InfoQ ホームページ Secure-Coding に関するすべてのコンテンツ
ニュース
RSSフィード-
OpenSSF、オープンソースに対する脅威インテリジェンス共有サービス "Siren"を発表
Open Source Security Foundation(OpenSSF)は、「オープンソースプロジェクトに特化した脅威インテリジェンスを集約し、広めるための共同作業」と称した、"Siren"を発表した。このイニシアチブは、オープンソースプロジェクトが関連する脅威インテリジェンスを普及させ、それらを受け取るためのより良い方法を必要としていることが明らかになった、XZ Utilsの侵害をきっかけに生まれた。企業の脅威インテリジェンス・プラットフォーム(TIPs)のように、Sirenは戦術、技術、手順(TTPs)と侵害の指標(IoCs)を共有する場所を提供する。
-
静的アナライザRudraがRustクレート内に200件のメモリ安全上の問題を検出
ジョージア工科大学で開発されたRudraは、Rustプログラム内の潜在的なメモリ安全性のバグをレポートするスタティックアナライザだ。Rustパッケージレジストリ全体のスキャンに使用されて、264件の新たなメモリ安全性バグを検出した。
-
Rust 2021 Editionリリース - Armin Ronacher氏に聞く
Rust 2021 EditionがRust 1.56.0と合わせて、予定通り10月21日にリリースされた。最新バージョンにはディスジョイント・キャプチャ(disjoint capture)のサポート、マクロ規則のorパターンなどが含まれている。SentryのエンジニアリングディレクタであるArmin Ronacher氏に、Rustの現在の状況について聞いた。
-
IBM Fully Homomorphic Encryption ToolkitがMacOSとiOSで利用可能に
IBMのFully Homomorphic Encryption (FHE) Toolkitの目的は、開発者がFHEを自らのソリューションに導入できるようにすることだ。暗号化されたデータを直接操作可能にするFHEには、高度に規制された産業におけるデータセキュリティとプライバシを劇的に変える影響力がある、とIBMは言う。
-
Microsoftがソフトウェアの安全性に関するソリューションとしてRustを検討
Microsoftは現在、ソフトウェアの安全性改善を目的としたRustの導入試験を行っている。RustFest Barcelonaでは同社エンジニアのRyan Levick氏とSebastian Fernandez氏が、MicrosoftがRustを使用する上で直面している課題について講演した。また、Adam Burch氏の説明によれば、同社は現在、低レベルのWindowsコンポーネントの書き直しなどでRustを試験的に使用しているという。
-
SAPがJava SCAツールのソースを公開
SAPは,Java/Pythonアプリケーションにある既知の脆弱性を,ソフトウェア構成分析を通じて検出するツールをオープンソースとして公開した。
-
Zeppelin - ブロックチェーンアプリケーションでセキュアなスマートコントラクトを実現するオープンソースフレームワーク
ZeppelinはMITライセンスでオープンソースされた,ブロックチェーンアプリケーションを開発するためのセキュアなスマートコントラクト開発フレームワークである。"The DAO"ハッキングのようなインシデントを削減すべく,試験と監査の実施されたセキュアなスマートコントラクトコードの開発を可能にすることを目標とした,コミュニティの努力の成果だ。ブロックチェーンを意識しないことを目標とするが,開発初期である現時点ではSolidityツールが中心である。
-
DidFail: 情報リークを検出するフリーのAndroidツール
CERT Secure CodingチームがAndroidアプリからのセンシティブな情報のリークを分析できるフリーで使えるツールをリリースした。CERTの研究者は、このツールは「Androidアプリのための最も正確な汚染フロー静的解析ツール」だとうたっている。
-
Heartbleedの影響を受けたOpenBSD開発チームがOpenSSLコードのクリーンアップに着手
OpenSSLのHeartbleed脆弱性の問題を受けてOpenBSD開発チームでは,同ライブラリの徹底的な再調査を行うプロジェクトを立ち上げた。コードベースの大規模なクリーンアップと修正に着手したチームが先週,その目覚ましい成果を公開している。
-
Androidプラットフォームにおけるセキュアなコーディング
カーネギーメロン大学のソフトウェア工学研究所に所属するCERT Secure Codingチームは先頃,対象をAndroid上のJavaアプリケーションに特定したセキュアコーディングガイドラインをリリースした。InfoQでは著者のひとりである研究��のLori Flynn氏にインタビューした。