InfoQ ホームページ Coding Standards に関するすべてのコンテンツ
-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
Rust 2021 Editionリリース - Armin Ronacher氏に聞く
Rust 2021 EditionがRust 1.56.0と合わせて、予定通り10月21日にリリースされた。最新バージョンにはディスジョイント・キャプチャ(disjoint capture)のサポート、マクロ規則のorパターンなどが含まれている。SentryのエンジニアリングディレクタであるArmin Ronacher氏に、Rustの現在の状況について聞いた。
-
IBM Fully Homomorphic Encryption ToolkitがMacOSとiOSで利用可能に
IBMのFully Homomorphic Encryption (FHE) Toolkitの目的は、開発者がFHEを自らのソリューションに導入できるようにすることだ。暗号化されたデータを直接操作可能にするFHEには、高度に規制された産業におけるデータセキュリティとプライバシを劇的に変える影響力がある、とIBMは言う。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
SAPがJava SCAツールのソースを公開
SAPは,Java/Pythonアプリケーションにある既知の脆弱性を,ソフトウェア構成分析を通じて検出するツールをオープンソースとして公開した。
-
リーンコーディングでより良いコーディングを学ぶ
リーンコーディングは、実際のコーディン���作業についての洞察を提供することを目的としており、開発者が10分レベルで物事が想定通りに進行していないことに気付き、直ちに支援を求めることを可能にする。開発者はリーンコーディングを使用することで、より良いコードを書けるような技術的スキルを向上させることができる。
-
Zeppelin - ブロックチェーンアプリケーションでセキュアなスマートコントラクトを実現するオープンソースフレームワーク
ZeppelinはMITライセンスでオープンソースされた,ブロックチェーンアプリケーションを開発するためのセキュアなスマートコントラクト開発フレームワークである。"The DAO"ハッキングのようなインシデントを削減すべく,試験と監査の実施されたセキュアなスマートコントラクトコードの開発を可能にすることを目標とした,コミュニティの努力の成果だ。ブロックチェーンを意識しないことを目標とするが,開発初期である現時点ではSolidityツールが中心である。
-
Coolblueの継続的デプロイメント
継続的デプロイメントは結果的に,より高い責任感とデプロイメントの品質向上をもたらす - CoolblueのテクニカルパスファインダであるPaul de Raaij氏は,このように主張する。コーディング標準はコードベースの混乱を防止し,自動化されたインスペクションは退屈で単純なチェック作業に効果がある。そして手作業によるチェックは,ロジックやコードの利用の妥当性のチェックに最適な方法だ。
-
マイクロサービス実装時の課題 - なぜプログラミングスタイルが問題なのか
Fred George氏がGOTO Amsterdam 2015で,“Challenges in Implementing MicroServices”および“The Secret Assumption of Agile”と題した講演を行った。InfoQは氏にインタビューして,マイクロサービスをできる限り小さくする方法,マイクロサービス実装時の問題と対処方法,プログラムスタイルが問題となる理由,開発者がコードスキルを向上させるためにできること,などについて聞いた。
-
コードの品質のためにアジャイルとウォーターフォールを組み合わせる
2014年のCAST Research on Application Software Health (CRASH)のレポートは、アジャイルとウォーターフォールを混ぜた手法で開発した企業向けソフトウエアはどちらか一方の手法だけで開発されたものよりも強靭で安全であると報告している。InfoQはBill Curtis氏に今回の調査について、また構造的品質要因について、アジャイルとウォーターフォールを混ぜることについて話を聞いた。
-
DidFail: 情報リークを検出するフリーのAndroidツール
CERT Secure CodingチームがAndroidアプリからのセンシティブな情報のリークを分析できるフリーで使えるツールをリリースした。CERTの研究者は、このツールは「Androidアプリのための最も正確な汚染フロー静的解析ツール」だとうたっている。
-
Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手
OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは,同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週,その目覚ましい成果を公開している。
-
Androidプラットフォームにおけるセキュアなコーディング
カーネギーメロン大学のソフトウェア工学研究所に所属するCERT Secure Codingチームは先頃,対象をAndroid上のJavaアプリケーションに特定したセキュアコーディングガイドラインをリリースした。InfoQでは著者のひとりである研究者のLori Flynn氏にインタビューした。
-
GoogleのJavaコーディング規約
Googleは、最近、Javaコーディング規約の完全な定義を公開した。 この規約は強制力を持つ厳格なルールであり、Google全体で従うべきものだ。単なるフォーマットだけでなく、他の約束事やコーディング規約についても書かれている。