InfoQ ホームページ セキュリティ に関するすべてのコンテンツ
-
リスク管理対象としてのソフトウェア開発
ソフトウェア開発はリスクと不確実性の管理を金融手法に見出すべきだろうか? このような疑問が,アジャイルソフトウェア開発の "Last Responsible Moment (可能な限り決定を遅らせる)" という意思決定方法をめぐる議論を通じて浮かび上がってきた。この記事ではソフトウェア開発において,リスク管理と計画に金融的概念を用いることに関する最近の傾向と議論について取り上げている。
-
Ron Monzillo 氏,Java Identity API と JSR 351 を語る
Java Identity API は Java アプリケーションの ID 属性を表現し,操作するためのフレームワークを提供する API である。その基本となる JSR 351 の仕様リーダである Ron Monzillo 氏が,先週の JavaOne 2011 Conference で講演を行った。氏はそこで JSR の提案範囲,現在の状況,そして仕様の将来的計画について論じている。
-
MozillaがJavaをブラックリストに入れることを検討
Mozilla Foundationは公式にブラウザ環境でのJavaを無効化することを検討している。これは、ブラウザにセキュリティ上の弱点を持ち込む要素のトップ3の1つがJavaであることを示す最近の研究結果にもとづくものである。
-
Kernel.orgがセキュリティ侵害から復帰
Kernel.orgのセキュリティ侵害がアナウンスされ、(その後オフラインにされた)以来1ヶ月以上経って、Kernel.orgのwebサイトがオンラインに戻された。
-
Tizen - Intel と Samsung が開発するオープンソースの新モバイル OS
Intel は MeeGo をあきらめて,HTML5 など新たな Web 技術をベースとするモバイル OS の Tizen を新たに開発することで Samsung と手を結んだ。
-
JavaScriptに並列処理機能を追加する、IntelのJavaScript拡張機能が明らかに
並列処理は今やモバイルデバイス上でさえ利用可能だが、JavaScriptの大部分は未だにシーケンシャルである。Intel Labsはマルチコアシステムを有効活用するJavaScript拡張機能に取り組み、Firefoxプラグインをリリースした。
-
Amazon が企業をクラウド利用に誘う新サービスをリリース
Amazon.com は自社クラウドコンピューティングのポートフォリオに3つの新機能を正式に追加した。Direct Connect の導入と Virtual Private Cloud のアップデート,そして Identity and Access Management サービスである。ターゲットとするのは,Amazon Web Service プラットフォーム上でハイブリッドあるいはプライベートクラウドの構築を計画中の組織だ。
-
Webは暗号化されるべきか?
先週、Electronic Frontier Foundation (EFF)は、Torプロジェクトと共に、1000以上のWebサイトへの接続を暗号化することでWebブラウジングのセキュリティを確保してくれるFirefoxの拡張機能、HTTP Everywhere 1.0を正式にリリースした。
-
Microsoftがセキュリティを理由にWebGLを拒否
Microsoftは、WebGLのセキュリティ上の欠陥を分析した2つのレポートを引用して、Google, Mozilla, Opera, Appleによって積極的にサポートされている3Dグラフィック ライブラリを支持しない主な理由だ、と言っている。
-
DMTF の新ワークグループ,クラウド監査標準によってセキュリティ懸念に対処
クラウド採用に対する最大の抑止要因として現在も残るのは,セキュリティに関する懸念である。クラウド監査は,この懸念の緩和に効力を持つものだ。DMTF が設立した Cloud Audit Data Federation Group (CADFWG) は,利用するクラウドのプロバイダを問わず,クラウドベース IT リソースの監査作業実施を後押しするための仕様定義を目指している。
-
GoogleがGoogle APIのOAuth 2.0サポートを発表
本日、GoogleはBearer Tokenを含むOAuth 2.0を試験的にサポートすると発表した。さらにきれいさ、単純さを念頭に置いたOAuth 2.0向けの新しい許諾ページも準備したことを付け加えた。
-
さようなら CardSpace、こんにちは U-Prove!
2011年2月15日、MicrosoftはCardSpaceに関する発表を行った。Windows CardSpace識別サービスのバージョン2をキャンセルし、CardSpaceを廃止する予定。そして、U-Prove識別サービスのCTP(Community Technology Preview)リリース2がすぐに利用できる。これらの発表は、インターネットの「識別問題」を解決するために、10年に及ぶ苦労をしてきたMicrosoftの最近の動きだ。
-
ソフトウェア開発ライフサイクルにおけるセキュリティ
アプリケーションのセキュリティ特性は,ソフトウェア開発プロセスに統合されたものでなければならない。後の段階になってからの侵入テストでは不十分だ。誤りを修正するには遅すぎるし,費用も掛かりすぎる。Microsoft の Steve Lipner 氏は先週,RSA 2011 カンファレンスのアプリケーションセキュリティセミナ で,ソフトウェア開発ライフサイクルにおけるセキュリティについて講演した。
-
HTTPデジタル署名プロトコルとAPIの提案
JBossのチーフアーキテクトであるRESTEasyプロジェクトの指導者であるBill Burke氏は先週、HTTPデジタル署名プロトコルを提案した。"デジタル署名"は設計されてから10年以上経ってにわかに注目を集めている。この背景には複合的アプリケーションの台頭がある。これらのアプリケーションのクライアントとサービスの間で信頼性を確立する必要があるのだ。
-
SSLは自重によってつぶれてしまうのだろうか?
F5 NetworksのLori MacVittie氏は最近2011年1月に行われたアメリカ政府によるNIST SSLデプロイメントガイドラインの採用について分析した。現在すべての商業認証機関は2048bitキーのみを発行しているため、サーバがSSLを処理する能力は大きく影響を受けており、SSLの計算コストは高くないという一般的に信じられていることの説得力はなくなっている。