InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
マイクロサービスとセキュリティ
アプリケーションセキュリティとなると、ばしば後付けで処置しようと試みる。開発ワークフローにテストを加える方法については既に学んでいるが、セキュリティに関しては誰かが来て後で修正してくれるとしばしば決めてかかってしまう。Sam Newman氏はロンドンのMicroservices Conferenceの基調講演において、マイクロサービスの文脈でのセキュリティに関してこう主張した。
-
MozillaがWebサイトセキュリティ分析ツールのObservatoryを提供
MozillaがWebサイトのセキュリティ分析ツールをローンチした。Observatoryという名のこのツールは,ガイダンスを求める開発者やシステム管理者を対象に,セキュリティのベストプラクティスの普及を支援する。
-
StormpathのJava SDK 1.0がリリースされた
今週、Stormpathはユーザ管理と認証のJava SDK バージョン1.0をリリースした。StormpathはWebとモバイルのアプリケーションで認証や認可を実装するために広くAPIを提供している。そこにはオープンソース実装を含んでおり、さまざまな言語やフレームワークを対象にしている。
-
Dan Guido氏が語る - iOSアプリケーションのセキュリティ事情
モバイルアプリケーションの人気がいまだ衰えを見せず,モバイルデバイスによるトランザクションの増加が続く中で,セキュリティはますます重要な問題となっている。“Modern iOS Application Security”と題したQCon New York 2016の講演では,Dan Guido氏が,iOSを取り巻くセキュリティ事情について詳しく解説した。Appleが高度にセキュアなアプリケーション開発の手段をすでに提供しているが,それらを無効にされる可能性が依然としてあるのだ。
-
Javaリフレクションライブラリの脆弱性が30ヶ月を経て解決
2013年7月,セキュリティ企業のSecurity Explorationsは,攻撃者がアクセス権を向上可能な脆弱性をJava内に発見した。Oracleがパッチをリリースしたが,依然として攻撃を可能にする簡単な修正方法が見つかっている。この発見により,Oracleは8u77の一部としてパッチをリリースした。この記事では,問題の核心であるクラスローディングについて,その足掛かりとしての調査を行なう。
-
Oracleが2017年にJavaブラウザプラグインを非推奨へ
Oracleは2017年に予定されているJDK 9リリースに合わせて,Javaブラウザプラグインを非推奨(deprecate)にすると発表した。最終的にはOracleのJDK(Java Development Kit)とJRE(Java Runtime Environment)から完全に削除される予定だが,それがどのリリースになるかのは,まだ明らかではない。
-
Dockerがコンテナのセキュリティを強化
Docker Inc.は,11月16-17日にバルセロナで開催されたDockerCon EUの中で,一連のセキュリティ拡張を新たに発表した。その内容は,コンテナイメージのハードウェア署名(hardware signing)���イメージスキャンによるコンテンツ監査,脆弱性検出,ユーザ名前空間を備えた詳細なアクセス管理ポリシなどだ。
-
シークレットを大規模に管理するHashi CorpのVault - Armon Dadgar氏に聞く
Armon Dadgar氏がQCon New Yorkで,最新の生産システムにおけるセキュリティ要件をテーマとした,情報豊富なプレゼンテーションを行った。InfoQはプレゼンテーション後のDadgar氏に面会する機会を得て,大規模システムでシークレット(secret, 秘匿情報)を管理するためのオープンソースツールである,HashiCorpのVaultに関して聞くことにした。
-
TwitterがDigitsとDigits Login for Webを公開
TwitterがDigits Login for Webを公式にリリースした。SMSベースのログインシステムを,Digitsを使ったモバイルアプリサイトに拡張する,Digitsの最新インタラクションだ。
-
GoogleがSSL 3.0のサポートを廃止
Googleはオンラインセキュリティブログでまもなく旧式のSSL 3.0のサポートを廃止すると発表した。SSL 3.0に、クライアントにダウングレードを強制することによって攻撃が可能になるという脆弱性が見つかったからだ。SSL 3.0の排除はHTTP2の仕様策定の停滞を解消する可能性もある。
-
リモートからクライアントとサーバのメモリをダンプできてしまう脆弱性Heartbleed
最近明らかになったOpenSSLのHeartbleedバグを突くとリモートクライアントがサーバ側のメモリの中を覗けてしまう。Yahoo! MailやAmazon Web Servicesが影響を受けている。
-
Gauntltによる継続的セキュリティテスト
GauntltコアチームのJames Wickett氏はVelocity Conf Londonで,アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした,継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは,継続的デリバリによるリリースデリバリ率の増加に伴う,定期的セキュリティチェックの重要性だ
-
DevOps Days Amsterdam 第1日,話題は継続的デリバリとDevOps文化
DevOps Days Amsterdam の初日は,継続的デリバリ (continuous delivery) とオートメーションの側と,組織内の DevOps文化を 促進する側の間で,関心の的が分かれていた。継続的デリバリの話題では,デリバリのパイプラインを自動化する方法に加えて,システム障害時における自動復旧の手法が注目を集めていた。文化に関する側の議論では,文化的変化の導入を成功させる上で個々の性格タイプを考慮する必要性や,企業文化の確立が雇用にもたらす肯定的影響などの成果があった。
-
RSAパネリストはDevOpsがアプリケーションのセキュリティを加速すると強調する
DevOpsには、小さなリリース、自動テスト、そしてセキュリティを受け入れる思想といった特徴があり、アプリケーションのセキュリティに関して大きなブームがおこるだろうとRSA 2013カンファレンスのパネリストは強調する。
-
研究者がライブラリと人気のある非ブラウザサービスにおけるその使い方に存在するSSLの脆弱性を公開
「世界で最も危険なコード:非ブラウザソフトウェアにおけるSSL証明書の検証」と題するACM CCS'12 の会報の中で最近公開されたのは、非ブラウザアプリケーションにおけるSSLライブラリとその使い方における重大な脆弱性である。学んだことと開発者とテスターへの確実な推奨事項がこの記事を読むことで共有される。