オープンソースソフトウェアのセキュリティ脆弱性対策は手間がかかる上に対処に慎重さと迅速さが求められ、開発者の重荷となっている。こうした状況に対してGoogleが新しい取り組み「OSV」を開始した。
![GoogleがOSSの脆弱性DB「OSV」を開始、セキュリティリスク取りこぼしは減るか](https://cdn-ak-scissors.b.st-hatena.com/image/square/ffac98fddc5fc6a517301eb141385663561b7b81/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fenterprise%2Farticles%2F2102%2F09%2Fl_daichigoto_goo01_MASK.jpg)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleは、オープンソースプロジェクトの脆弱性をトリアージする作業を支援し、メンテナーやオープンソースのコンシューマーを手助けするための脆弱性データベースを提供するサイトである「Open Source Vulnerability」(OSV)を立ち上げた(ここで言う「コンシューマー(consumer)」とは、あるオープンソースソフトウェアに依存する別のソフトウェアや、そのソフトウェアの開発者を指す)。 Googleによれば、オープンソースソフトウェアの利用者が、共通脆弱性識別子(CVE)のエントリーなどの脆弱性情報と、自分たちが利用しているパッケージのバージョンを対応付けるのは難しい作業だという。これは、既存の脆弱性情報の標準で使用さ
IoTセキュリティプラットフォームを展開するイスラエルのVDOO Connected Trustは、日本法人のビドゥジャパン株式会社の設立を発表。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進で提携することも明らかにした。 IoT(モノのインターネット)セキュリティプラットフォームを展開するイスラエルのVDOO Connected Trust(以下、VDOO)は2020年6月19日、オンラインで会見を開き、日本法人のビドゥジャパン株式会社(東京都港区)の設立を発表した。併せて、重要生活機器連携セキュリティ協議会(CCDS)と、日本国内の消費者向けデバイスのセキュリティを促進するために提携することも明らかにした。 VDOOは、2017年に設立されたIoTセキュリティに特化した企業だ。米国Palo Alto Networksに買収され
Key Points: A massive Botnet is forming to create a cyber-storm that could take down the internet. An estimated million organizations have already been scanned with an unknown amount actually infected. The Botnet is recruiting IoT devices such as IP Wireless Cameras to carry out the attack. New cyber-storm clouds are gathering. Check Point Researchers have discovered a brand new Botnet, dubbed ‘Io
On 2017-09-13 at 01:02:13, we caught a new malicious sample targeting IoT devices. Starting from that time, this new IoT botnet family continued to update and began to harvest vulnerable iot devices in a rapid pace. The bot borrowed some code from the famous mirai botnet, but it does not do any password crack all. Instead, it purely focuses on exploiting IoT device vulnerabilities. So, we name it
カーハッキングの経験はまったくなく、ドライブバイワイヤ(運転制御システムの1つ)もよく分からない。予算もほぼゼロ。でも自動車セキュリティについての知見を深めたい。――そうだ! レッキングヤード(車などの解体工場)で壊れた自動車を見つけて、いじってみよう! 7月29日、ハッカーカンファレンス「DEF CON 25」の101講演(初心者向け講演)で、米マカフィーのミッキー・シュカトフ氏とジェシー・マイケル氏、セキュリティリサーチャーのアレクサンダー・バザニウク氏は、実際にスクラップ寸前の車両を購入し、車載システムに潜む複数の脆弱性を発見したいきさつを面白おかしく紹介した。そこでは、IoT製品開発全体の課題を浮き彫りにする、思いがけない発見にも行き当たったという。 「僕が『素敵なジャンクヤードですね』と言ったら、解体工場のオーナーは不機嫌になった。ジャンクカー探しに行こうと思ってる人は、必ず“レ
最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWAF達で遊んでみたら非常に面白かったので、このブログでちょっとご紹介したいと思います。 脆弱なWAFとは? そもそも、「脆弱なWAF」とは一体なんなのでしょうか?一般的なWAF(Web Application Firewall)は、Webサイトの脆弱性を悪用した攻撃から、Webサイトを保護するためのセキュリティ対策の一つです。 通常は守りたいWebサイトの通信経路上の前面に配置するような構成をとります。例えWebサイトに脆弱性が存在したとしても、前面のWA
ミスティーノは、仮想通貨でも遊べるオンラインカジノです。仮想通貨での入金には、Bitcoin、Ethereum、Litecoin、Bitcoin Cashなどが使用できます。また、出金も仮想通貨で行うことができます。 また、ミスティーノでは、スロットやテーブルゲーム、ライブカジノ、ポーカー、ビデオポーカー、バカラ、サイコロなど、様々なオンラインカジノゲームが楽しめます。さらに、スマートフォンやタブレットでのプレイも可能ですので、いつでもどこでもカジノゲームを楽しむことができます。 実際にミスティーノで遊んでみた感想 ミスティーノでは、新規登録や入金などに応じて、さまざまなボーナスが提供されています。 新規登録ボーナスとしては、入金不要で手に入る「フリースピン」があります。また、入金ボーナスとしては、入金額に応じた「マッチボーナス」が提供されることがあります。さらに、プレイヤーのレベルが上が
世のインフラエンジニアの方々は、何らかの形で利用しているソフトウェアのセキュリティ情報を日々チェックしていると思います。しかし、利用するソフトウェアが増えてくると全部のチェックはなかなか難しいのではないでしょうか。 そんな中最近Amazon Inspectorがプレビューから一般利用開始となり、注目されている方もいると思います。そういったツールが様々出る中で、最近Vulsというものを知ったので試してみたいと思います。 Vulsとは Amazon Inspectorとの違い go-cve-dictionaryについて 実際に使ってみる 検証環境のバージョン Vuls server scan対象サーバ 事前準備 slack通知を試す TUI(Terminal-Based User Interface)を試す OSパッケージ以外もチェックする まとめ Vulsとは github.com scan
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
null文字として解釈される文字列を含むURLでGoogle Chromeがクラッシュするバグが先日話題となったが、このバグを利用した迷路ゲーム「%%30%30」がGitHubで公開されている(%%30%30: A Game、 TNW Newsの記事)。 %%30%30はリンクがグリッド状に配置されており、クマの画像のリンクをマウスポインターでなぞってゴールを目指す。コースを外れて木の画像のリンクをポイントしてしまうとタブがクラッシュするので要注意だ。Google ChromeやChromium、Operaのほか、AtomやSlackといったElectronベースのアプリでもプレイできるとのこと。 バグが修正されてしまうとプレイできなくなってしまうが、21日にリリースされたChrome 45.0.2454.99ではまだ大丈夫なようだ。このほか、追いかけてくるリンクからひたすら逃げ続ける「L
There is a plethora of JavaScript libraries for use on the web and in node.js apps out there. This greatly simplifies, but we need to stay update on security fixes. "Using Components with Known Vulnerabilities" is now a part of the OWASP Top 10 and insecure can libraries can pose a huge risk for your webapp. The goal of Retire.js is to help you detect use of version with known vulnerabilities. Ret
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか?」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く