InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
GatekeeperによるKubernetesポリシの拡張
Kubernetes Policy Controller Gatekeeperの最新リリースでは、CNCFプロジェクトであるOpen Policy Agentをこれまで以上に活用して、ポリシ、制約テンプレートの共有、ポリシ違反に対する監査リソースの宣言を可能にしている。
-
英国政府NCSCによるセキュリティアーキテクチャのアンチパターン
英国政府のNational Cyber Security Centreは先頃、コンピュータシステムを設計する際に避けるべき6つの設計パターンに関する白書を公開した。 この記事では回避すべきアンチパターンと、それらを認知した場合に実行可能なシステム改善策について論じる。
-
OpenJDKのDockerイメージのJDKに脆弱性表記の誤りが判明
OpenJDKの公式Dockerイメージのバージョン番号に誤りがあり、実際には存在しないセキュリティパッチがJREに含まれると示されていることが判明した。この問題はその後、OpenJDKとDebianのコミュニティ間のコラボレーションによって解決されている。
-
W3CとFIDO AllianceはセキュアでパスワードなしログインのWeb標準であるWebAuthnを最��化した
World Wide Web Consortium (W3C)とFast IDentity Online (FIDO) Allianceは、先日Web Authentication (WebAuthn)仕様を公式なWeb標準として発表した。WebAuthnでは、パスワード単体よりも高いセキュリティのバイオメトリックス、モバイルデバイス、FIDOセキュリティキーを使ってユーザーがログインできる。
-
Ghidra - Java 11上で動作するNSAのリバースエンジニアリングツール
Ghidraは、アプリケーションセキュリティエンジニアによるアプリケーションフロー解析を支援することを目的として、、Javaで記述されたリバースエンジニアリングツールだ。多数のシステムアーキテクチャにおいて、逆コンパイルと分析の作業を自動化する。
-
SAPがJava SCAツールのソースを公開
SAPは,Java/Pythonアプリケーションにある既知の脆弱性を,ソフトウェア構成分析を通じて検出するツールをオープンソースとして公開した。
-
PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる
ドイツとベルギーの研究者グループが、PGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。
-
ChefがInSpec 2.0でクラウドセキュリティの自動化を強化
継続的オートメーションベンダーであるChefは、Chefの無料オープンソースツールの新バージョンであるInSpec 2.0をリリースした。InSpecによって、DevOps・クロスファンクショナルアプリケーションチーム、インフラストラクチャチーム、セキュリティチームがセキュリティルールとコンプライアンスルールをコードで表現できる。そして、ソフトウェア配信のライフサイクル全体を通じてコンプライアンスの問題を評価し、修復できるようになる。
-
NISTがアプリケーションコンテナのセキュリティに関するガイドラインを公開
National Institute of Standards and Technology(NIST)は先頃、アプリケーションコンテナテクノロジと、その最も重要なセキュリティ上の問題に関する報告書を公開した。イメージやレジストリ、オーケストレータ、ホストOS、ハードウェアなどの脆弱性領域とその対策を概説した、公開済の2つの報告書を要約したものだ。
-
Java EEのセキュリティAPI(JSR-375)が承認された
JCP Executive Committeeメンバー全員が"賛成"票を投じた。"反対"票はなかった。Intel CorpはJSRで投票しなかった。
-
オープンソースコンポーネントの積極的管理による大幅な改善の実現をSonatypeが報告
企業がソフトウェアアプリケーションにおけるオープンソースコンポーネントの品質を積極的に管理することによって、開発者生産性の28%向上(マニュアルガバナンスの削減による)、開発コスト全体の30%削減、アプリケーション品質の40%向上(アプリケーションの脆弱性の早期解消による製品インシデントの削減)が確認された。
-
AWS Web Application Firewall: セキュアでないWebサイトのための後付けセキュリティ
AWS Web Application FirewallはWebアプリケーションに到達するトラフィックを検査して、疑わしいアクティビティを見つけ出すものだ。正当なリクエストはアプリケーションに渡され、SQLインジェクションのような一般的な攻撃ベクタにマッチするリクエストはブロックされる。アプリケーションを変更することなく、既存のアプリケーションのセキュリティ層として追加することが可能だ。
-
MicrosoftがWindowsおよびLinux上のバグおよびセキュリティリスク検出をプレビュー
マイクロソフトにて、Project SpringfieldがAzureサービスプレビューとして利用可能になった。それはMicrosoft Security Risk Detection(MSRD)と呼ばれており、WindowsおよびLinuxアプリケーションのコードのバグやセキュリティの脆弱性を検出する。
-
Apache Metronがトップレベルプロジェクトに移行
HortonworksとApacheは、リアルタイム・ビッグデータセキュリティ・プラットフォームのMetronの、ASFトップレベルプロジェクトへの移行を発表した。
-
マイクロサービスシステムにおける認証ストラテジ
ソフトウェアのセキュリティは複雑な問題だが,それぞれのサービスがセキュリティを扱わなくてはならないマイクロサービスを採用することで,さらに複雑なものになる – 先日ロンドンで開催されたMicroservices ConferenceでDavid Borsos氏は,マイクロサービスベースのシステムにおける4つのエンドユーザ認証方法を評価した自身の講演の中で,このように説明した。