InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
jQuery 3.5がリリースされ、XSSの脆弱性が修正された
Timmy Willison氏は最近、jQueryの新しいバージョンをリリースした。jQuery 3.5は、jQueryのHTMLパーサーに見られたクロスサイトスクリプティング(XSS)の脆弱性を修正している。Snykオープンソースセキュリティプラットフォームは、すべてのWebサイトの84%がjQuery XSSの脆弱性の影響を受ける可能性があると推定している。jQuery 3.5では、次のメジャーjQueryリリース(jQuery 4)でポジションセレクターが完全に削除される準備として、ポジションセレクターの:evenおよび:oddに欠落しているメソッドも追加される。
-
Googleがコンフィデンシャルコンピューティングポートフォリオを拡大
最近のブログ投稿で、Googleはコンフィデンシャルコンピューティングポートフォリオの拡大を発表し、Confidential Google Kubernetes Engine(GKE)ノードを追加した。さらに、Googleは、Confidential仮想マシン(VM)を一般利用向けに公開する。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
Elasticsearch 7.7は非同期検索、セキュアなキーストアなどをもたらす
検索企業であるElasticはElasticsearch 7.7.0をリリースした。このリリースでは、非同期検索、パスワードで保護されたキーストア、時間でソートされたクエリのパフォーマンスの向上、2つの新しい集計、およびARM (非x86) プラットフォーム向けのパッケージングの最初のリリースが導入されている。
-
WebのペリフェラルAPIに関わるセキュリティ懸念
Googleは数年前から、BluetoothおよびUSBを使用した周辺機器接続をWebブラウザに導入しようとしているが、AppleやMozillaなど、他のブラウザベンダからの強い抵抗にあっている。
-
Google、Microsoft、GitHubなど、Open Source Security Foundationに参加
Linux FoundationのサポートするOpen Source Security Foundation(OpenSSF)は、オープンソースソフトウェアのセキュリティを改善するコラボレーション活動のために、業界を越えたフォーラムを確立することを目標とする。創立メンバにはGoogle、Microsoft、GitHub、IBM、Red Hatといった企業が名を連ねている。
-
GremlinがStatus Checksの一般提供を発表
Gremlinは先頃、Status Checksの��般提供を発表した。この新機能は自動的に健全であり、プロダクションでカオス実験を実行する準備ができているシステムを検証する。
-
Microsoft Azure Well-Architected Framework発表
Microsoftは先頃のブログ投稿で、Azure Well-Architected Frameworkを紹介した。これは、優れた設計のソリューションを構築および提供するのに役立つ一連のAzureアーキテクチャのベストプラクティスを顧客に提供する。
-
IBM Fully Homomorphic Encryption ToolkitがLinuxでも利用可能に
macOS、iOS、Android版の提供から数週間を経て、IBM Fully Homomorphic Encryption Toolkitが、UbuntuやFedora、CentOSなどのx86プラットフォーム、さらにはIBM自身のZアーキテクチャ用Ubuntuといった、さまざまなLinuxディストリビューションにもインストールできるようになった。
-
Google、クラウドプラットフォーム用のConfidential VMをベータ版ローンチ
先日のブログ記事でGoogleは、新タイプの仮想マシンであるConfidential VMを発表した。データの保管中だけでなく、メモリにある間も暗号化されていることを保証する、いわゆるコンフィデンシャルコンピューティングに関わる企業での作業に使用するための仮想マシンだ。
-
脆弱性スキャナTrivyがDockerおよびHarbour内の統合オプションとして利用可能に
Aqua Securityは、オープンソースの脆弱性スキャナであるTrivyが、多くのプラットフォームで統合オプションとして利用できるようになったことを発表した。Trivyは、オペレーティングシステム内の脆弱性と、多くの一般的なアプリケーションの依存関係をスキャンできる。
-
AWSが新しいセキュリティサービスの一般提供を発表:Amazon Detective
最近、Amazon はAmazon Detectiveの一般提供を発表した。AWSのこの新しいセキュリティサービスを使用すると、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を分析、調査、および迅速に特定できる。
-
Twitterハックは内部作業によるもの
昨日(2020/7/15)、多くの有名人のアカウントから、Bitcoinの半額セールを広告するツイートが多数ポストされた。何が起きたのか、それはなぜか?InfoQが調査した。
-
製品としてのセキュリティ - DevOpsとInfoSecの”協力ゲーム”
情報セキュリティに関する製品戦略の専門家であるKelly Shortridge氏が、セキュリティを製品として扱うべき理由について説明する。”we mindset”とゲーム理論を解析することで、氏は、協力ゲームとしてDevOpsとInfoSecを推進する。
-
AWSオープンソースCloudFormationコンプライアンス分析ツール
AWSは、CloudFormationテンプレートに対してコンプライアンスポリシーを適用するオープンソースのCLIツールであるCloudFormation Guardのプレビューリリースを発表した。 cfn-guardは、ルールを定義するための軽量の宣言型構文を提供する。 リスト、ワイルドカード、正規表現、変数の宣言をサポートし、CloudFormation組み込み関数を使用できる。