InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
HashiCorpがHCP Vaultのパブリックベータ版を発表
最近のブログ投稿で、HashiCorpはクラウドプラットフォーム(HCP)で提供されるHashiCorp Vaultのパブリックベータ版を発表した。Vaultを使用すると、顧客はマネージドクラウドサービスを活用して、シークレットの管理および暗号化機能を使うことができるようになる。
-
12のシスコの脆弱性
セキュリティ研究者は、Cisco Security Managerを悪用する12の脆弱性を特定した。この欠陥には、逆シリアル化、リモートコード実行、および任意のファイルアクセスがある。
-
リモートでの脅威モデリングの促進
ThoughtWorkのJim Gumbley氏は先頃、リモートとオンサイトセッションを促進するテンプレートを使用して、Martinfowler.comで脅威モデリングのガイドを公開した。彼は、ビジネスの利害関係者とともに、各反復内での継続的な脅威モデリングを主張している。Derek Handova氏は、自動化によるセキュリティからの摩擦の除去と、SDLCにおけるセキュリティの焦点の強化についても書いている。
-
GitLabの年次DevOps調査で、新たなトレンドと変化する役割を示す
21か国から3500人を超える開発者によって完了したGitLabのDevOps調査は、開発とリリース、セキュリティ、テストの3つの主要な領域を網羅している。この調査は、リリースサイクルの高速化と品質の向上を示唆しており、最近のDevSecOps領域では、より組織的な微調整が必要だ。InfoQは、GitLabのシニア開発者エバンジェリストであるBrendan O'Leary氏と話す機会を得た。
-
AWSでは、機密コンピューティング用の分離されたEC2環境であるNitro Enclavesが利用可能に
AWSでは最近、Nitro Enclavesが利用できるようになった。これは、機密データを処理するための分離されたEC2環境である。軽量Linux OSがベースのNitro Enclaveは、強化され、保証されており、高度な制約がある仮想マシンである。
-
Production Identity FrameworkのSPIREがCNCFインキュベーターに
Cloud Native Computing Foundationは、インキュベーションレベルのプロジェクトとしてSPIFFEとSPIREを受け入れた。SPIFFEは、プラットフォームに依存しない暗号化IDを使用してソフトウェアサービスを認証するための標準を定義する。SPIREは、本番環境に対応したSPIFFE APIの実装である。
-
Synkが改良された脆弱性優先順位付け機能をリリース
Snykは、セキュリティ脆弱性の優先順位付けを簡略化する、一連の新機能のリリースを発表した。この中には、特定したイシューを評価してスコアを提供する、同社独自のアルゴリズムが含まれている。このアプローチでは、エクスプロイトの完成度(maturity)を考慮し、影響されたコードがアプリケーション実行を通じて到達可能かどうかを分析することが可能である。
-
WebのペリフェラルAPIに関わるセキュリティ懸念
Googleは数年前から、BluetoothおよびUSBを使用した周辺機器接続をWebブラウザに導入しようとしているが、AppleやMozillaなど、他のブラウザベンダからの強い抵抗にあっている。
-
脆弱性スキャナTrivyがDockerおよびHarbour内の統合オプションとして利用可能に
Aqua Securityは、オープンソースの脆弱性スキャナであるTrivyが、多くのプラットフォームで統合オプションとして利用できるようになったことを発表した。Trivyは、オペレーティングシステム内の脆弱性と、多くの一般的なアプリケーションの依存関係をスキャンできる。
-
インタラクティブなDevOpsトレーニングをオンラインで提供するDevOps Dojo
DXC Technologyは先頃、同社のDecOps Dojoをオープンソースとして公開した。これは、DevOpsの技術面と文化面の両方をカバーする、学習モジュールのコレクションだ。それぞれのモジュールはKatacodaプラットフォーム上に構築され、GitHubにホストされている。
-
DevOpsチームによるセキュリティ改善の取り組み
DevOpsチームは開発、テスト、運用をひとつのチームが担当することにより、ソフトウェアの開発速度を改善している。今後数年間は多くのチームが、予測不能な専門家のゲートに検証作業を任せるのではなく、プロセスの一部としてセキュリティを取り入れるようになるだろう。
-
CloudFlareがNetwork Time Securityプロトコルのオープンソース実装をリリース
CloudFlareは、同社のNetwork Time Security(NTS)プロトコルの最初のメジャーリリースを発表した。同社が以前リリースした、Network Time Protocol(NTP)とNTSをサポートする無償のタイムサービズであるtime.cloudflare.comがベースとなっている。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
新たに創設されたBytecode Alliance、モジュールの安全使用のためにWebAssemblyナノプロセスを提案
MozillaのLin Clark氏は先頃、Bytecode Alliance設立を発表した。Bytecode Allianceは、ブラウザ内外においてデフォルト状態で安全性の確保されたWebAssemblyエコシステムの成長を実現するための、標準の提案と実装を目的とした、業界的なパートナシップである。サードパーティ製Wasmパッケージ実行時の分離性と安全性を提供する手段として、Bytecode Allianceではナノプロセス(nanoprocess)という概念を導入している。
-
Eclipseが脆弱性評価ツールを提案
Eclipse Foundationでは、既知のセキュリティ問題を持つライブラリの識別を支援する、脆弱性評価ツールを取り入れる提案を評価中である。これによって開発者は、自身の開発中の技術が脆弱なコンポーネントを使うことによってダウンストリームリスクに直面するアプリケーションに対して、開発者を支援することが可能になる。