InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
Aqua Securityがサプライチェーン攻撃の大幅な増加を報告
Aqua Securityの最近のレポートで、サプライチェーン攻撃の脅威の増加が浮き彫りとなった。レポートによると、サプライチェーン攻撃は2020年から2021年にかけて300%増加した。また、ソフトウェア開発環境全体のセキュリティレベルは低いままであった。GoogleとCloud Native Computing Foundation(CNCF)は最近、サプライチェーンのセキュリティを向上させるためのアプローチを詳述した論文を発表した。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
-
クラウドプロバイダがランサムウェア軽減戦略を公開
過去数週間で、AWS、Azure、Google Cloudから、クラウドでのランサムウェア軽減手法に関する提案の記事とドキュメントの投稿があった。主な保護方法とリカバリ準備のアクションに焦点を当てている。
-
Googleが認証局サービスを一般提供としてリリース
Google Cloud認証局サービス(CAS)は、自動でプライベート証明書を管理およびデプロイし、公開鍵インフラストラクチャ(PKI)を管理するためのスケーラブルなサービスだ。先月、Googleはこのサービスの一般提供(GA)を発表した。
-
AWS Key Management Serviceにマルチリ���ジョンキーを導入
AWSは先頃、暗号化されたデータをリージョン間で移動できるようにするクライアントサイドアプリケーションのための新機能であるKMSマルチリージョンキーが利用可能だと発表した。
-
Slackが新しいロール管理アーキテクチャを詳しく説明
Slackは最近、新しい役割管理システムのソフトウェアアーキテクチャの詳細な説明を投稿した。Slackは、以前よりも柔軟なシステムを構築する必要があった。Slackは、カスタムコンテナ化されたGoベースのパーミッションサービスを開発した。これは、gRPCを介して既存のシステムと統合される。その結果、顧客の管理者は、ユーザが実行できることをきめ細かく制御できるようになった。
-
OpenJDKの論じるSecurityManager以降のプラクティス
JavaのSecurityManagerを非推奨とするJEP-411の導入を受けて、この変更による影響と予想される結果、およびJava 17(長期サポート(LTS)リリース)の早期リリースビルドでの実装に関する議論に、いくつかのプロジェクトが意見を述べている。特にOracleは技術論文"Security and Sandboxing Post SecurityManager"を発表している。
-
OpenJDKはSecurityManagerの非推奨を提案
OpenJDKプロジェクトは、SecurityManagerを非推奨にする手段としてJEP-411を提案した。承認された場合、これは複数年にわたるプロセスの最初のステップになる。このプロセスは、OpenJDK Quality Outreach Campaignが影響を受けるプロジェクトを、削除される前に代替案に導くものである。
-
HashiCorpがHCP Vault on AWSの一般向け提供を発表
最近、HashiCorpは、HashiCorpクラウドプラットフォーム(HCP)でのAWS環境向けのフルマネージドVaultサービスの一般向け提供を発表した。Vaultを使用すると、顧客は秘密管理および暗号化機能を備えたSaaSサービスを活用できる。
-
GitLab Protocol Fuzzer CEがオープンソースに
GitLabは、13.4リリースで導入されたCore Prototol Fuzz Testingエンジンを、オープンソースとして公開した。ファズテスト(Fuzz Tesiting)とは、ランダムに生成された入力をアプリにわたすことで、ビジネスロジック内にあるセキュリティ上の問題や欠陥をより効率的に見つけ出すことを目的とするものだ。Principal Product ManagerのSam Kerr氏に詳しく聞いた。
-
Linux Foundation Sigstoreがコード署名の暗号化を目指す
Linux Foundationの支援を受けて、Sigstoreはソフトウェアサプライチェーンをより安全にするために、オープンソースプロジェクトによる暗号化署名の採用を促進する非営利サービスを提供することを目指している。
-
GoogleがTsunami Security Scannerの機能を拡張
昨年オープンソースとなったGoogleのTsunamiセキュリティスキャナーは重要なアップデートを行った。アップデートとして、検出機能を拡張し、Webアプリケーションのフィンガープリントに対するサポート追加などを行った。
-
攻撃側と防御側の相違
Kenna SecurityとCyentiaは、18,000を超えるCVEを分析して、脆弱性が既知となり、悪用され、パッチが適用可能となり、そして、パッチが適用されるまでのパスを特定しました。この結果は、ほとんどの問題で攻撃者が優位に立っていることを示している。