サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
iPhone 16
yamory.io
GPL ライセンス (ジーピーエルライセンス、GPL License、GNU General Public License)とは、オープンソースソフトウェアを開発・配布する際に用いられる代表的なオープンソースライセンスのひとつで、利用許諾のための条件などを定めているものです。 本記事では GPL ライセンスの概要から掲載例について解説していきます。 GPL ライセンスの概要 GPL は GNU General Public License の略で、GNU プロジェクトのためにリチャード・ストールマンによって作成されたライセンスです。 フリーソフトウェア財団(FSF; Free Software Foundation)によって公開・管理されています。 GPL ライセンスは、コピーレフト性を持つライセンスとして有名です。 WordPress を始め、さまざまなソースコードなどへ付与されているこ
既知の悪用された脆弱性一覧 CISA KEVカタログCISA KEVカタログの概要と公開された背景、SSVCと呼ばれる優先順位付けのフレームワークの概要と実運用時の課題について紹介します。
セキュリティを守る3つの脆弱性対策手法と、大きな工数削減を実現したyamoryの導入についてお伺いしました。
SBOM の必要性が増している背景や国内外の状況、具体的な SBOM の仕様、SBOM 対応の方法についてお伝えしました。
特にゼロデイ攻撃を抑えて 6 位にランクインしている「脆弱性対策情報の公開に伴う悪用増加」とは、まさに既知の脆弱性を利用した攻撃のことを指摘しており、SBOM を利用して現在利用されているソフトウェアやそのバージョンが管理できていれば、事前に被害を抑えられたものであると言えるでしょう。 SBOM を取り巻く国内外の状況米国大統領令における SBOM の位置付けこれまでに説明してきたような既知の脆弱性に対する攻撃に対処するため、米国では 2021 年 5 月に SBOM に関する大統領令が発令されました。この中には、米国国立標準技術研究所(NIST)と米国商務省電気通信情報局(NTIA)が協力して SBOM の最小構成要素を定めること、NIST がソフトウェアサプライチェーンを明確にするためのガイドラインを策定すること、また製品購入者への SBOM 提供に関する項目も含まれています。 さらに
DevSecOpsを成功させるためのポイントと共に「アジャイル開発におけるセキュリティ | パターン・ランゲージ」を解説します。
Amazon Translateでも利用されている機械翻訳フレームワークSockeyeとPythonのマイクロサービスフレームワークnamekoの任意のコード実行に繋がる脆弱性を発見し、報告を行い、CVEを2件(CVE-2021-43811, CVE-2021-41078)取得しました。 オープンソースソフトウェア(OSS)の脆弱性を発見、報告、CVEを取得までどのような過程を経たのか、OSSの脆弱性を見つける場合にはどのようにすると良いのか、報告方法はどうすればいいのか、今回の経験をもとにポイントを紹介します。 脆弱性報告の経緯 そもそもOSSの脆弱性を発見した経緯としては、前回の「TensorFlowだけじゃない!安全でないデシリアライゼーション in Python」の記事を書く中で、GitHubでyaml.unsafe_loadやyaml.UnsafeLoaderで検索すると脆弱な実
node-tar で発見された任意のファイルの書き込み・上書きの脆弱性(CVE-2021-32804)について調査を行いました。 node-tar 3.2.2, 4.4.14, 5.0.6, 6.1.1以前のバージョンを利用している場合、この脆弱性の影響を受けることがあります。 加えて、node-tarを間接的に利用している場合にも影響を受けることがあります。具体的には、npmもtarファイルを扱う処理にnode-tarを使っているため、脆弱なバージョンのnpmを使って、信頼できないtarファイルを処理することで影響を受ける場合があります。 今回は、CVE-2021-32804の修正コミットを確認してどのような脆弱性だったのか確認し、実際に脆弱性が再現できるのかDockerで環境を用意して検証を行いました。 また、npmにも影響があるかの検証も行い、こちらもDockerの環境にて確認を行い
XXE(XML 外部エンティティ参照)は、アプリケーションが XML を解析した際に XML の特殊構文を悪用されて発生する脆弱性です。本記事では XXE の仕組みから対策方法までを解説していきます。
クロスサイトリクエストフォージェリは Web アプリが偽装されたリクエストを正規のものとして受信してしまう脆弱性・攻撃手法です。今回はクロスサイトリクエストフォージェリの仕組み、対策方法をご紹介します。
Apache ライセンス (アパッチライセンス、Apache License)とは、オープンソースソフトウェアを開発・配布する際に用いられる代表的なオープンソースライセンスのひとつで、利用許諾のための条件などを定めているものです。 本記事では Apache ライセンスの概要から Apache License 2.0 の内容、適用方法、掲載例について解説していきます。 Apache ライセンスの概要 Apache ライセンスは、Apache ソフトウェア財団(ASF)によって作成されたソフトウェア向けライセンス規定です。 バージョン 1.1 以前は Apache Software License(ASL)と呼ばれていました。 世界中のソフトウェアで Apache ライセンスは利用されており、2020 年に GitHub で公開されているプロジェクトの 18% が Apache License
yamory を導入いただいている株式会社システムインテグレータ様に、導入の経緯や活用状況について、お話を伺いました。
セキュリティのベストプラクティスをまとめた OWASP Top 10 Proactive Controls 2018 の概要ついて解説します。
ソフトウェアを開発されている方は、オープンソース・ソフトウェア(OSS)を利用して開発することが多いと思います。 OSS の導入時には最新のバージョンのものを利用するため脆弱性が含まれていなかったとしても、時間が経つにつれ脆弱性が新たに公開され、セキュリティリスクが高まることがあります。 自分たちが使っている全てのライブラリとそのバージョンを常に把握して、新たに公開された脆弱性がないかどうかを人手で監視することは非常に労力のかかる作業でしょう。 開発チームの規模が大きく、複数のプロジェクトを管理する場合にはより多くの工数がかかることが予想されます。 脆弱性管理ツール「yamory」 では、これらの作業を自動化し、自分たちに影響がある脆弱性情報だけを通知することができます。 また、脆弱性の対応優先度を自動で分類し、脆弱性への対策を提示することもできるので調査工数を削減することもできます。 本
CVE は脆弱性という言葉とともに出てくることが多い単語です。今回は CVE の概要から活用方法までをご紹介します。
本記事では、実際のコードを交えて Java における安全ではないデシリアライゼーションの解説を行い、この脆弱性を見つけた場合にどのように扱えばよいのか、どのような対策を行えばよいのかを解説します。
GPL ライセンスは OSS を開発・配布する際に用いられる代表的なライセンスのひとつで、利用許諾のための条件などを定めているものです。本記事では GPL ライセンスの概要から掲載例について解説していきます。
2020 年 12 月 8 日に公開された Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)について、PoC コードの検証を行いました。
MIT ライセンスは代表的なオープンソースライセンスのひとつで、利用許諾のための条件などを定めているものです。MIT ライセンスの概要から各種ライセンスの比較について解説します。
HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
オープンリダイレクトの原因と対策方法や、開発者としてこのオープンリダイレクトを見つける方法についてご紹介します。
ビジネススピードを確保しつつ、脆弱性のリスクを抑えるにすれば良いのでしょうか。本記事では、Clean Architecture を用いて脆弱性への対応力「レジリエンス」を高めるアプローチを解説します。
バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
パストラバーサルは、本来アクセスできないディレクトリに存在するファイルに対して、脆弱性を悪用してアクセスする攻撃手法です。本記事では、パストラバーサルの脆弱性について概要説明・対策方法・実例までをご紹介します。
リバースブルートフォース攻撃はパスワードを固定して ID 部分を変えながら認証を繰り返していく不正アクセスを目的とした攻撃です。
クリックジャッキングは、ユーザーを視覚的に騙して悪質なサイトへ誘導する攻撃手法です。本記事ではクリックジャッキングの概要から、攻撃の仕組み、対策方法について解説していきます。
yamory は、2020 年 8 月 27 日をもちましてリリースから 1 周年を迎えました。今回は yamory の 1 周年を記念して、この 1 年間の取り組みを時系列で振り返ります。
書き起こしメディア「ログミーTech」に、yamory 主催 DevSecOps 勉強会 #1 の登壇レポートを掲載いただきました。
最近の脆弱性管理の動向や取り組み方を「脆弱性管理レポート」としてまとめました。yamory 利用者様からのアンケート結果も交えながらご紹介します。
次のページ
このページを最初にブックマークしてみませんか?
『yamory | 脆弱性管理クラウド』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く