InfoQ ホームページ devsecops に関するすべてのコンテンツ
-
GitLab 13.9では、セキュリティアラートダッシュボード、メンテナンスモードなどが導入された
GitLabの最新リリースでは、60を超える新機能が導入されている。主な目的は、大規模なDevSecOpsのサポートを改善し、自動化の複雑さを大規模な環境下でより適切に処理することである。
-
リモートでの脅威モデリングの促進
ThoughtWorkのJim Gumbley氏は先頃、リモートとオンサイトセッションを促進するテンプレートを使用して、Martinfowler.comで脅威モデリングのガイドを公開した。彼は、ビジネスの利害関係者とともに、各反復内での継続的な脅威モデリングを主張している。Derek Handova氏は、自動化によるセキュリティからの摩擦の除去と、SDLCにおけるセキュリティの焦点の強化についても書いている。
-
DevSecOpsに共に国防総省が歩んだ道
Cloud Native Computing Foundation(CNCF)は、DevSecOpsに対するDoDのアプローチの新しいケーススタディをリリースした。これは、Kubernetesクラスタやその他のオープンソーステクノロジーを使用してリリースを高速化する方法を示すものである。ほとんどの情報はすでにDoDとそのプレゼンテーションから入手できたが、CNCFは1か所にまとめることを試みた。
-
悪意を持ったコンテナイメージを直接ホスト上に構築する攻撃手法が明らかに
Aquaのサイバーセキュリティ調査チーム‘Nautilus'が、誤設定されたDocker Daemon APIポートをターゲットにして、攻撃対象のホストコンテナ上にイメージを直接構築し、暗号通貨のマイニングを行うという、新たな攻撃テクニックの存在を確認した。さらなる調査の結果として、Docker Hub内に格納されている23のコンテナイメージのインフラストラクチャから、関連する33万件の悪意のあるイメージがプルされていることも明らかになっている。
-
製品としてのセキュリティ - DevOpsとInfoSecの”協力ゲーム”
情報セキュリティに関する製品戦略の専門家であるKelly Shortridge氏が、セキュリティを製品として扱うべき理由について説明する。”we mindset”とゲーム理論を解析することで、氏は、協力ゲームとしてDevOpsとInfoSecを推進する。
-
WhiteSourceが無償のオープンソース脆弱性チェックツールをローンチ
オープンソースのセキュリティおよびライセンスコンプライアンス管理ソリューションプロバイダのWhiteSourceが、Vulnerability Checkerをローンチした。オープンソースのクリティカルな脆弱性に関するアラートを提供する、新しい、無償のスタンドアロンCLIツールだ。