TrivyをGitHub Actionsで動かす際のTips
ワークフローの作り方の紹介記事は多かったが運用時の話が少なかったので、気になった点を整理してみようと思う。 環境 VCS:GitHub Workflows:GitHub Actions Trivy:0.19.2 trivy-action: 0.0.20 前提 運用ケースは以下の通りと想定する。 ワークフロー構築 影響調査 対応方法決定 修正・解消 内容 ワークフロー構築 aquasecurity/trivy-action#usageにある通り。 OSパッケージ Supported OSに一覧がある。注意点としては、 Detection of unfixed vulnerabilities がNoであれば修正済みの脆弱性のみを検出する点。 言語パッケージ Language-specific Packagesにあるように、各種ファイルが存在している必要がある。 Vulnerability ty
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました | DevelopersIO
【アップデート】AWS Security Hub の『基礎セキュリティのベストプラクティス』に新たに25個のチェック項目が追加されました はじめに みなさん、セキュリティチェックしていますか?(挨拶 AWS Security Hub の『AWS 基礎セキュリティのベストプラクティス v1.0.0』に新たに 25個のチェック項目(コントロール)が 追加されました。AWS公式も以下のようにアナウンスしています。 この新しいチェック項目は Security Hub の [設定 > 一般 > 新しいコントロールの自動有効化] を ON に していると自動的に追加されます。 いつのまにか CRITICAL/HIGH の項目で失敗していて、大量に通知が飛んできた方もいらっしゃるかもしれません。 本ブログで新規追加されたコントロールを簡単なコメント付きで紹介していきます。 (コントロールの題目はまだ日本
趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog
今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件はさすがに誰かに伝えておくべきだろうということで長々と垂れ流しました。 概要 GW中に趣味で開発したソフトウェアを無料で公開したところAqua Securityという海外企業(アメリカとイスラエルが本社)から買収の申し出を受け、最終的に譲渡したという話です。さらに譲渡するだけでなく、Aqua Securityの社員として雇われて自分のソフトウェア開発を続けることになっています。つまり趣味でやっていたことを仕事として続けるということになります。 少なくとも自分の知る限り一個人で開発していたソフトウェ
JSON Web Token の効用 - Qiita
Note: JWT の仕様やそもそも論の話は触れません。どう使うか、何が出来るかしか書いていません。 JSON Web Token? JSON Web Token とは、ざっくりいって署名の出来る JSON を含んだ URL Safe なトークンです。 署名とは、署名時に使った鍵を用いて、JSON が改ざんされていないかをチェック出来るようにすることです。 URL Safe とは、文字通り、URL に含めることの出来ない文字を含まないことです。 これだけだとよくわかりませんが、触り心地としては次のような性質があります。 発行者だけが、鍵を使ってトークンが正しいことを検証出来る。 暗号化ではないので、JSON の中身は誰でも見られる。 仕様的には、暗号化のオプションもあります。 しかしながら、JSON の変更は出来ない。(改ざんをすると、検証時に失敗するので。) 全体的には、なんか変更できな
個体値計算で話題になっている件
http://gigazine.net/news/20160802-pokeiv-pokemon-go/ GIGAZINE経由で話題になっているサイトの仕組みについて、私はあのサイトの作者でないけど、解説してみます。 ブコメを眺めていて問題視されてるのは A. パスワードが盗られのではなかろうか B. ポケGOを勝手に操作されるのではなかろうか C. Tokenの管理が杜撰だと危険ではなかろうか の3点と思われます。 以下、危険性について述べます。 実際に中の人がどういう運用しているかは中の人次第なので、信じるか信じないかという話になるから、水掛け論がはじまるだけなのでやめときます。 まずAについて Pokémon Trainer ClubについてはYes。そりゃパスワード入れてますもの。 Google AccountsについてはNo。あくまでもパスワードを入力する先はGoogleになるの
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
Railsのセキュリティ対策で調べた事 - Qiita
# { name: "' or 1=1 --'" } 等が指定され場合にダメ User.where("name='#{params[:name]}'") # => placeholder使うようにする User.where(name: params[:name]) User.where("name = ?", params[:name]) # {order: ",8"} Orderメソッドは列番号指定が可能 User.order("name #{params[:order]}") # {id: 532, lock: "or 1=1"} lockは任意のSQLを指定できる User.where(id: params[:id]).lock(parmas[:lock])
AWSを使い始めたら絶対にやるべきセキュリティ対策 | ロードバランスすだちくん
シンジです。クラウドサービスに必要な物は、インターネット・アカウント名・パスワードですが、アカウント名とパスワードが漏れたら確実に死ぬと考えて良いです。AWSも例外ではありませんが、AWSのサービスをうまく活用することで回避出来る部分もあります。今回はその設定方法と、設定することでのデメリットを書きます。 その1 多要素認証を設定せよ MFAとも言います。2要素認証とも言います。これには様々な方法があるのですが、オススメはiPod や iPhoneなどのスマホを使った方法です。認証用の専用アプリをダウンロードする必要があるのですが、シンジのオススメは2つ。 二要素認証(二段階認証)用無料アプリ「IIJ SmartKey」 http://www.iij.ad.jp/smartkey/ Google Authenticatorを App Store で https://itunes.apple
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
Netcraft
Resources Explore thought leadership, industry insights, and other resources related to cybercrime detection, disruption, and takedowns. Blog June 2024 Web Server Survey In the June 2024 survey we received responses from 1,101,431,853 sites across 269,118,919 domains and 12,865,432 web-facing computers. This reflects ... Read More Learn More Blog Too good to be true: Beware the temptation of recov
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OpenSSL マジヤバいっす! ~ Heartbleed 脆弱性を試してみたよ - モラトリアムこじらせた
実際にデータが漏れる様子を見たい方はコチラ→あ、何か漏れてる… OpenSSL Heartbleed 実験その2へどうぞ。 さて ネット上の通信の大部分において「安全」を担保していた OpenSSL なのですが... でっかい穴 が空いていたことが明らかになったようです。いわゆる Heartbleed バグ。トホホです。 「ネット上のサービスで OpenSSL を使っている(いた)サイトは、もしかしたらこのバグを知っていた悪い人からサーバー上の情報を盗まれていたかもよ? しかも盗んだ形跡は残らないんだぜ?」 ということになります。 サーバー上の情報というのは、例えば パスワード、メールアドレス 自分で登録した名前とか住所とか もちろん自分で入力したクレジットカード番号とか… などなど。 Mashableによると、有名なサービスでヤバイのは、 Facebook Tumblr Google Y
「闇グーグル」は賢く使え NHKニュース
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
digitalOceanクラウド上に安く簡単にkippoハニーポットを構築する
ozumaさんの公開された抱腹絶倒のスライド資料「さくらのVPSに来る悪い人を観察する その2」が凄い人気で、ブクマコメントなどで「ぼくもやってみたい」という希望が多いようです。既に、同じozumaさんが「sshハニーポットをkippoで作ってみる」というエントリで作り方(CentOS6.4想定)を公開されていますが、pythonのモジュールのセットアップなど少し難しいという人がいるかもしれません。 それ、digitalOcean + Ubuntuならもっと簡単に安く(しかも安全に)できるよ ということで、簡単・安い・安全な kippoハニーポットの作り方を説明します。digitalOceanは一時間約1円の完全従量制なので、お財布も安心ですw digitanOceanのアカウントを作成する こちらを参考にdigitalOceanのアカウントをご用意ください。こちらのリンクからアカウントを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
API-Security-Checklist/README-ja.md at master · shieldfy/API-Security-Checklist
DeNA Engineering - DeNAエンジニアのポータルサイト
https://jp.techcrunch.com/2016/08/09/20160808smart-locks-yield-to-simple-hacker-tricks/
一般的なチートの手法と対策について
GoogleがWebでのSHA-1の利用停止を急ぐ理由 | POSTD