InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
Twitterのパスワードが漏洩した可能性があり、過去最大のデータ漏洩の1つになる可能性がある
5月3日、Twitterはユーザのパスワードが平文で保存されていたバグを明らかにし、修正したことを発表した。影響のあるユーザの数についての情報は公開されておらず、すべてのユーザに対してパスワード変更が推奨されている。すべてのユーザが実際に情報漏洩していた場合、これは歴史上最大の情報漏洩の1つとなる。
-
Amazonが新しいクラウドセキュリティサービスであるAWS Firewall Managerを開始
Amazonは、AWS Firewall Managerと呼ばれる新しいサービスを開始し、AWSの顧客に複数のアカウントに対してAWS Web Application Firewallルールを一元的に設定する方法を提供する。AWS Firewall Managerは、セキュリティとコンプライアンスのためにAmazonが最近開始したいくつかのサービスの一部である。
-
Amazonが認証情報を安全に格納、配布、ローテーションするためのAWS Secrets Managerを提供
AmazonはAWS Secrets Managerの提供開始を発表した。これにより、顧客がAPIやAWS Command Line Interface(CLI)を使用してシークレットを簡単に格納および取得できるようになる。さらに、顧客は、組み込み機能やカスタムのラムダ関数を使用して資格情報をローテーションできる。AWS Secrets Managerを使用すると、分散サービスと分散アプリケーションのシークレット管理を一元化できる。
-
IntelがマルウェアスキャンにGPUの使用を開始
Intelは、GPUを使用してメモリをスキャンしてマルウェアを検出する一連のシリコンベースの機能セットである新しいThread Detection Technology (TDT)を発表した。これにより、CPUをそのタスクから解放し、SpecterとMeltdownから防御する上での影響を緩和する。
-
Googleが新たなクラウドセキュリティツールを導入、DDOS防御、透過性、有用性が向上
Googleは先頃、Google Cloud Platform(GCP)を対象として、クラウドに焦点を当てたセキュリティ強化を新たに導入した。強化された機能には、Cloud Security Command Center (Cloud SCC)、Google Cloud Armor、VPC Service Controlsといった新サービスの他、Gスイート管理者向けの新機能がいくつか含まれている。これらの拡張機能は、クラウドプラットフォームへのGoogleの投資の一部でもある。
-
オブザーバビリティはテストにどう影響するのか
オブザーバビリティ(observability)は現在のシステム状況を明らかにし、ある種のテストを置き換えることができる。低リスクのアプリケーション分野であれば、オブザーバビリティをテストの代役とすることで、継続的デリバリによる迅速なフィードバックと、短時間の変更リリースが可能になる。
-
ChefがInSpec 2.0でクラウドセキュリティの自動化を強化
継続的オートメーションベンダーであるChefは、Chefの無料オープンソースツールの新バージョンであるInSpec 2.0をリリースした。InSpecによって、DevOps・クロスファンクショナルアプリケーションチーム、インフラストラクチャチーム、セキュリティチームがセキュリティルールとコンプライアンスルールをコードで表現できる。そして、ソフトウェア配信のライフサイクル全体を通じてコンプライアンスの問題を評価し、修復できるようになる。
-
構成情報管理SaaSプラットフォームのConfigがプライベートベータを開始
Configは、構成ファイル管理を目的とする、新しいSaaSサービスだ。Bien David氏が2017年に創立した同社は、システムやアプリ、モジュール、環境、サーバインスタンスが使用するコンフィギュレーションの保管とアクセスの簡略化を目標とする。InfoQはConfigを運営するチームに、同サービスが解決する3つの問題について詳しい説明を聞くことにした。
-
GitHubセキュリティアラートが400万以上の脆弱性を検出
昨年10月にリリースされたGitHubのセキュリティアラートは、開発者がRubyやJavaScriptプロジェクトから脆弱性を取り除くために要する時間を大幅に短縮したとGitHubは述べている。
-
SpectreとMeltdownの詳細
以下の内容に関する詳細:Spectre / Meltdownの特徴と潜在的な危険性、クラウド上のVMにクラウドサービスプロバイダがパッチを適用済みであってもなおパッチを当てる必要がある理由、パフォーマンスに悪影響を及ぼす性質と実際のアプリケーションへの影響、脅威モデリングの必要性、アンチウィルスの役割、ハードウェアへの影響、長期的には状況が変わる可能性のあることがら。
-
ビジネスプロセスにおけるブロックチェーンとスマートコントラクト
インターネットポータル経由で何か、例えば車を購入する場合、買い手と売り手のように、お互いに信頼していない2つの当事者が関与するのが普通だ。ポータルは単なるブローカなので、買い手側が商品の届く前に代金を支払うか、あるいは売り手側が代金の届く前に商品を送らなければならない。この相互信頼欠如の克服にブロックチェーンが利用できる、とBernd Rücker氏は主張する。
-
IntelがSpectreとMeltdown修正による0〜21パーセントのパフォーマンス低下を公表
Microsoft、Red Hat、Intelの3社は、MeltdownとSpectreのマイグレーションがシステムに与える、パフォーマンス上の影響に関する評価結果を発表した。
-
Redpoint GamesがNPMパッケージ署名ツールをローンチ
Redpointは、NPMパッケージへの署名とその検証を行なうツールであるpkgsignをローンチした。NPMレジストリにアップロードおよびダウンロードするパッケージの信頼性を保証することによる、セキュリティの向上がその目的だ。
-
セキュリティとARMサポート改良に重点を置いたXen Hypervisor 4.10
Xenプロジェクトはハイパーバイザのバージョン4.10をリリースした。x86用アーキテクチャが改良され、ARMプロセッサハードウェアのアップデートがサポートされた他、スケジューラとユーザーインターフェイスが変更されている。
-
直近のNpmインシデントによりセキュリティ上の脆弱性が発覚
先週、npmレジストリで操作インシデントが発生した。これによって、require-from-stringなどに依存する多くのパッケージが利用できなくなった。このインシデントは解決するのは比較的単純であったが、npmを使用してプロジェクトに悪質なコードを挿入するために悪用された可能性のある主要なセキュリティの脆弱性が明らかになった。