InfoQ ホームページ applicationSecurity に関するすべてのコンテンツ
-
サプライチェーンのセキュリティ対策の調査結果、有用性の認識と導入に相関があることが判明か
サプライチェーンのセキュリティ対策に関する最近の調査では、一部の対策は広く採用されているものの、主要な対策では採用が遅れていることが判明した。この調査は、Supply-chain Levels for Software Artifacts (SLSA) フレームワークに基づいて行われた。証明書の作成などの主要な対策は、採用が遅れていることが指摘されている。またこの調査では対策の有用性の認知度と採用には高い相関関係があることがわかった。
-
ソフトウェアサプライチェーンフレームワーク「OSC&R」を構築し、セキュリティ脅威の軽減を支援
OX Securityは、Google、Microsoft、GitLabなどの企業と共同で、ソフトウェアサプライチェーンのセキュリティリスクを評価・査定するためのセキュリティフレームワークを公開した。 オープンソフトウェアサプライチェーン攻撃リファレンス(OSC&R)は、コンテナ、オープンソースソフトウェア、適切な取り扱いが行われない秘密情報、CI/CDへの取組み姿勢をカバーするMITREのようなフレームワークである。
-
OpenSSFがFuzz Introspectorをリリースして、C/C++ファズテストのカバレッジを改善
Open Source Security Foundation(OpenSSF)は、ファジングのカバレッジを改善するツールをリリースした。このツールは、開発者がアクションに移すことができる分析結果を提供し、カバレッジブロッカー(カバレッジを阻害するもの)の特定を支援する。
-
Veracodeの報告書に見る、ソフトウェアサプライチェーン保護の進展の兆し
Veracodeが先頃リリースした"State of Software Security" レポートには、サードパーティライブラリで発見された既知のセキュリティ脆弱性の数が全般的に減少傾向にあること、小規模なアプリケーションほどイシュースキャンがより定期的に実行される傾向があること、などが報告されている。さらには、業界が発展途上の段階にあることも明らかになった。
-
MetaがWebコードの真正性を立証するためのブラウザ拡張をオープンソース化
Code Verifyは、もともとはWhatsAppユーザがブラウザに提供されるWhatsAppコードの真正性を検証するために作成されたものである。これは、Chrome、Edge、Firefoxに対する新たなオープンソース拡張機能であり、他のWebサービスに対しても同レベルのセキュリティを提供できるとMetaは述べている。
-
Dynatraceアプリケーションセキュリティゲートにより安全な自動リリースの促進へ
Dynatraceは最近、ソフトウェアインテリジェンスプラットフォームで「セキュリティゲート」が利用可能になったことを発表した。組織は、Dynatraceアプリケーションセキュリティゲートを使って、ソフトウェア開発ライフサイクルの早い段階でセキュリティの脆弱性をチェックし、必要な修復アクションをトリガーできるようになった。
-
Google Cloudが証明書マネージャーを発表
Google Cloudは最近、証明書マネージャーのパブリックプレビュー版を導入した。複数の証明書とドメインを管理するために外部HTTPS負荷分散と統合するサービスである。
-
OpenSSFが、ソフトウェアサプライチェーンのセキュリティを改善するためのAlpha-Omegaプロジェクトを発表
GoogleとMicrosoftが提携しているOpen Source Security Foundation(OpenSSF)は、Alpha-Omegaプロジェクトを発表した。オープンソースソフトウェア(OSS)プロジェクト全体のサプライチェーンセキュリティを改善するためのものだ。このプロジェクトは、最も広く展開されている重要なOSSプロジェクトのセキュリティ体制の改善に焦点を当てている。
-
GoogleとGitHubが新しいGitHubアクションワークフローを備えたOpenSSFスコアカードv4を発表
GitHubとGoogleは、Open Source Security Foundation(OpenSSF)のScorecardsプロジェクトのバージョン4リリースを発表した。スコアカードは自動化されたセキュリティツールである。このツールにより、オープンソースプロジェクトにおけるリスクの高いサプライチェーンのプラクティスが特定される。このリリースでは、新しいスコアカードGitHubアクション、新しいセキュリティチェックが追加され、Foundationsの毎週のスキャンに含まれるリポジトリが大幅に増加した。
-
Aqua Securityがサプライチェーン攻撃の大幅な増加を報告
Aqua Securityの最近のレポートで、サプライチェーン攻撃の脅威の増加が浮き彫りとなった。レポートによると、サプライチェーン攻撃は2020年から2021年にかけて300%増加した。また、ソフトウェア開発環境全体のセキュリティレベルは低いままであった。GoogleとCloud Native Computing Foundation(CNCF)は最近、サプライチェーンのセキュリティを向上させるためのアプローチを詳述した論文を発表した。
-
CNCFがDevSecOpsにフォーカスした最新のテクノロジーレーダーを公開
CNCFは、エンドユーザTechnology Radarの第6版を公開した。このエディションのテーマはDevSecOpsだ。ソフトウェア開発ライフサイクルのすべてのステップにおけるセキュリティインテグレーションである。レーダーチームは、今日多くのDevSecOpsツールがあり、この領域が急速に成長し、変化していることを強調している。
-
Airbnbのオープンソース Ottr: サーバレス公開鍵インフラストラクチャーフレームワーク
Airbnb は、社内で開発されたサーバレス公開鍵インフラストラクチャフレームワークである Ottr をオープンソース化すると発表した。Ottr は、エージェントを使用せずにエンドツーエンドの証明書ローテーションを処理する。Ottr の主な設計目標は、運用上のオーバーヘッドや登録プロトコルへの依存がほとんどない AWS 上でスケーラブルで構成可能なサーバレスのフレームワークとすることだ。
-
クラウドプロバイダがランサムウェア軽減戦略を公開
過去数週間で、AWS、Azure、Google Cloudから、クラウドでのランサムウェア軽減手法に関する提案の記事とドキュメントの投稿があった。��な保護方法とリカバリ準備のアクションに焦点を当てている。
-
Googleが認証局サービスを一般提供としてリリース
Google Cloud認証局サービス(CAS)は、自動でプライベート証明書を管理およびデプロイし、公開鍵インフラストラクチャ(PKI)を管理するためのスケーラブルなサービスだ。先月、Googleはこのサービスの一般提供(GA)を発表した。
-
AWS Key Management Serviceにマルチリージョンキーを導入
AWSは先頃、暗号化されたデータをリージョン間で移動できるようにするクライアントサイドアプリケーションのための新機能であるKMSマルチリージョンキーが利用可能だと発表した。