denoの最近のバージョンでは、暗号化やネットワーク、メッセージに関するWeb APIサポートが強化されている。Deno 1.11ではWeb Crypto APIとBroadcastChannelAPIのサポートが導入され、Deno 1.12ではChannel Messaging APIのMessageChannelとMessagePortに関する部分のサポートが追加された。Deno 1.13はnavigator.hardwareConcurrency APIを実装している。
-
情報漏洩の定量化によってシステムを保護する
情報漏洩は、外部から参照可能な情報を機密情報に関連付けられる場合に発生する。パスワードや医療診断、場所、財務データなど、我々の世界を支える情報の多くには、エラーメッセージや電力消費パターンといった、それら機密情報のヒントを与えるような、さまざまな種類の情報が存在している。
-
AWSがコンプライアンス要件のためのBackup Audit Managerを導入
Amazonは先頃、バックアップのコンプライアンスステータスを監視し、ビジネス要件と規制要件を満たすレポートを生成するAWS Backupの新機能であるAWS Backup Audit Managerが利用可能になったことを発表した。