InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
MicrosoftはAzure Confidential ComputingからDCsv2-VMの一般向け提供を発表
最近、MicrosoftはDCsv2シリーズ仮想マシン(VM)の一般向け提供を発表した。これらのVMを使用すると、顧客は使用中にデータを保護するアプリケーションを提供できる。
-
Git 2.29でSHA-256の実験的サポートを導入
最新バージョンのGitでは、ファイルハッシュにSHA-1ではなくSHA-256を実験的に使用できるため、攻撃者が元のリポジトリと区別できないHEADを使用して偽装リポジトリを偽造できるという長年の脆弱性が排除される。
-
CloudflareがAPI Shieldを導入
Cloudflareは先頃、API Shieldを導入した。これは、不正なアクションを実行したりデータを盗み出したりするように設計された攻撃からAPIトラフィックを保護する無料のセキュリティツールである。スキーマ検証は現在クローズドベータ版だが、強力なクライアント証明書ベースのIDはすでに一般的に利用可能である。
-
GitHubコードスキャンはベータ版終了
1年前、GitHubは、Semmle QLクエリ言語を備えたセマンティックコード分析エンジンのメーカーであるSemmleの買収を発表した。数か月のベータ版を経て、GitHubは現在、すべてのパブリックリポジトリとプライベートリポジトリで新しいCodeQLベースのコードスキャン機能が利用可能になったことを発表している。
-
BridgecrewがState of Open Source Terraform Security Reportを発表
クラウドセキュリティを体系化する開発者ファーストのプラットフォームであるBridgecrewは、最近、State of Open Source Terraform Securityレポートを公開した。同社は、オープンソースのInfrastructure-as-Code(IaC)静的分析ツールであるCheckovを利用した。重要な発見の1つは、AWSリソースのプロビジョニングに使用されるモジュールが誤って構成されている可能性が高いということである。
-
Production Identity FrameworkのSPIREがCNCFインキュベーターに
Cloud Native Computing Foundationは、インキュベーションレベルのプロジェクトとしてSPIFFEとSPIREを受け入れた。SPIFFEは、プラットフォームに依存しない暗号化IDを使用してソフトウェアサービスを認証するための標準を定義する。SPIREは、本番環境に対応したSPIFFE APIの実装である。
-
webhint、Web開発者にベストプラクティスを提供
新しいMicrosoft Edge開発者ツールのプロダクトマネージャRachel Simone Weil氏は先日、OpenJS worldで講演を行い、webhintがWeb開発者のベストプラクティス実装をいかにサポートするのか解説した。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。
-
ChromeとFirefoxの新しいCOOPとCOEPはセキュリティを高めるクロスオリジンポリシー
Eiji Kitamura氏は先頃、Googleのweb.dev liveでの講演で、ブラウザがクロスオリジンリソースを処理する方法を規定する新しいCOOPおよびCOEPポリシーを公開した。新しいオープナー (COOP) および組み込み (COEP) ポリシーは、以前は無効にされていた強力な機能 (SharedArrayMemoryBufferなど) を復元しながら、Spectre攻撃から保護するクロスオリジン分離環境をセットアップする。
-
DevSecOpsに共に国防総省が歩んだ道
Cloud Native Computing Foundation(CNCF)は、DevSecOpsに対するDoDのアプローチの新しいケーススタディをリリースした。これは、Kubernetesクラスタやその他のオープンソーステクノロジーを使用してリリースを高速化する方法を示すものである。ほとんどの情報はすでにDoDとそのプレゼンテーションから入手できたが、CNCFは1か所にまとめることを試みた。
-
木曜日にDNSSECルートKSKセレモニー41が行われる
3か月ごとに対面イベントとして行われるDNSSEC署名セレモニーは、木曜日の17:00UTCに物理イベントと仮想イベントを組み合わせたものになる。DNSSECルートネームサーバの次の数か月の署名キーが実行されるが、COVID-19による移動制限のため、すべてのキーホルダが物理的に立ち会うわけではない。セレモニーがどのように適応されたかをご覧ください。
-
jQuery 3.5がリリースされ、XSSの脆弱性が修正された
Timmy Willison氏は最近、jQueryの新しいバージョンをリリースした。jQuery 3.5は、jQueryのHTMLパーサーに見られたクロスサイトスクリプティング(XSS)の脆弱性を修正している。Snykオープンソースセキュリティプラットフォームは、すべてのWebサイトの84%がjQuery XSSの脆弱性の影響を受ける可能性があると推定している。jQuery 3.5では、次のメジャーjQueryリリース(jQuery 4)でポジションセレクターが完全に削除される準備として、ポジションセレクターの:evenおよび:oddに欠落しているメソッドも追加される。
-
Googleがコンフィデンシャルコンピューティングポートフォリオを拡大
最近のブログ投稿で、Googleはコンフィデンシャルコンピューティングポートフォリオの拡大を発表し、Confidential Google Kubernetes Engine(GKE)ノードを追加した。さらに、Googleは、Confidential仮想マシン(VM)を一般利用向けに公開する。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
Elasticsearch 7.7は非同期検索、セキュアなキーストアなどをもたらす
検索企業であるElasticはElasticsearch 7.7.0をリリースした。このリリースでは、非同期検索、パスワードで保護されたキーストア、時間でソートされたクエリのパフォーマンスの向上、2つの新しい集計、およびARM (非x86) プラットフォーム向けのパッケージングの最初のリリースが導入されている。