InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
Chromiumがサードパーティ製Rustライブラリの使用を許可し、安全性とセキュリティの向上を図る
ChromiumプロジェクトはビルドシステムにRustツールチェーンを追加し、Rustで書かれたサードパーティライブラリの統合を可能にすることで、セキュリティや安全性の向上、開発スピードの向上を目指している。
-
CloudNativeSecurityCon 2023にて ~ eBPFを活用した不審な動作の特定
ワシントン州シアトルで開催されたCloudNativeSecrityCon2023で、AWSのエンジニアであるJeremy Cowan氏とWasiq Muhammad氏が、eBPFによる疑わしい行動の特定やそのユースケース、そしてAWSがそれを使ってどのように脅威検出と保護をしているかを発表した。
-
Google、脆弱性スキャンツールをオープンソースで公開
Googleは最近、Open Source Vulnerability (OSV) データベースのオープンソースフロントエンドインターフェイスである「OSV-Scanner」を公開した。
-
Cockroach Labs 2022クラウドレポート:AMDがIntelの性能を上回る
Cockroach Labsは最近、一般的なOLTP処理に対するAWS、Microsoft Azure、Google Cloudのパフォーマンスを評価する年次クラウドレポートをリリースした。これまでとは異なり、今年のレポートでは総合的なベストプロバイダーを掲示していないが、AMDインスタンスはIntelインスタンスよりも優れていると結論付けている。ARMインスタンスはテストの対象外であった。
-
OpenSSFがFuzz Introspectorをリリースして、C/C++ファズテストのカバレッジを改善
Open Source Security Foundation(OpenSSF)は、ファジングのカバレッジを改善するツールをリリースした。このツールは、開発者がアクションに移すことができる分析結果を提供し、カバレッジブロッカー(カバレッジを阻害するもの)の特定を支援する。
-
GitHubがそのサプライチェーンセキュリティを拡張し、Rustに適用
GitHubは、そのサプライチェーンセキュリティ機能にRustに対するサポートを追加した。その目的はあなたのプロジェクトとその依存関係に脆弱��がないことを保証することである。GitHubサプライチェーンセキュリティには、アドバイザリのデータベース、依存関係グラフアナライザー、Dependabotアラートとセキュリティ更新が含まれている。
-
AuguryはAppleシリコンに影響を及ぼす新たなマイクロアーキテクチャ攻撃
イリノイ大学アーバナシャンペーン校、ワシントン大学、テルアビブ大学の研究者が、Auguryと呼ばれる攻撃について説明した。これはA14ファミリーとM1ファミリーを含む、Appleの最近のプロセッサで保存されているデータを漏洩するものである。
-
HashiCorp Vaultでサーバーサイド整合性トークンにより結果整合性が向上
HashiCorpはVault 1.10をリリースした。シークレットとID管理プラットフォームに多くの新機能が追加されている。サーバサイド整合性トークンを使うと、パフォーマンススタンバイノードを使うときに結果整合性モデルをより細かく制御できる。新しいオープンソースのログイン多要素認証統合を使って認証を実行できるようになった。データベースプラグインの多重化サポートが追加され、Vaultエージェントのテレメトリが改善されている。
-
Amazon EC2がNitroTPMとUEFIセキュアブートをサポート
AWSは最近、UEFIセキュアブートとNitroTPMの一般向け提供を発表した。NitroTPMは、AWS Nitroシステムをベースとした、EC2インスタンス向けの仮想TPMモジュールである。この新機能は、ブートプロセスの検証、キーの保護、デジタル著作権管理のための設計となっている。
-
GitHub Enterprise Server 3.5ではセキュリティを改善し、GitHubアクションをアップデート
GitHubによると、GitHub Enterprise Serverの最新リリースでは、セキュリティとコンプライアンスに特に重点を置いた多くの新機能が提供されている。そこには、Dependabot統合、セキュリティ機能の向上、GitHubアクションの更新などが含まれている。
-
DockerがDocker ExtensionsとDocker Desktop for Linuxをリリース
DockerCon 2022で、Dockerは、開発者がDocker Desktopを利用し、新しいExtension SDKを使ってその機能を拡張する方法を発表した。さらに、Docker DesktopはついにLinuxでも利用できるようになった。macOSやWindowsで利用できるものと同じエクスペリエンスが提供される。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Metaがどのように匿名化された認証でプライバシーを配慮したクレデンシャルを使ったか
Metaは認証を使って、サービスのエンドポイントを不正使用から保護している。個人を特定できる情報を削除するためにアクセスデータを後処理することは、リソースを大量に消費するアプローチであることがわかった。どのようにMetaが匿名化された認証を活用して、サービスとユーザのプライバシーを同時に保護するかを説明する記事が最近公開された。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。