DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 / DNS Pseudo-Random Subdomain Attack and mitigations
JANOG51発表資料 https://www.janog.gr.jp/meeting/janog51/dns/ 2017年のJANOG39にて弊社から「DNS権威サーバ向けのDDoS攻撃対策をした話~さくらインターネット編~」というプログラムを行い、実際に発生した障害やその後の取り組みを共有し、DNS権威サーバ向けのDDoS対策について議論いたしました。 それから5年経ちクラウドファースト、クラウドバイデフォルトなどと言われるようにクラウドサービス前提にシステムの構築運用がなされるようになり、DNSにおいても例外なくクラウドサービスが使われ、その重要度がますます高まっております。 その中で2022年にさくらのクラウドのDNS権威サーバサービスにDNS水責め攻撃が発生し、L7ファイアウォールの導入、dnsdistなどサーバ上のミドルウェアで攻撃を緩和する対策、またメトリクス取得の強化を行い
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(後編)】 - #FlattSecurityMagazine
9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々(社名五十音順・順不同) 後編(本記事) サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ 岩田季之さん メルカリ Security Engineering Team Manager Simon Girouxさん Ubie 水谷正慶さん LayerX 鈴木研吾さん 前編 Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道さん グラファー 森田浩平さん Finatextホールディングス 取締役CTO/CISO 田島悟史さん ▼前編記事 flatt.tech 今回
SLSA
What is SLSA? Supply-chain Levels for Software Artifacts, or SLSA ("salsa"). It’s a security framework, a checklist of standards and controls to prevent tampering, improve integrity, and secure packages and infrastructure. It’s how you get from "safe enough" to being as resilient as possible, at any link in the chain. Any software can introduce vulnerabilities into a supply chain. As a system gets
docker/build-push-action v3.3.0で導入されたprovenanceオプションにまつわる問題 - chroju.dev
docker/build-push-actionのv3.3.0 で、 provenance というオプションが入り、デフォルトで有効化された。このオプションについては、 This may introduce issues with registry and runtime support (e.g. GCR and Lambda). という注意書きがされており、一部環境で問題が起きる可能性がある。GitHub Actionsでバージョンをマイナー、パッチバージョンまで指定せずに使っていた場合、自動的にこのバージョンが適用されるため、実際に問題になったという声もTwitterで散見され、自分も一部で引っかかった。 @GitHub Actions runner bumped @Docker buildx today, which has default provenance on. It's
Querying GitHub Security Advisories With SQL 🛡️ | MergeStat Documentation
Did you know that GitHub maintains a public database of known CVEs and security advisories for open-source codebases? The database is a public Git repository that holds JSON files in OSV format, partitioned by date. This is the data that's displayed on the github.com/advisories page, which also powers Dependabot alerts! Since it's just a Git repo, we wanted to take it for a spin with MergeStat to
2022年DevOpsにおけるテスト調査報告書 | mabl
はじめに mablは先日、ソフトウェア開発における品質の専門家たちを讃えるカンファレンス、第3回 mabl Experienceを開催しました。多数のプレゼンテーション、パネルやディスカッションで構成されたこの2日間のイベントは、1200人を超えるソフトウェアテスター、品質リーダー、エンジニアリングの専門家たちにご参加いただき、大盛況のうちに幕を閉じました。Stack Overflow、Chewy、JetBlue、Barracuda、Dawn Foods、Kintent、SmugMugなどの大手企業による多様なセッションを通じて、品質エンジニアリングがソフトウェア業界の基本的変革を大きく支えていることが明らかとなりました。 で紹介されたさまざまな成功例は、当社の第4回「DevOpsにおけるテストの実態調査年次報告書」で示されている傾向と強い相関があります。500人を超える品質とエンジニアリ
組織横断で中央管理するGitHub Actions Workflowを整備する
先日、GitHubのアップデートによりRequired workflowが使えるようになりました。 これにより、 Organization内のリポジトリに対して共通のWorkflowを設定できるようになりました。 スマートショッピングでは、さっそく組織横断でWorkflowを中央管理するリポジトリを作成し、運用を始めたので共有します。 Required workflowsを管理するリポジトリの設定 組織のプライベートリポジトリで使用する場合、 GitHub Actions でプライベートリポジトリの Action を共有できるようになったので試してみると同様のアクセス設定を行います。 Required workflowsの設定 Required workflowを使うための設定は、https://github.com/${org} を開き、 Settings > Actions > Gen
About Security Keys for Apple ID - Apple Support
About Security Keys for Apple ID Physical security keys provide extra protection for your Apple ID against phishing attacks. A security key is a small external device that looks like a thumb drive or tag, which can be used for verification when signing in with your Apple ID using two-factor authentication. Security Keys for Apple ID Security Keys for Apple ID is an optional advanced security featu
PhasedUpdates - Ubuntu Wiki
Launchpad entry: foundations-r-phased-updates Created: 2012-05-14 Contributors: EvanDandrea, JamesWestby, ColinWatson, SteveLangasek, MichaelVogt, MatthewPaulThomas & others Push out stable release updates to expanding subsets of the userbase so that serious regressions can be detected before updates are pushed to everyone, and the process stopped. The aim is for regressions to affect a smaller pr
Gemfile of dreams: the libraries we use to build Rails apps—Martian Chronicles, Evil Martians’ team blog
From time immemorial, the Evil Martians team has worked on dozens of Ruby on Rails projects every year. Naturally, this process involves a lot of Ruby gems. Some reflect our desire to be cutting-edge and to use modern tools (or build our own!) Other gems are so flexible they’ve been used in most of our projects. Our development philosophies, programming habits, and soul are within this universe of
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(前編)】 - #FlattSecurityMagazine
Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします! 今回コメントをいただいた方々(社名五十音順・順不同) 前編(本記事) Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道
3 common DevOps antipatterns and cloud native strategies that can help | The GitHub Blog
Enterprise3 common DevOps antipatterns and cloud native strategies that can helpExplore how GitHub and cloud native strategies can help you address common DevOps pipeline and team antipatterns. When implemented well, DevOps practices can transform how application teams deliver business value. However, the use of antipatterns can lead to disappointing results. Antipatterns are when teams focus on s
WasmでJavaScriptを動かす意義 - id:anatooのブログ
ある時Twitterのタイムラインを見ていたら、「JavaScriptをWasm化して動かす意味がわからない」というような意見を見かけました。JavaScriptはブラウザに搭載されているV8のようなJavaScriptエンジンによって高速に動作するので、わざわざWasm化してもパフォーマンスは劣化するのになぜなのか?という話なんですが、これは「Wasm化=パフォーマンスのため」という考えだと意義がわからないのでこの記事ではそれについて解説します。 JavaScriptをWasm化して動かすツールやライブラリとしては、Shopifyが開発しているJavyやquickjs-emscriptenなどがあります。JavaScriptをWasm化して動かすためには、ある特定のJavaScriptエンジンをWasm向けにビルドして動かす必要がありますが、そのような用途ではQuickJSというJava
Ruby 3.2’s YJIT is Production-Ready
Opens in a new windowOpens an external siteOpens an external site in a new window Shopify and YJIT Back in July 2020, I joined the Ruby & Rails Infrastructure (R&RI) team at Shopify. Our team focuses on making sure that Ruby as well as Ruby on Rails, central to the infrastructure behind all Shopify stores and much of the modern web, run as smoothly and efficiently as possible. As part of the R&RI
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
buildkit/docs/attestations/attestation-storage.md at master · moby/buildkit
Introducing SLSA, an End-to-End Framework for Supply Chain Integrity
GitHub - github/advisory-database: Security vulnerability database inclusive of CVEs and GitHub originated security advisories from the world of open source software.
GitHub - lavie/runlike: Given an existing docker container, prints the command line necessary to run a copy of it.
GitHub Actions で機密性の無い変数を設定できるようになったので試してみる
CISO羅針盤 セキュアプラクティス | 株式会社ハイパー セキュリティア推進部
