InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ポスト量子暗号におけるCloudflare CIRCLの実験
CloudflareはCIRCL(Cloudflare Interoperable、Reusable Cryptographic Library)をオープンソース化した。CIRCLはポスト量子(PQ)、楕円曲線暗号、素数グループのハッシュのためのアルゴリズムのコレクションである。
-
W3CとFIDO AllianceはセキュアでパスワードなしログインのWeb標準であるWebAuthnを最終化した
World Wide Web Consortium (W3C)とFast IDentity Online (FIDO) Allianceは、先日Web Authentication (WebAuthn)仕様を公式なWeb標準として発表した。WebAuthnでは、パスワード単体よりも高いセキュリティのバイオメトリックス、モバイルデバイス、FIDOセキュリティキーを使ってユーザーがログインできる。
-
Google Cloud Schedulerが一般向けに利用可能に
最近のブログで、GoogleはCloud Schedulerを使用してスケジュール通りに安全にHTTPターゲットを起動できるようにしたと発表した。Cloud Schedulerは、あらゆるアプリケーションがバッチ、ビッグデータ、クラウドインフラストラクチャのオペレーションを起動できるフルマネージドのcronジョブサービスである。
-
GitHubがDependabot自動セキュリティPRおよびその他のセキュリティ関連機能を追加
GitHubは、セキュリティ修正を含むアップデートが必要な依存関係のためのPRを作成する機能、より良い脆弱性評価のためのWhiteSourceデータとの統合、依存関係インサイトなど、開発者がコードを保護するための新機能を発表した。
-
Oracle Weblogic Serverにリモートで悪用される可能性のある大きな脆弱性
セキュリティ研究者がOracle Weblogic Server(WLS)に新たにリモートから悪用可能な脆弱性を発見した。CVE-2019-2725はユーザ認証なしでリモートから悪用される可能性があり、全体のCVSSスコアは10のうち9.3であり、重大な脆弱性となる。Oracleはこの問題の影響を受けるサーバのバージョンが10.3.6.0と12.1.3.0であることを記したセキュリティ警告を発表した。
-
Ghidra - Java 11上で動作するNSAのリバースエンジニアリングツール
Ghidraは、アプリケーションセキュリティエンジニアによるアプリケーションフロー解析を支援することを目的として、、Javaで記述されたリバースエンジニアリングツールだ。多数のシステムアーキテクチャにおいて、逆コンパイルと分析の作業を自動化する。
-
分散型チームで高品質なプロダクトを開発する
Intermediaでは、製品とサービスの品質を保証するために、すべての分散型チームが共通のテスト環境と運用準備(pre-production)環境を使用している。同社プロダクトマネージャのLilla Gorbachik氏は、European Women in Techでの講演で、完成度の高いテストプロセスを持つこと、リスクに取り組むこと、そして高品質プロダクトの側面から日々の意思決定を行うことが、高品質のプロダクトを開発する上で重要だ、と述べている。
-
セキュリティをもっとインテリジェントに,MicrosoftがAzure Sentinelをリリース
先日のブログ記事でMicrosoftは,インテリジェントなセキュリティ製品にこれまで以上の投資を行う同社の方針を,Azure Sentinelというセキュリティ情報およびイベント管理(SIEM)プロダクトの形で発表した。SIEMはセキュリティの専門家が,サーバやファイアウォール、ルータ、スイッチなど,さまざまなシステムを対象として,ログからセキュリティイベントを集約することのできるデータストアとして使用するものだ。
-
クロスサイトスクリプティング脆弱性を防止するTrusted Types API
Google Chromeチームは,DOMクロスサイトスクリプティング(XSS)セキュリティ脆弱性の防止を支援するための,試験的なTrusted Types APIを発表した。同社のVulnerability Reward Programによると,DOM XSSは,XSSセキュリティの中で最も一般的なものだ。
-
アジャイルにおける設計とセキュリティ - QCon London Q&Aより
セキュリティ分野の専門家による設計書のレビューを行えば,脆弱性スキャンやセキュリティオートメーションでは検出不可能な,潜在的なセキュリティ問題を見つけることができる。このようなレビューでは,アクセストークンの発行や管理,外部サービスへのデータ転送,信頼できないコードの実行といった重要な部分に集中することが必要だ — AppLandの共同創業者でエンタープライズソフトウェアエンジニアのKevin Gilpin氏は,QCon London 2019年でこのように述べた。
-
MicrosoftがAzure Firewallの新機能を発表:脅威インテリジェンスおよびサービスタグフィルター
最近、MicrosoftはAzure Firewallの2つの新機能を発表した。これは、クラウドネイティブのfirewall-as-a-serviceサービスで、DevOpsアプローチを使用してすべてのトラフィックフローを一元管理することができる。ファイアウォールサービスは、アプリケーション(*.github.comなど)とネットワークレベルのフィルタリングルールの両方をサポートしている。
-
SAPがJava SCAツールのソースを公開
SAPは,Java/Pythonアプリケーションにある既知の脆弱性を,ソフトウェア構成分析を通じて検出するツールをオープンソースとして公開した。
-
ZipSlip,NodeJSのセキュリティ,BBSハッキングについて
今年初め,人気の高いBowerパッケージマネージャのアーカイブ抽出機能に脆弱性が発見され,ユーザのディスクに攻撃者が任意のファイルを書き込めることが明らかになった。後に明らかになったように,この攻撃で使用されているベクタアタックは,BBS初期の時代から知られているものだ。InfoQはTal氏と話す機会を得て,ソフトウェアのセキュリティ,特にNode.jsのセキュリティについて学ぶことができた。
-
AWS IAM(Identity and Access Management)でタグと属性ベースのアクセス制御が可能に
Amazon Web Services(AWS)は先頃、IAMリソース管理の容易化を目的として、IAMのユーザとロールのタグを利用可能にした。さらにこのリリースでは、属性ベースのアクセス制御(ABAC)機能と、AWSリソースとIAMプリンシパルを動的にマッチさせて"大規模運用での権限管理を簡略化"する機能も含まれている。
-
GitHubのPRを自動生成して脆弱性を修正するDependabot
Dependabotは,GitHub Security Advisory APIを活用することで,依存関係のトラッキングを支援し,プログラムのセキュリティを監視し,潜在的な脆弱性を解決するためのPRを自動生成することによって可能な限り簡単かつ確実な除去を実現する。