InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Amazonがマルチアカウント管理サービスAWS Control Towerを一般提供開始
最近、Amazonは、AWS Control Towerの一般提供を発表した。これは、安全で適切に設計された新しいベースラインのマルチアカウントAWS環境をセットアップするプロセスを自動化するサービスである。クラウド管理者は、AWS Control Towerを使用して、複数アカウントのAWS環境に対して一貫したセキュリティとコンプライアンスを設定できる。
-
OpenJDKのDockerイメージのJDKに脆弱性表記の誤りが判明
OpenJDKの公式Dockerイメージのバージョン番号に誤りがあり、実際には存在しないセキュリティパッチがJREに含まれると示されていることが判明した。この問題はその後、OpenJDKとDebianのコミュニティ間のコラボレーションによって解決されている。
-
個人データを共有せずにシングルサインオンを提供する "Sign in with Apple"
先日のWWDC 2019で、Appleは、Sign in with Appleという、独自のシングルサインオン(SS)サービスを発表した。Time誌が"Appleの最も重要な、新しいイノベーション"とするSign in with Appleでは、Eメールアドレスを含む一切の個人ユーザデータを共有しないことが確約されている。
-
リスクベーステストのアジャイルチームへの導入 - ”コーディング以前のテスト”を考える
リスクベースのテストは、デリバリされるストーリの品質を向上し、システムテスタがスクラムチームの一員になることを支援する — Evosoft Hungary Kftの製品エキスパートであるCsaba Szökőcs氏は、TestCon Moscow 2019でこのように述べて、旧来のリスクベースのテストをスプリントの一部として取り入れ、その完了状態を定義することによって、自分たちのアジャイル実践に適合させた方法について説明した。
-
Hyperledger Ariesで実現する、相互運用可能なブロックチェーンIDソリューション
先日のブログ記事で、Hyperledgerプロジェクトは、検証可能なデジタル証明書を作成、転送、保管するための、相互運用可能なID管理ツールキットを提供する、Hyperledger Ariesと呼ばれる13番目のプロジェクトを発表した。このツールキットを使用することで、さまざまな分散元帳テクノロジ(DLT)を使用した、安全かつ相互運用可能な、ピアツーピアメッセージングのサポートが可能になる。
-
「npm install」を安全にする
QCon New York 2019で、Agoricのソフトウェアエンジニア、Kate Sillsが、JavaScriptを使って構成可能なスマートコントラクトコンポーネントを構築する際のセキュリティ上の課題について説明した。npmインストールプロセスにおけるセキュリティ上のリスクに対する解決策として、TC39 JavaScriptの2つの新しい提案、レルムとSecure ECMAScript(SES)が示された。
-
Microsoftの新しいバージョンのAzure Application GatewayとWeb Application Firewallのメリット
最近のブログ記事で、Microsoftは、Azure Application Gateway V2標準SKUとWebアプリケーションファイアウォール(WAF)V2 SKUの一般向けリリースのメリットについて説明している。Microsoftは99.95%のSLAでそれらを完全にサポートし、大幅な改善と機能を提供している。
-
ポスト量子暗号におけるCloudflare CIRCLの実験
CloudflareはCIRCL(Cloudflare Interoperable、Reusable Cryptographic Library)をオープンソース化した。CIRCLはポスト量子(PQ)、楕円曲線暗号、素数グループのハッシュのためのアルゴリズムのコレクションである。
-
W3CとFIDO AllianceはセキュアでパスワードなしログインのWeb標準であるWebAuthnを最終化した
World Wide Web Consortium (W3C)とFast IDentity Online (FIDO) Allianceは、先日Web Authentication (WebAuthn)仕様を公式なWeb標準として発表した。WebAuthnでは、パスワード単体よりも高いセキュリティのバイオメトリックス、モバイルデバイス、FIDOセキュリティキーを使ってユーザーがログインできる。
-
Google Cloud Schedulerが一般向けに利用可能に
最近のブログで、GoogleはCloud Schedulerを使用してスケジュール通りに安全にHTTPターゲットを起動できるようにしたと発表した。Cloud Schedulerは、あらゆるアプリケーションがバッチ、ビッグデータ、クラウドインフラストラクチャのオペレーションを起動できるフルマネージドのcronジョブサービスである。
-
GitHubがDependabot自動セキュリティPRおよびその他のセキュリティ関連機能を追加
GitHubは、セキュリティ修正を含むアップデートが必要な依存関係のためのPRを作成する機能、より良い脆弱性評価のためのWhiteSourceデータとの統合、依存関係インサイトなど、開発者がコードを保護するための新機能を発表した。
-
Oracle Weblogic Serverにリモートで悪用される可能性のある大きな脆弱性
セキュリティ研究者がOracle Weblogic Server(WLS)に新たにリモートから悪用可能な脆弱性を発見した。CVE-2019-2725はユーザ認証なしでリモートから悪用される可能性があり、全体のCVSSスコアは10のうち9.3であり、重大な脆弱性となる。Oracleはこの問題の影響を受けるサーバのバージョンが10.3.6.0と12.1.3.0であることを記したセキュリティ警告を発表した。
-
Ghidra - Java 11上で動作するNSAのリバースエンジニアリングツール
Ghidraは、アプリケーションセキュリティエンジニアによるアプリケーションフロー解析を支援することを目的として、、Javaで記述されたリバースエンジニアリングツールだ。多数のシステムアーキテクチャにおいて、逆コンパイルと分析の作業を自動化する。
-
分散型チームで高品質なプロダクトを開発する
Intermediaでは、製品とサービスの品質を保証するために、すべての分散型チームが共通のテスト環境と運用準備(pre-production)環境を使用している。同社プロダクトマネージャのLilla Gorbachik氏は、European Women in Techでの講演で、完成度の高いテストプロセスを持つこと、リスクに取り組むこと、そして高品質プロダクトの側面から日々の意思決定を行うことが、高品質のプロダクトを開発する上で重要だ、と述べている。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。