InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Production Identity FrameworkのSPIREがCNCFインキュベーターに
Cloud Native Computing Foundationは、インキュベーションレベルのプロジェクトとしてSPIFFEとSPIREを受け入れた。SPIFFEは、プラットフォームに依存しない暗号化IDを使用してソフトウェアサービスを認証するための標準を定義する。SPIREは、本番環境に対応したSPIFFE APIの実装である。
-
webhint、Web開発者にベストプラクティスを提供
新しいMicrosoft Edge開発者ツールのプロダクトマネージャRachel Simone Weil氏は先日、OpenJS worldで講演を行い、webhintがWeb開発者のベストプラクティス実装をいかにサポートするのか解説した。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。
-
ChromeとFirefoxの新しいCOOPとCOEPはセキュリティを高めるクロスオリジンポリシー
Eiji Kitamura氏は先頃、Googleのweb.dev liveでの講演で、ブラウザがクロスオリジンリソースを処理する方法を規定する新しいCOOPおよびCOEPポリシーを公開した。新しいオープナー (COOP) および組み込み (COEP) ポリシーは、以前は無効にされていた強力な機能 (SharedArrayMemoryBufferなど) を復元しながら、Spectre攻撃から保護するクロスオリジン分離環境をセットアップする。
-
DevSecOpsに共に国防総省が歩んだ道
Cloud Native Computing Foundation(CNCF)は、DevSecOpsに対するDoDのアプローチの新しいケーススタディをリリースした。これは、Kubernetesクラスタやその他のオープンソーステクノロジーを使用してリリースを高速化する方法を示すものである。ほとんどの情報はすでにDoDとそのプレゼンテーションから入手できたが、CNCFは1か所にまとめることを試みた。
-
木曜日にDNSSECルートKSKセレモニー41が行われる
3か月ごとに対面イベントとして行われるDNSSEC署名セレモニーは、木曜日の17:00UTCに物理イベントと仮想イベントを組み合わせたものになる。DNSSECルートネームサーバの次の数か月の署名キーが実行されるが、COVID-19による移動制限のため、すべてのキーホルダが物理的に立ち会うわけではない。セレモニーがどのように適応されたかをご覧ください。
-
jQuery 3.5がリリースされ、XSSの脆弱性が修正された
Timmy Willison氏は最近、jQueryの新しいバージョンをリリースした。jQuery 3.5は、jQueryのHTMLパーサーに見られたクロスサイトスクリプティング(XSS)の脆弱性を修正し��いる。Snykオープンソースセキュリティプラットフォームは、すべてのWebサイトの84%がjQuery XSSの脆弱性の影響を受ける可能性があると推定している。jQuery 3.5では、次のメジャーjQueryリリース(jQuery 4)でポジションセレクターが完全に削除される準備として、ポジションセレクターの:evenおよび:oddに欠落しているメソッドも追加される。
-
Googleがコンフィデンシャルコンピューティングポートフォリオを拡大
最近のブログ投稿で、Googleはコンフィデンシャルコンピューティングポートフォリオの拡大を発表し、Confidential Google Kubernetes Engine(GKE)ノードを追加した。さらに、Googleは、Confidential仮想マシン(VM)を一般利用向けに公開する。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
Elasticsearch 7.7は非同期検索、セキュアなキーストアなどをもたらす
検索企業であるElasticはElasticsearch 7.7.0をリリースした。このリリースでは、非同期検索、パスワードで保護されたキーストア、時間でソートされたクエリのパフォーマンスの向上、2つの新しい集計、およびARM (非x86) プラットフォーム向けのパッケージングの最初のリリースが導入���れている。
-
WebのペリフェラルAPIに関わるセキュリティ懸念
Googleは数年前から、BluetoothおよびUSBを使用した周辺機器接続をWebブラウザに導入しようとしているが、AppleやMozillaなど、他のブラウザベンダからの強い抵抗にあっている。
-
Google、Microsoft、GitHubなど、Open Source Security Foundationに参加
Linux FoundationのサポートするOpen Source Security Foundation(OpenSSF)は、オープンソースソフトウェアのセキュリティを改善するコラボレーション活動のために、業界を越えたフォーラムを確立することを目標とする。創立メンバにはGoogle、Microsoft、GitHub、IBM、Red Hatといった企業が名を連ねている。
-
GremlinがStatus Checksの一般提供を発表
Gremlinは先頃、Status Checksの一般提供を発表した。この新機能は自動的に健全であり、プロダクションでカオス実験を実行する準備ができているシステムを検証する。
-
Microsoft Azure Well-Architected Framework発表
Microsoftは先頃のブログ投稿で、Azure Well-Architected Frameworkを紹介した。これは、優れた設計のソリューションを構築および提供するのに役立つ一連のAzureアーキテクチャのベストプラクティスを顧客に提供する。
-
IBM Fully Homomorphic Encryption ToolkitがLinuxでも利用可能に
macOS、iOS、Android版の提供から数週間を経て、IBM Fully Homomorphic Encryption Toolkitが、UbuntuやFedora、CentOSなどのx86プラットフォーム、さらにはIBM自身のZアーキテクチャ用Ubuntuといった、さまざまなLinuxディストリビューションにもインストールできるようになった。