InfoQ ホームページ Security-Assessment に関するすべてのコンテンツ
-
GitHub、Swiftのコードスキャンとセキュリティアドバイザリーサポートを発表
GitHubはSwiftのコードスキャンサポートをベータ版で開始し、脆弱性モニターDependabotの機能を拡張するためにSwiftのセキュリティアドバイザリをアドバイザリ・データベースに含めることを発表した。
-
MicrosoftはデータガバナンスサービスをMicrosoft Purviewに統合し、再ブランド化
最近、MicrosoftはMicrosoft Purviewを発表した。これは新製品のブランドであり、Azure PurviewデータガバナンスサービスとさまざまなMicrosoft 365コンプライアンスソリューションが合わせて提供される。
-
Google Cloudがコミュニティセキュリティ分析を導入
Google Cloudは最近、コミュニティセキュリティ分析(CSA)をリリースした。これは、一般的なクラウドベースの脅威の検出に役立てられるように設計されたセキュリティ分析用のオープンソースクエリとルールの集合である。
-
セキュリティ・バイ・デザインがクラウド移行のリスク管理にどのように役立ったか
企業がクラウドに移行したとき、最初から利害関係者を参加させたり、セキュリティを関与させたりすることが困難であったため、セキュリティの問題が発生した。継続的なクラウドDevOpsプロセスの一部としてセキュリティ評価を組み込み、プロジェクトのライフサイクル全体を通じてセキュリティリスク管理にアジャイル戦略を採用することで、移行中のセキュリティのガバナンスを強化することができた。
-
Detector Libraryとログインジェクション脆弱性のためのセキュリティ検出器を特徴とする新たなCodeGuru Reviewer
Amazon CodeGuru Reviewerは、機械学習を活用してコード(JavaとPython)のセキュリティ上の欠陥を検出し、コードの品質向上のための提案をする開発者ツールである。最近、AWSはツールに2つの新機能を導入した。新しいDetector Libraryと、ログインジェクション脆弱性用のセキュリティ検出器である。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
AWSは、新しいアーキテクチャと機能を備えたAmazon Inspectorを再リリース
Amazon Inspectorは、自動化された脆弱性管理サービスである。ソフトウェアの脆弱性と意図しないネットワークの露出に対してAWSの処理を継続的にスキャンする。これは2015年に初めてリリースされた。そして、最近のre:Invent 2021で、AWSはまったく新しいアーキテクチャと多くの新機能を持って再リリースした。新機能は、コンテナベースの処理、Amazon Event Bridgeとの統合、AWS Security Hubなどである。
-
MicrosoftがAzure Attestationを一般向け提供としてリリース
Microsoftは最近、Azure Attestationの一般向け提供を発表した。これは、プラットフォームの信頼性とその内部で実行されているバイナリの完全性をリモートで検証するための統合ソリューションである。
-
GitHubは継続的な脆弱性検出のためにSemmleコード分析を統合する
GitHubはスタートアップのSemmleを買収し、継続的統合/継続的デプロイサービスの一部として、継続的脆弱性検出を目指している
-
Hyperledger Ursaを使ってブロックチェーンのセキュリティを簡単にする
先日のブログ記事で,Hyperledgerプロジェクトは、最新プロジェクトのHyperledger UrsaがTechnical Steering Committee (TSC)の承認を得たことを発表した。Ursaのおもな目的は、暗号化ライブラリを簡素化して集約することにより、分散台帳テクノロジプロジェクトで使用するための信頼性と利便性を実現することにある。
-
Node.jsのセキュリティ向上を目指すNode Security Project
Node Security Projectはこの数ヶ月間,Node.jsのセキュリティ向上に対して静かに取り組んでいる。Node.jsの既存モジュールベースの監査を通じて"Nodeの全般的状況を改善すると同時に,開発者と企業に対して,Node.jsの世界のセキュリティ状態に関する信頼性を提供する"ことがその目標だ。
-
Gauntltによる継続的セキュリティテスト
GauntltコアチームのJames Wickett氏はVelocity Conf Londonで,アプリケーションのセキュリティレベルに関するフィードバックの迅速化を目的とした,継続的インテグレーションサイクルへのセキュリティテスト統合についての解説を行った。氏が強調したのは,継続的デリバリによるリリースデリバリ率の増加に伴う,定期的セキュリティチェックの重要性だ
-
CMMI開発で実現する設計レベルのセキュリティ
セキュアな製品開発を可能にするためには,ソフトウェア開発ライフサイクルのプロセス全般においてセキュリティ活動が実施される必要がある。SiemensのWinfried Russwurm氏とLimes SecurityのPeter Panholzer氏は, SEPG Europe 2013カンファレンスで開催したワークショップでセキュリティ活動について調査し,Application Guide for Improving Processes for Secure Productsを公開した。
-
セキュリティを意味するS
Frank Breedijk氏(Schuberg Philisの security officer)がセキュリティとDevOps 間の摩擦点といかに協力してそれを避けるかについて講演した。 例としては、自動化したセキュリティテストと環境、関連するシステムコンポーネントのみにセキュリティ監査の範囲を減らすこと、あるいはセキュリティの修正は、変更のキューをジャンプして本番へ行けることができるようにすることが挙げられた。
-
DevOps Days Amsterdam 第1日,話題は継続的デリバリとDevOps文化
DevOps Days Amsterdam の初日は,継続的デリバリ (continuous delivery) とオートメーションの側と,組織内の DevOps文化を 促進する側の間で,関心の的が分かれていた。継続的デリバリの話題では,デリバリのパイプラインを自動化する方法に加えて,システム障害時における自動復旧の手法が注目を集めていた。文化に関する側の議論では,文化的変化の導入を成功させる上で個々の性格タイプを考慮する必要性や,企業文化の確立が雇用にもたらす肯定的影響などの成果があった。