InfoQ ホームページ devsecops に関するすべてのコンテンツ
-
GitLab 17.11、カスタムコンプライアンスフレームワークと拡張コントロールでDevSecOpsを強化
2025年4月17日、GitLab社はバージョン17.11をリリースし、コンプライアンス管理とDevSecOps統合において重要な進展をもたらした。このリリースの注目すべき機能は、カスタムコンプライアンスフレームワークの導入であり、規制コンプライアンスをソフトウェア開発ライフサイクルに直接組み込める。
-
CVEに別れを告げる?欧州脆弱性データベースEUVDが稼働開始
欧州連合サイバーセキュリティ機関(ENISA)は、欧州脆弱性データベース(EUVD)のベータ版を最近公開した。この新しい公共プラットフォームは、広く利用されている共通脆弱性識別子(CVE)システムと並行して運用されるが、独立して機能する。EUVDは、EU内での脆弱性対応における連携と透明性の向上を目的としている。
-
GitLabがECRイメージの移行とプル遅延を自動化した方法
GitLabは最近、Amazon Elastic Container Registry(ECR)からGitLabのContainer Registryへのコンテナイメージの移行を自動化するソリューションについて議論した。チームは、Amazon ECRからGitLabのContainer Registryへのコンテナイメージの発見、再タグ付け、転送のプロセスを自動化するCI/CDパイプラインを作成した。
-
ライセンス変更後にルールセットを自由化するため、OpengrepがSemgrepをフォーク
JITとOrca Securityを含むソフトウェア企業のコンソーシアムはOSSバージョンで提供されるルールに関するライセンス変更への対応として、SemgrepのオープンソースソフトウェアをフォークしたOpengrepをローンチした。
-
JFrog社、強化されたDevSecOpsプラットフォームにランタイムセキュリティを統合
JFrog社は、同社のセキュリティ機能スイートにJFrog Runtimeを導入し、ソフトウェアサプライチェーンプラットフォームにリアルタイムに脆弱性を検出する機能を追加した。このアップデートは、Kubernetesクラスタやクラウドネイティブなアプリケーションを扱う開発者やDevSecOpsチームを対象としている。
-
CloudflareのアプリケーションセキュリティレポートがDDoS攻撃とCVEエクスプロイトの急増を浮き彫りにする
Cloudflareは最近、2024年アプリケーションセキュリティレポートを発表し、多くの懸念に対処するための提言と洞察を提供した。同レポートの主な発見は、地政学的なイベントや投票シーズンによる悪意のあるトラフィックの増加である。
-
Google Cloud、"Security Command Center Enterprise"を発表
Google Cloudは、Security Command Center��SSC)Enterpriseの提供を開始した。このソリューションは、企業のセキュリティ運用に対応したプロアクティブなクラウドセキュリティを提供するクラウドリスク管理ソリューションである。このソリューションは、マルチクラウド環境におけるリスクの管理と軽減を支援し、Mandiant社の専門知識によって強化されている。
-
OpenSSF、ソフトウェアの構築方法を検証するためにSBOMに認証を追加
Open Source Security Foundation (OpenSSF)は先日、ソフトウェア部品表(Software Bills of Materials:SBOM)をイントート認証で強化するために設計されたツール、SBOMitを発表した。OpenSSFセキュリティ・ツーリング・ワーキンググループの下で発表されたこの開発は、ソフトウェア開発プロセスの透明性とセキュリティ向上を目的としている。
-
Cloudflare、Google、AWSがHTTP/2のゼロデイ脆弱性を公表
10月10日、Cloudflare、Google、AWSは、"HTTP/2 Rapid Reset "として知られる新しいゼロデイ脆弱性攻撃を公開した。この攻撃は、HTTP/2プロトコルの弱点を悪用し、最大で毎秒4億リクエスト(rps)という膨大な分散型サービス拒否(DDoS)攻撃を発生させる。
-
GitLabの2023年グローバルDevSecOpsレポートでは、AIが"なくてはならない"ものに
GitLabは2023年グローバルDevSecOps AIレポートを発表し、主な分析結果としてAIとMLの利用が「あるとよい」ものから「なくてはならない」ものへと進化していると発表した。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
オープンソースソフトウェアのサプライチェーンの安全性確保
SonarSourceのセキュリティ研究者による最近の調査結果では、Pip、Yarn、Composerなどの一般的なパッケージマネージャに複数のセキュリティ脆弱性があることが判明している。しかし、パッケージマネージャは、オープンソースのセキュリティチェーンにおける唯一の弱点ではない。InfoQは、SonatypeのCTOであるBrian Foxに話を聞いた。
-
Qoveryは”クラウドプロバイダを問わないHeroku”か?
Qoveryは、急成長中の企業が品質や安定性を犠牲にすることなく、迅速なデリバリペースを維持できるようにするための、開発者の生産性向上ツールの構築を目標として誕生した。ひとつの方法は、HerokuなどPaaSの単純さと'マジック'を、IaaSの柔軟性に組合せることだ。InfoQとの会話の中で、CEOで創設者のRomaric Philogene氏は、同社の活動について詳しく話してくれた。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
Kubescape - Jonathan Kaftzan氏(Armo VP)とのQ/A
Armoは先月、Kubescapeのリリースを発表した。Kubescapeは、National Security Agency(NSA)とCybersecurity and Infrastructure Security Agency(CISA)の発行する"Kubernetes hardening guidance"に従って、Kubernetes環境の安全性をテストするためのツールである。