InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
OpenJDKはSecurityManagerの非推奨を提案
OpenJDKプロジェクトは、SecurityManagerを非推奨にする手段としてJEP-411を提案した。承認された場合、これは複数年にわたるプロセスの最初のステップになる。このプロセスは、OpenJDK Quality Outreach Campaignが影響を受けるプロジェクトを、削除される前に代替案に導くものである。
-
インフラストラクチャ脆弱性スキャナーのCheckovがコンテキストアウェア評価を追加
Bridgecrewは、Checkovの最初の2.xバージョンを発表した。Checkovは、Infrastructure as Code(IaC)用のオープンソーススキャナーである。2.0リリースには、再設計されたバックエンドが含まれており、グラフベースになっているため、マルチリソースクエリをより適切に処理できる。250近くの新しいポリシーが追加され、カバレッジも増加している。
-
NetflixがAWSの権限とアクセスを管理するConsoleMeをオープンソース化
Netflixは先頃、AWSマルチアカウント管理サービスであるConsoleMeとそのCLIユーティリティであるWeepをオープンソース化した。これらのツールは、組織のすべてのAWSアカウントにわたるアクセス許可管理のための中央コントロールプレーンを提供し、最小の権限の原則を実装するのに役立つ。
-
HashiCorpがHCP Vault on AWSの一般向け提供を発表
最近、HashiCorpは、HashiCorpクラウドプラットフォーム(HCP)でのAWS環境向けのフルマネージドVaultサービスの一般向け提供を発表した。Vaultを使用すると、顧客は秘密管理および暗号化機能を備えたSaaSサービスを活用できる。
-
GitHubはトークンフォーマットを変更して、識別性、シークレットスキャン、エントロピーを改善
GitHubは最近、すべてのトークンについて新しいフォーマットに移行した。トークンには、パーソナルアクセストークン、OAuthアクセストークン、User-to-ServerトークンとServer-to-Serverトークン、リフレッシュトークンがある。GitHubのエンジニアであるHeather Harvey氏の説明によると、新しいフォーマットは、リポジトリでシークレットをスキャンする場合などに、トークンをより簡単に識別できるようにし、エントロピーを高めることを目的としている。
-
AWSとCloudflareがファイアウォールにボット管理機能を追加
AWSとCloudflareの両方が、それぞれのファイアウォール製品内に新しいボット軽減機能をリリースした。どちらのリリースも、望まないボットトラフィックがアプリケーションに到達するのを防ぐための追加機能を提供する。
-
RustがAndroid OSセキュリティのための新しい基盤を提供
GoogleはAndroid OSのメモリバグを防止するためにRustを使用する。これは、セキュリティ脆弱性に関���る最も頻度の高い原因の1つである。この方向への第一歩として、AndroidオープンソースプロジェクトはOS開発言語としてRustをサポートするようになった。
-
Intel CPUのマイクロコードを変更可能な2つの未公開インストラクションが発見された
セキュリティ研究者のMark Ermolov、Dmitry Sklyarov、Maxim Goryachy3氏が、CPUマイクロコードの修正に使用可能な、文書化されていない2つのx86インストラクションを発見した。これらのインストラクションは、ただし、CPUがデバッグモードで動作している場合にのみ実行可能なので、簡単に悪用できるものではない。
-
Cloudflareが新しいWebアプリケーションファイアウォール(WAF)を発表
Cloudflareは先頃、新しいWebアプリケーションファイアウォール(WAF)を紹介した。最新のエンジンはRustで記述され、より優れたパフォーマンスと他のCloudflare製品との統合が提供されている。
-
GitLab Protocol Fuzzer CEがオープンソースに
GitLabは、13.4リリースで導入されたCore Prototol Fuzz Testingエンジンを、オープンソースとして公開した。ファズテスト(Fuzz Tesiting)とは、ランダムに生成された入力をアプリにわたすことで、ビジネスロジック内にあるセキュリティ上の問題や欠陥をより効率的に見つけ出すことを目的とするものだ。Principal Product ManagerのSam Kerr氏に詳しく聞いた。
-
Cloudflare、ディジタルスキマなどオンラインの脅威からEコマースを保護するサービスを発表
CloudflareがPage Shieldという新サービスを発表した。Page Shieldは、Magecartのようなサプライチェーンおよびクライアントサイド攻撃からWebサイトのユーザ情報を保護する、クライアントサイドのセキュリティサービスである。CSPやSRIなどと同じく、これらの攻撃に対する防御手段のひとつとなるものだ。
-
IBMの将来的な暗号化テクノロジの柱
先日のウェビナでIBMは、機密暗号化、量子安全暗号化、完全準同型暗号化など、同社が開発を手掛ける暗号化技術に関する最新情報を取りまとめて報告した。
-
.NETニュース総まとめ - 2021年5月3日の週
先週は、新しいVisual Studio CodeリリースとMicrosoftが主催する仮想イベントPureVirtual C++が特徴的であった。InfoQは、2021年5月3日の週から、この件と.NETエコシステムのいくつかの小さな出来事を調査した。
-
Linux Foundation Sigstoreがコード署名の暗号化を目指す
Linux Foundationの支援を受けて、Sigstoreはソフトウェアサプライチェーンをより安全にするために、オープンソースプロジェクトによる暗号化署名の採用を促進する非営利サービスを提供することを目指している。
-
Google CloudがHealthcare Consent Management APIを一般利用向けにリリース
Google Cloudは最近、Healthcare Consent Management APIを一般利用向けにリリースすることを発表した。これは、ヘルスケアアプリケーション開発者と臨床研究者にヘルスデータの使用に関する個人の同意を管理するシンプルな方法を提供するためのものである。Healthcare Consent Management APIは、Google Cloud Platform(GCP)で提供されるCloud Healthcare APIの一部である。