Accueil InfoQ Sécurité sur InfoQ
-
Azul Lance Azul Vulnerability Detection Pour Sécuriser La Chaîne D'Approvisionnement
Le 2 novembre, Azul a lancé un nouveau produit de sécurité pour pallier aux risques accrus d'attaques de la chaîne d'approvisionnement des logiciels d'entreprise, aggravé par des menaces graves telles que Log4Shell. Azul Vulnerability Detection est un nouveau produit SaaS qui détecte en continu les vulnérabilités de sécurité connues dans les applications Java.
-
Les Facteurs Clés De La "MFA Fatigue" Dont A Ete Victime Uber
Le 19 septembre, Uber révélait que la récente violation dont il a été victime était dûe à une attaque d'authentification multi-facteurs (MFA) pendant laquelle le hacker s'était fait passr pour un membre de la sécurité informatique d'Uber.
-
Comment Tester Les Applications Low-Code ?
Pour les applications low-code, il n'est pas nécessaire de tester certaines techniques comme l'intégration avec la base de données et la syntaxe d'un écran. Mais vous devez toujours réaliser des tests fonctionnels pour vérifier si vous construisez la bonne méthode. Les tests de bout en bout et les tests non fonctionnels sont parfois importants pour les applications low-code.
-
Spring Authorization Server 1.0 Prévu Pour Novembre 2022
Spring Authorization Server 1.0 est prévu pour une version GA en novembre 2022, après avoir démarré le projet il y a deux ans. Le projet Spring Authorization Server remplace le projet Spring Security OAuth, déjà en fin de vie. Le projet est dirigé par l'équipe Spring Security et fournit une prise en charge du serveur d'autorisation OAuth 2.1 pour les applications Spring.
-
Hadolint Apporte Des Correctifs Et Des Améliorations, Et Prend En Charge Les Binaires ARM64
Après une longue attente, les versions récentes d'Hadolint ont apporté un certain nombre de correctifs, d'améliorations et la prise en charge des binaires ARM64.
-
Une Nouvelle Vulnérabilité A L'exécution Du Conteneur CRI-O Permet Aux Attaquants D'accéder À L'hôte
Une nouvelle vulnérabilité dans l'environnement d'exécution du conteneur CRI-O utilisé par de nombreuses installations Kubernetes permet à un utilisateur malveillant d'obtenir un accès root à l'hôte. La vulnérabilité a été découverte par des chercheurs de CrowdStrike et corrigée peu après par le projet CRI-O.
-
PwnKit, Une Vulnérabilité Des Distributions Linux Vieilles De Douze Ans
Une vulnérabilité récemment révélée affectant le composant PolKit est présente sur plusieurs distributions Linux depuis plus de 12 ans. La vulnérabilité est facilement exploitable, explique Bharat Jogi, directeur de l'équipe de recherche Qualys qui l'a découverte, et permet à tout utilisateur non privilégié d'obtenir des privilèges root complets sur un hôte vulnérable.
-
Une Vulnérabilité Affectant Plusieurs Versions De Log4j Permet Un Exploit De Type RCE
Le 9 décembre, il a été rendu public sur Twitter qu'un exploit zero-day avait été découvert dans log4j, une bibliothèque de logging Java populaire. Toutes les versions de la bibliothèque entre 2.0 et 2.14.1 incluses sont concernées. Log4j 2.15.0 a été publié, qui n'a plus cette vulnérabilité. Lorsque log4j enregistre une valeur de chaîne contrôlée par un attaquant, cela peut entraîner un RCE.
-
Se Débarrasser Du Doute Et Du Syndrome De L'Imposteur Pour Plus De Diversité Dans La Technologie
En tant que personne sans formation technique, Charu Bansal a navigué dans le syndrome de l'imposteur au cours de sa carrière se demandant souvent quelle valeur elle pourrait apporter à la sécurité. Dans son discours à "The Diana Initiative 2021", elle a montré comment le fait d'avoir une perspective diversifiée l'a aidée à résoudre des problèmes de sécurité difficile.
-
OpenJDK Propose La Dépréciation Du SecurityManager
Le projet OpenJDK a proposé la JEP-411 comme moyen de déprécier le SecurityManager. Si elle est acceptée, ce serait la première étape d'un processus pluriannuel dans lequel la campagne OpenJDK Quality Outreach peut guider les projets concernés vers des alternatives avant que quoi que ce soit ne soit supprimé.
-
Google, Microsoft, GitHub Et D'autres Rejoignent L'Open Source Security Foundation
Soutenue par la Fondation Linux, l'Open Source Security Foundation (OpenSSF) vise à créer un forum intersectoriel pour un effort collaboratif visant à améliorer la sécurité des logiciels open source. La liste des membres initiaux comprend Google, Microsoft, GitHub, IBM, Red Hat, et d'autres.
-
55e Anniversaire De La Loi De Moore
Avril 2020 marque les 55 ans depuis que le co-fondateur d'Intel, Gordon Moore, a publié «Cramming more components into integrated circuits». Durant ces années, Intel et ses concurrents ont continué à faire de la loi de Moore une réalité, mais plus récemment, les efforts ont eu des problèmes avec les limitations économiques et physiques qui nous obligent à réfléchir au monde post loi de Moore.
-
Les Améliorations TLS Rétroportées Vers Java 8
Le protocole ALPN (Application Layer Protocol Negotiation) est désormais disponible dans Java 8, permettant aux applications de communiquer via HTTP/2 sans utiliser une version Java supérieure.
-
Let's Encrypt Révoque Trois Millions De Certificats Le 4 Mars
L'autorité de certification à but non lucratif Let's Encrypt, qui fournit gratuitement des certificats X.509 pour le chiffrement TLS, a annoncé qu'elle va révoquer certains certificats clients en raison d'un bug dans leur logiciel Boulder.
-
Sonatype Empêche L'accès Non Chiffré À Maven Central
Sonatype a désactivé l'accès HTTP non chiffré à Maven Central, améliorant ainsi la sécurité des systèmes de construction tels que Maven, Gradle, SBT et autres systèmes de gestion de dépendance.