InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ChromeとFirefoxの新しいCOOPとCOEPはセキュリティを高めるクロスオリジンポリシー
Eiji Kitamura氏は先頃、Googleのweb.dev liveでの講演で、ブラウザがクロスオリジンリソースを処理する方法を規定する新しいCOOPおよびCOEPポリシーを公開した。新しいオープナー (COOP) および組み込み (COEP) ポリシーは、以前は無効にされていた強力な機能 (SharedArrayMemoryBufferなど) を復元しながら、Spectre攻撃から保護するクロスオリジン分離環境をセットアップする。
-
DevSecOpsに共に国防総省が歩んだ道
Cloud Native Computing Foundation(CNCF)は、DevSecOpsに対するDoDのアプローチの新しいケーススタディをリリースした。これは、Kubernetesクラスタやその他のオープンソーステクノロジーを使用してリリースを高速化する方法を示すものである。ほとんどの情報はすでにDoDとそのプレゼンテーションから入手できたが、CNCFは1か所にまとめることを試みた。
-
木曜日にDNSSECルートKSKセレモニー41が行われる
3か月ごとに対面イベントとして行われるDNSSEC署名セレモニーは、木曜日の17:00UTCに物理イベントと仮想イベントを組み合わせたものになる。DNSSECルートネームサーバの次の数か月の署名キーが実行されるが、COVID-19による移動制限のため、すべてのキーホルダが物理的に立ち会うわけではない。セレモニーがどのように適応されたかをご覧ください。
-
jQuery 3.5がリリースされ、XSSの脆弱性が修正された
Timmy Willison氏は最近、jQueryの新しいバージョンをリリースした。jQuery 3.5は、jQueryのHTMLパーサーに見られたクロスサイトスクリプティング(XSS)の脆弱性を修正している。Snykオープンソースセキュリティプラットフォームは、すべてのWebサイトの84%がjQuery XSSの脆弱性の影響を受ける可能性があると推定している。jQuery 3.5では、次のメジャーjQueryリリース(jQuery 4)でポジションセレクターが完全に削除される準備として、ポジションセレクターの:evenおよび:oddに欠落しているメソッドも追加される。
-
Googleがコンフィデンシャルコンピューティングポートフォリオを拡大
最近のブログ投稿で、Googleはコンフィデンシャルコンピューティングポートフォリオの拡大を発表し、Confidential Google Kubernetes Engine(GKE)ノードを追加した。さらに、Googleは、Confidential仮想マシン(VM)を一般利用向けに公開する。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
Elasticsearch 7.7は非同期検索、セキュアなキーストアなどをもたらす
検索企業であるElasticはElasticsearch 7.7.0をリリースした。このリリースでは、非同期検索、パスワードで保護されたキーストア、時間でソートされたクエリのパフォーマンスの向上、2つの新しい集計、およびARM (非x86) プラットフォーム向けのパッケージングの最初のリリースが導入されている。
-
WebのペリフェラルAPIに関わるセキュリティ懸念
Googleは数年前から、BluetoothおよびUSBを使用した周辺機器接続をWebブラウザに導入しようとしているが、AppleやMozillaなど、他のブラウザベンダからの強い抵抗にあっている。
-
Google、Microsoft、GitHubなど、Open Source Security Foundationに参加
Linux FoundationのサポートするOpen Source Security Foundation(OpenSSF)は、オープンソースソフトウェアのセキュリティを改善するコラボレーション活動のために、業界を越えたフォーラムを確立することを目標とする。創立メンバにはGoogle、Microsoft、GitHub、IBM、Red Hatといった企業が名を連ねている。
-
GremlinがStatus Checksの一般提供を発表
Gremlinは先頃、Status Checksの一般提供を発表した。この新機能は自動的に健全であり、プロダクションでカオス実験を実行する準備ができているシステムを検証する。
-
Microsoft Azure Well-Architected Framework発表
Microsoftは先頃のブログ投稿で、Azure Well-Architected Frameworkを紹介した。これは、優れた設計のソリューションを構築および提供するのに役立つ一連のAzureアーキテクチャのベストプラクティスを顧客に提供する。
-
IBM Fully Homomorphic Encryption ToolkitがLinuxでも利用可能に
macOS、iOS、Android版の提供から数週間を経て、IBM Fully Homomorphic Encryption Toolkitが、UbuntuやFedora、CentOSなどのx86プラットフォーム、さらにはIBM自身のZアーキテクチャ用Ubuntuといった、さまざまなLinuxディストリビューションにもインストールできるようになった。
-
Google、クラウドプラットフォーム用のConfidential VMをベータ版ローンチ
先日のブログ記事でGoogleは、新タイプの仮想マシンであるConfidential VMを発表した。データの保管中だけでなく、メモリにある間も暗号化されていることを保証する、いわゆるコンフィデンシャルコンピューティングに関わる企業での作業に使用するための仮想マシンだ。
-
脆弱性スキャナTrivyがDockerおよびHarbour内の統合オプションとして利用可能に
Aqua Securityは、オープンソースの脆弱性スキャナであるTrivyが、多くのプラットフォームで統合オプションとして利用できるようになったことを発表した。Trivyは、オペレーティングシステム内の脆弱性と、多くの一般的なアプリケーションの依存関係をスキャンできる。
-
AWSが新しいセキュリティサービスの一般提供を発表:Amazon Detective
最近、Amazon はAmazon Detectiveの一般提供を発表した。AWSのこの新しいセキュリティサービスを使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できる。