InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
NetflixのFIDO、セキュリティインシデントを監視する
Netflixチームがセキュリティイベントを自動分析するオープンソースシステム、FIDOをリリースした。 FIDO Allianceと混同しないように。Netflixのプラットフォームは「Fully Integrated Defense Operation」を略したものだ。このプラットフォームのGithubでは、FIDOを「マルウェアに対して評価、判断、対応することで、インシデントレスポンスプロセスを自動化するのに使うオーケストレーションレイヤ」だと説明している。
-
Spring Security 4.0: WebSocket, Spring Data, テストサポート
Spring SecurityチームがSpring Security 4.0.0をリリースした。いくつかの新機能の他,デフォルトでのセキュリティも強化されている。WebSocket Security,Spring Data統合,テストサポートの改善,新たな(Apacheライセンスの)オープンソースプロジェクトとしてSpring Sessionの導入などが主要なテーマだ。Spring Sessionによって,カスタムバックエンドをプロジェクトのHttpSessionプロバイダとして簡単に開発できるようになる。
-
Gitの高可用性とスケーラビリティを実現するAtlassianのStash Data Center
Atlassianが先頃リリースしたStash Data Centerは,オンプレミスソースコードとGitリポジトリの管理ソリューションであるStashに,高可用性と水平拡張性を加える展開オプションだ。ダウンタイムなしで新たなノードを追加可能とすることで,アクティブ-アクティブなクラスタリングと速やかなスケーラビリティを実現する。
-
Chrome 42でNPAPIと関連プラグイン(Java, Unity, Siliverlight)が無効に
NPAPI Deprecation Guideで概説されているように,今月に設定されていた予定通り先頃リリースされたChrome 42では,NetscapeプラグインAPI(NPAPI)が廃止されている。2013年に最初に発表されたその理由は,NPAPIが“ハングやクラッシュ,セキュリティ問題,コードの複雑さの最も大きな原因になっている”ためだ。
-
LenovoがSuperfishによる脆弱性問題に対応
Lenovoは,同社のコンピュータにSuperfishソフトウェアをプリロードしていたことへの批判を受けて,問題のツールを除去する方法のアドバイスを発表した。しかし,何が問題なのか,そもそもなぜプリロードされていたのか?InfoQはそれを調査した。一方ではMicrosoftが,Superfishとそのルート証明書を削除するための,Microsoft Defender定義の配布を開始している。
-
Amazon CloudWatchがJSONログとAWS CloudTrailとの統合をサポート
AWS CloudTrail Processing Library(CPL)のリリースから間を置かずに,Amazon Web Service(AWS)は,さらにAWS CloudTrailとAmazon CloudWatch Logsを統合した。これによって"CloudWatchから,あるいはCloudTrailが捕捉した特定のAPIアクティビティをトリガとした",警告と通知の発行が可能になる。さらに,これまでは暗黙的な機能であったJSON形式のログ監視のサポートも,公式にリリースされた。
-
TwitterがDigitsとDigits Login for Webを公開
TwitterがDigits Login for Webを公式にリリースした。SMSベースのログインシステムを,Digitsを使ったモバイルアプリサイトに拡張する,Digitsの最新インタラクションだ。
-
モバイルセキュリティとチームのコラボレーションを両立させるには
モバイルデバイスには,多くの場合,個人データと企業データの両方が保存されている。このようなデバイスがインターネット„常時接続“状態でクラウドサービスを利用する場合,セキュリティ違反のリスクが高くなる,とJeff Crume氏は言う。ドイツのミュンヘンで開催されたOOP 2015カンファレンスで氏は,モバイルデバイスのセキュリティについて講演した。モバイルのセキュリティ面での脅威とセキュリティポリシ遵守の促進,効率的で効果的,かつセキュアなコラボレーションへのモバイルデバイスの活用,企業全体へのセキュリティ展開を題とした,氏へのインタビューを紹介する。
-
"アンヘッジド・コールオプション"はバッドコードに対するメタファとして適当か
バッドコードと技術的負債に関するブログ記事で,Steve Freeman氏は,Chris Matt氏がバッドコードを表す"ヘッジされない(unhedged)コールオプション"というメタファを思い付いた経緯について説明した。この記事が今,RedditとHacker Newsで激しく議論されている。InfoQでは,バッドコードとコードの臭い(code smells)に対するメタファの使用,低品質コードのトレードオフとコスト,コード品質に対する責任などについて,両氏にインタビューした。
-
Java EE 8 セキュリティJSRのクラウド対応
JavaコミュニティプロセスがJSR 375の詳細を発表した。JSR 375は、クラウド環境のセキュリティを実装する改善を含むJava EE セキュリティAPIを再設計したものだ。
-
AmazonがAWS Key Management Serviceをリリース
Amazonが自社のre:invent 2014ショーでAWS Key Management Service(KMS)をローンチした。“データ暗号化で使用する暗号化キーの生成と管理を容易にするとともに,ハードウェアセキュリティモジュール(HSM)を使用してキーのセキュリティを保護するマネージドサービス”である。ローンチ時点では,EBS, S3, Redshiftがサポート対象だったが,11月下旬にElastic Transcoderのサポートが追加されている。
-
NetflixがMessage Security Layerプロトコルをオープンソースでリリース
Netflixは,自ら"セキュリティ通信の現代的解釈"と称する,Message Security Layerプロトコル(MSL)のリリースを発表した。プロジェクトによるJavaとJavaScriptの実装が,Apache 2.0ライセンスの下でGitHubに公開されている。
-
Amazon CloudWatchがログ監視とストレージを追加
Amazon CloudWatchは最近、アプリケーション、OS、カスタムログのためのログファイルの監視とストレージを追加した。また、Windows Server向けに幅広いログのサポートを拡張した。
-
コードの品質のためにアジャイルとウォーターフォールを組み合わせる
2014年のCAST Research on Application Software Health (CRASH)のレポートは、アジャイルとウォーターフォールを混ぜた手法で開発した企業向けソフトウエアはどちらか一方の手法だけで開発されたものよりも強靭で安全であると報告している。InfoQはBill Curtis氏に今回の調査について、また構造的品質要因について、アジャイルとウォーターフォールを混ぜることについて話を聞いた。
-
Firebaseがメジャーアップデートで多数の認証トークンを提供
Firebaseコア開発チームは今週,セッションの自動永続化やSecurity Rule用のリッチな認証トークンなどを含む,ユーザ認証のメジャーアップデートを発表した。