InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
セーフ・トゥ・フェイルを実践する
セーフ・トゥ・フェイル(safe-to-fail)な試みは、複雑な環境での調査(probe)、把握(sense)、対処(respond)に利用可能だ。その場合には、成功と失敗がどのようなものかを知ること、潜在的な障害に対処するために調査の効果を弱めたり強めたりすること、この2つが必要になる。セーフ・トゥ・フェイルな試みは、リスクや不確実性に対処し、そこから学び、選択肢をオープンに保つために有効である。
-
MicrosoftがAzure Relay Hybrid Connectionsで新たにクロスプラットフォームをサポート
マイクロソフトは先頃、Azure Relay Hybrid ConnectionsサービスがGA(General Availability)に達したことを発表した。WebSocketベースのこのサービスは、現在はWCF Relaysと呼ばれている、既存のAzure Service Bus Relayサービスを補完するものだ。
-
AWS Organizationsが実現する集中型のポリシベースアカウント管理
re:Invent 2016から3ヶ月間のプレビューを経て、Amazon Web Serviceは先頃、AWS Organizationsを一般公開に移行した。新サービスでは、組織単位の階層内で複数のAWSアカウントの集中管理を実現するとともに、きめ細かいアクセス権を持つサービス制御ポリシの添付が可能になっている。さらにAWS Organizationsには、これまで個別であった請求機能の代替としての意味もある。
-
公開されているDockerイメージに対する脆弱性調査の結果がリリースされた
Federacyの研究者が、公開リポジトリ上にあるDockerイメージの脆弱性を分析した報告書を公開した。それによると、イメージの24%に重大な脆弱性が存在し、Ubuntuベースのものが最も多く、Debianベースが最も少ない。
-
自動受け入れテストに関する実用的ヒント
同値分割、境界値分析、リスクベーステストのようなテスト技術は、何をテストして、いつテストを自動化するかを決めるのに役立つ。InfoQは、様々な種類のテスト、十分によい受け入れテストを書くこと、テストの自動化を決める基準、テスト自動化の適用方法と実行可能な仕様の作成方法について、Adrian Bolboaca氏に話を聞いた。
-
継続的デリバリによるITパフォーマンスの改善
継続的デリバリのもたらす大きなメリットのひとつはリリースのリスク低減である – 包括的な自動テスト(Comprehensive test automation)と継続的インテグレーションとは、ITのパフォーマンスに最も大きな影響を与えるプラクティスだ。継続的デリバリとITパフォーマンスに関する調査から、継続的デリバリのプラクティスの実践はより高いITパフォーマンスにつながるだけでなく、ハイパフォーマによるテンポの向上と高レベルの安定性を実現することが明らかになった。
-
Webには時代遅れで脆弱性のあるJavaScirptライブラリで溢れていることが研究により明らかに
最新の研究により、Alexaの上位75,000件のウェブサイトのうち37%が少なくとも1つの、10%近くが少なくとも2つの脆弱性をもつことがわかった。さらにショッキングなことに、Alexaの上位500件のウェブサイトのうち26%は脆弱性のあるライブラリを使用している。
-
Cloudbleed - Cloudflareプロキシのメモリリーク
Cloudflareプロキシに対するリクエストのごく一部で、無関係なリクエストからパスワードなどの機密情報を含む可能性のあるデータがリークする、バッファオーバーフローのバグが発生した。‘Cloudbleed’と命名されたこの問題を発見したのは、GoogleのProject Zeroに所属する脆弱性研究者のTavis Ormandy氏だ。
-
オブジェクトのデシリアライゼーションフィルタがJava 9からバックポートされる
JEP 290は、オブジェクトをデシリアライズする際に入ってくるデータをフィルタできるようにするものであるが、当初はJava 9を対象としていたがJava 6と7、8にバックポートされる。この機能は処理されているオブジェクトのインプットストリームにおいて入ってくるデータをフィルタするメカニズムを提供する。またしばらく前にApache Commonsと他のライブラリに影響したもののようなデシリアライゼーションの脆弱性を防ぐ手助けができる。
-
Enterprise Ethereum AllianceにMicrosoft、Intel、JP Morganと複数のスタートアップが参加
Microsoftはブログで、新しく結成されたEnterprise Ethereum Allianceに参加すると表明した。このアライアンスのミッションは実世界で運用されている、スマートコントラクトをサポートした唯一のブロックチェーンから学び、その上で開発を行うこと。そして、ビジネスのスピードでこの最も複雑で需要の高いアプリケーションを取り扱うことができるソフトウエアを定義することだ。
-
Apache Rangerがトップレベルのプロジェクトに昇格
Apache Hadoopエコシステムのセキュリティ管理フレームワークであるApache Rangerがトップレベルに昇格した。Rangerは、Apache HBase、Hadoop(HDFSとYARN)、Apache Hive、Apache Kafka、Apache Solrなど、サポート対象のHadoopコンポーネントに適用されるセキュリティポリシーを一元的に定義および管理するためのコンポーネントである。
-
Enterprise Ethereum Allianceがビジョンペーパーを発表
新しく立ち上げられたEnterprise Ethereum Alliance (EEA)が “ユーザーや利害関係者がEnterprise EthereumプロトコルをサポートしたEthereumプロトコルへの進歩を提案し実装し、まとめる”ためのビジョンペーパーを発表した。このペーパーでは、EEAはプラガブルコンセンサス、ガバナンス、相互運用性、Ethereumプロトコルのアップデート、ソースコードの実行、ストレージ、パフォーマンス最適化などの幅広いトピックを扱っている。
-
World Government Summitで“Building the Hyperconnected Future on Blockchains”と題したペーパーが公開に
近頃開催されたWorld Government Summitで、Hexayurt CapitalとConsenSysは“Building the Hyperconnected Future on Blockchains”と題したペーパーを発表した。このペーパーの目的はグローバリゼーション2.0を駆動する次のイノベーションの波のための合意のインターネット(Internet of Agreements,IoA)の戦略を提供することだ。
-
Bitbucket、2要素認証の必須化とIPアドレス制限を導入
AtlassianがBitbucketをより安全にするための新機能を2つ発表した。IPアドレス制限(IPホワイトリスティング)と2要素認証の必須化だ。
-
NISTの指針は生体認証を使用する場合に第二の認証因子を要求する
NISTは、"過去のリビジョンからのかなりの更新"と記された、新しいデジタルアイデンティティガイドラインをリリースした。このガイドラインは容認可能な複数要素認証(MFA)の使用方法について記載している。更に、生体認証を因子の1つとして用いる場合、個人が有する何らかの情報と組み合わせなければならず、パスワードのような個人が知る何らかの情報と組み合わせてはならない。