InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Jenkinsの開発者が継続的リスクベーステストのMLスタートアップを立ち上げ
Jenkinsの開発者であるKohsuke Kawaguchi氏が、マシンラーニングを使用したリスクベースのテストの識別を行うスタートアップであるLaunchableを創立した。テストに関する思想的リーダであるWayne Ariola氏も、継続的テストアプローチの必要性に関して、ターゲットを明確にしたリスクベースのテストが継続的デリバリに信頼性を与えると述べている。
-
信頼できるハードウェアの構築は可能か - Andrew Huang氏の36C3での講演より
Andrew "bunnie" Huang氏は先頃の36C3で、ブログ記事"Can We Build Trustable Hardware?"の内容をテーマに、"ハードウェアの信頼性問題はオープンソースでは解決できない(Open Source is Insufficient to Solve Trust Problems in Hardware)"と題した講演を行った。講演の中心は、ハードウェアとソフトウェアではTOCTOU(Time-of-Check to Time-of-Use)の意味が大きく違っているため、脅威モデルにおける数々の潜在的攻撃の緩和にはさほど有用ではない、という主張だ。
-
MicrosoftがCrypto32.dllの重大な脆弱性を修正
Microsoftは、ECC(Elliptic Curve Cryptography、楕円曲線暗号)認証に影響する重大な脆弱性を修正するため、Windows 10の各バージョンとWindows Server 2019、2016を対象としたパッチをリリースした。この脆弱性は、攻撃者による証明書チェーンの有効性と署名の検証の偽装を可能にするものであるため、迅速なパッチ適用が必要である。
-
GitLabにおける剤弱性の防止と対処
GitLab public bungプログラムの公式ローンチから1年経った今、その成果と、GitLabとそのユーザのセキュリティ改善に与えた影響の評価をするべき時だ。InfoQでは、GitLabのシニアアプリケーションセキュリティエンジニアであるJames Ritchey氏から、GitLabのセキュリティ戦略、およびバグ報奨金プログラムが組織に貢献するものについて話を聞くことができた。
-
DatadogがKubernetesで大規模クラスタを実現するまで
DatadogのLaurent Bernauille氏がベルリンのVelocityカンファレンスで、自己管理型Kubernetesクラスタを大規模に運用する際の課題について講演した。Bernaille氏が焦点を当てたのは、レジリエントでスケーラブルなコントロールペーンを設定する方法、証明書(certificate)を高頻度でローテーションする理由と方法、Kubernetesで効率的な通信を実現するためにネットワークプラグインを使用することの必要性、といった話題だ。
-
Microsoftはコードのセキュリティを検証するツールApplication Inspectorをリリースした
最近のMicrosoftにのブログ投稿で、開発者がソリューションのセキュリティ脆弱性を検出するオープンソースツールが発表された。ツールはMicrosoft Application Inspectorと呼ばれ、GitHubから入手できる。組織が市場投入までの時間を短縮しようとすると、ソフトウェアの複雑さと、十分に吟味されていないオープンソースコンポーネントの利用により、見落としが生じる可能性がある。Application Inspectorは、サードパーティーライブラリで使われている悪意のあるコードを認識する。
-
172中1つのRSA認証に乱数生成の不備による脆弱性が存在
KeyFactorの研究報告によると、IoTなどネットワークデバイスの多くに、攻撃に対する脆弱性を持った弱いディジタル認証が使用されているという。研究者のJonathan Kilgallin、Ross Vasko両氏が7,500万のRSA認証を分析したところ、172に1つの割合で、鍵に共通因数が存在した。つまりそれらは、簡単にクラック可能ということだ。
-
CloudFlareがNetwork Time Securityプロトコルのオープンソース実装をリリース
CloudFlareは、同社のNetwork Time Security(NTS)プロトコルの最初のメジャーリリースを発表した。同社が以前リリースした、Network Time Protocol(NTP)とNTSをサポートする無償のタイムサービズであるtime.cloudflare.comがベースとなっている。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
新たに創設されたBytecode Alliance、モジュールの���全使用のためにWebAssemblyナノプロセスを提案
MozillaのLin Clark氏は先頃、Bytecode Alliance設立を発表した。Bytecode Allianceは、ブラウザ内外においてデフォルト状態で安全性の確保されたWebAssemblyエコシステムの成長を実現するための、標準の提案と実装を目的とした、業界的なパートナシップである。サードパーティ製Wasmパッケージ実行時の分離性と安全性を提供する手段として、Bytecode Allianceではナノプロセス(nanoprocess)という概念を導入している。
-
GitHubが脆弱性ワークフローを改善してCVE採番機関に
Semmleの買収に伴って、GitHubは、メンテナや開発者による脆弱性の修正と保護を容易にすることを目的とした改善を数多く公開した。この中に、GitHub UIから直接セキュリティアドバイザリを生成し、CVE番号を割り当てる機能が含まれている。
-
Eclipseが脆弱性評価ツールを提案
Eclipse Foundationでは、既知のセキュリティ問題を持つライブラリの識別を支援する、脆弱性評価ツールを取り入れる提案を評価中である。これによって開発者は、自身の開発中の技術が脆弱なコンポーネントを使うことによってダウンストリームリスクに直面するアプリケーションに対して、開発者を支援することが可能になる。
-
MicrosoftがActive Directoryベースのサービスアクセス制御の一般供用を開始
Microsoftは先頃の声明で、Azure Active Directory(AD)ベースのService Busアクセス制御の一般供用を開始すると発表した。これにより、ユーザIDとRBAC(Role Based Access Control)を組み合わせて、サービスのエンドポイントを認証するオプションが利用可能になる。この目的で使用するRBACロールも同時に導入しており、付与するアクセス許可をきめ細かく制御することができる。
-
GatekeeperによるKubernetesポリシの拡張
Kubernetes Policy Controller Gatekeeperの最新リリースでは、CNCFプロジェクトであるOpen Policy Agentをこれまで以上に活用して、ポリシ、制約テンプレートの共有、ポリシ違反に対する監査リソースの宣言を可能にしている。
-
英国政府NCSCによるセキュリティアーキテクチャのアンチパターン
英国政府のNational Cyber Security Centreは先頃、コンピュータシステムを設計する際に避けるべき6つの設計パターンに関する白書を公開した。 この記事では回避すべきアンチパターンと、それらを認知した場合に実行可能なシステム改善策について論じる。