InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
GitHubが安全性に問題のあるSSH鍵を無効化
GitHubは先頃,漏えいした,あるいは安全でないと判断されたSSHキーの無効化を開始した。この問題を明らかにした調査を行ったのは,システムエンジニアのBen Cartwright-Cox氏である。InfoQは氏に話を聞いた。
-
GoogleがSmart Lock for Passwordを導入
GoogleはI/O 2015で,Google Identity Platformを発表した。識別情報の管理と認証処理,AndroidとiOSとWebアプリケーションを対象とする権限管理を行う,APIとツールのコレクションだ。
-
Red Hat Linuxの重大なバグがHaswellベースのサーバに影響
Red HatベースのLinuxディストリビューションのバージョン6.6.を使用中のユーザと管理者は,できるだけ早く,システムのバージョンアップを計画する必要がある。システムのデッドロックを発生させる,重大なバグがあるからだ。
-
#NoEstimatesを使って価値を提供する
Vasco Duarte氏は#NoEstimatesを学び、予算内で価値を提供するのに役立てる方法を探すのが良い、という。氏は#NoEstimatesについての本を書き、見積もりがなぜうまくいかないのか、#NoEstimatesを使ってどのようにプロジェクトを管理するのかを説明している。
-
NetflixのFIDO、セキュリティインシデントを監視する
Netflixチームがセキュリティイベントを自動分析するオープンソースシステム、FIDOをリリースした。 FIDO Allianceと混同しないように。Netflixのプラットフォームは「Fully Integrated Defense Operation」を略したものだ。このプラットフォームのGithubでは、FIDOを「マルウェアに対して評価、判断、対応することで、インシデントレスポンスプロセスを自動化するのに使うオーケストレーションレイヤ」だと説明している。
-
Spring Security 4.0: WebSocket, Spring Data, テストサポート
Spring SecurityチームがSpring Security 4.0.0をリリースした。いくつかの新機能の他,デフォルトでのセキュリティも強化されている。WebSocket Security,Spring Data統合,テストサポートの改善,新たな(Apacheライセンスの)オープンソースプロジェクトとしてSpring Sessionの導入などが主要なテーマだ。Spring Sessionによって,カスタムバックエンドをプロジェクトのHttpSessionプロバイダとして簡単に開発できるようになる。
-
Gitの高可用性とスケーラビリティを実現するAtlassianのStash Data Center
Atlassianが先頃リリースしたStash Data Centerは,オンプレミスソースコードとGitリポジトリの管理ソリューションであるStashに,高可用性と水平拡張性を加える展開オプションだ。ダウンタイムなしで新たなノードを追加可能とすることで,アクティブ-アクティブなクラスタリングと速やかなスケーラビリティを実現する。
-
Chrome 42でNPAPIと関連プラグイン(Java, Unity, Siliverlight)が無効に
NPAPI Deprecation Guideで概説されているように,今月に設定されていた予定通り先頃リリースされたChrome 42では,NetscapeプラグインAPI(NPAPI)が廃止されている。2013年に最初に発表されたその理由は,NPAPIが“ハングやクラッシュ,セキュリティ問題,コードの複雑さの最も大きな原因になっている”ためだ。
-
LenovoがSuperfishによる脆弱性問題に対応
Lenovoは,同社のコンピュータにSuperfishソフトウェアをプリロードしていたことへの批判を受けて,問題のツールを除去する方法のアドバイスを発表した。しかし,何が問題なのか,そもそもなぜプリロードされていたのか?InfoQはそれを調査した。一方ではMicrosoftが,Superfishとそのルート証明書を削除するための,Microsoft Defender定義の配布を開始している。
-
Amazon CloudWatchがJSONログとAWS CloudTrailとの統合をサポート
AWS CloudTrail Processing Library(CPL)のリリースから間を置かずに,Amazon Web Service(AWS)は,さらにAWS CloudTrailとAmazon CloudWatch Logsを統合した。これによって"CloudWatchから,あるいはCloudTrailが捕捉した特定のAPIアクティビティをトリガとした",警告と通知の発行が可能になる。さらに,これまでは暗黙的な機能であったJSON形式のログ監視のサポートも,公式にリリースされた。
-
TwitterがDigitsとDigits Login for Webを公開
TwitterがDigits Login for Webを公式にリリースした。SMSベースのログインシステムを,Digitsを使ったモバイルアプリサイトに拡張する,Digitsの最新インタラクションだ。
-
モバイルセキュリティとチームのコラボレーションを両立させるには
モバイルデバイスには,多くの場合,個人データと企業データの両方が保存されている。このようなデバイスがインターネット„常時接続“状態でクラウドサービスを利用する場合,セキュリティ違反のリスクが高くなる,とJeff Crume氏は言う。ドイツのミュンヘンで開催されたOOP 2015カンファレンスで氏は,モバイルデバイスのセキュリティについて講演した。モバイルのセキュリティ面での脅威とセキュリティポリシ遵守の促進,効率的で効果的,かつセキュアなコラボレーションへのモバイルデバイスの活用,企業全体へのセキュリティ展開を題とした,氏へのインタビューを紹介する。
-
"アンヘッジド・コールオプション"はバッドコードに対するメタファとして適当か
バッドコードと技術的負債に関するブログ記事で,Steve Freeman氏は,Chris Matt氏がバッドコードを表す"ヘッジされない(unhedged)コールオプション"というメタファを思い付いた経緯について説明した。この記事が今,RedditとHacker Newsで激しく議論されている。InfoQでは,バッドコードとコードの臭い(code smells)に対するメタファの使用,低品質コードのトレードオフとコスト,コード品質に対する責任などについて,両氏にインタビューした。
-
Java EE 8 セキュリティJSRのクラウド対応
JavaコミュニティプロセスがJSR 375の詳細を発表した。JSR 375は、クラウド環境のセキュリティを実装する改善を含むJava EE セキュリティAPIを再設計したものだ。
-
AmazonがAWS Key Management Serviceをリリース
Amazonが自社のre:invent 2014ショーでAWS Key Management Service(KMS)をローンチした。“データ暗号化で使用する暗号化キーの生成と管理を容易にするとともに,ハードウェアセキュリティモジュール(HSM)を使用してキーのセキュリティを保護するマネージドサービス”である。ローンチ時点では,EBS, S3, Redshiftがサポート対象だったが,11月下旬にElastic Transcoderのサポートが追加されている。