Landlock: ユーザ権限によるアクセス制御
LandlockはLinux 5.13で追加され、5.19で更新(ABI V2)されたプロセス単位のアクセス制御機構です。 この機能は主に自分自身の権限を制限してサンドボックスを作るために使います。例えばこの記事の後半では信頼できない実行バイナリをサブプロセスとして起動する際にアクセス出来るファイルシステムの範囲を制限する例を見ます。 rust-landlock/examples 今回はLandlockをRustから使えるようにしたrust-landlockを試していきます。ドキュメントはlandlock.io/rust-landlockに公開されています。 特にCによるサンプルをRustで書き直したサンプルを見ていきましょう。とりあえず実行してみるとヘルプを出してくれます: usage: LL_FS_RO="..." LL_FS_RW="..." target/debug/example
Helios Design System
The page navigation is complete. You may now navigate the page content as you wish. This button opens a dialog containing an input field and some additional information that you may wish to explore. An automatic search will be performed as you type text into the search field, but the results may not be announced. Exploring the additional items in the modal will help you discover the search results
目指せ!セキュリティの我が事化(事例:社内インシデント発生地図)|SHIFT Group 技術ブログ
はじめに株式会社SHIFT コーポレートプラットフォーム部(いわゆる情シス) 部長の米沢です。本日はセキュリティの我が事化について、お話をしたいとおもっています。 想定読者セキュリティ対策にお悩みの情シスの方 そもそもこれまでやってきた対策に不安を感じている方 これからセキュリティ対策しないといけないけど何から手を付けたらと悩んでいる方 近年の業務環境の変化とセキュリティ事故セキュリティの事故は、皆様の業務において、切りたくても切れない頭を悩ます事象ではないでしょうか。もちろん、殻に閉じこもって業務をすることを選べば可能かもしれませんが、在宅ワーク・DXと業務環境のパラダイムシフトが進んでいる中、そうも言ってられません。 セキュリティ事故がより起こりやすい環境・それがあたり前に起こる前提で業務を整理していく必要があるのではと考えています。だからこそ、セキュリティ事故が起こる前提で、そのリス
データベースドキュメント生成コマンド tbls 更新情報(Mermaid対応 / schema.json / tbls outの強化) - Copy/Cut/Paste/Hatena
久しぶりのtblsの新機能紹介エントリです。 ドキュメントのER図出力にMermaidを指定できるようになりました ER図の出力フォーマットにMermaidを指定できるようになりました。次のように er.format: セクションか --er-format オプションに mermaid を指定することで変更できます。 er: format: mermaid 開発裏話 GitHubがMermaid対応したことで「tblsもMermaid対応してほしい」という要望や提案は以前より多く受け取っていました。 しかし、個人的にあまりメリットを見出せずそのままPull Request待ちとなっていたのですが、今回エイッと作ってみました。 Mermaid対応をするにあたって1つとても面倒な仕様がありました。それはMermaidはER図の多重度(カーディナリティ)の指定が必須となっていることでした。 もと
ヤフーが実践するプロダクション環境でのカオスエンジニアリング
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 突然ですが、みなさんへ質問です。「今この瞬間にシステム障害が起こったら、自信を持って対処できますか?」システム運用者であれば、誰しもが考えたことがある内容かと思います。障害の影響範囲がどの程度なのか、ユーザーアナウンスの必要の有無、そして自動復旧のメカニズムが正しく動いたか。そのあたりが気になるポイントなのではないでしょうか。単純な質問ではありますが、とても考えることが多い不安な質問です。 システムは動いて当たり前と思われがちですが、実際は動いている方が奇跡、壊れて当たり前、という点はエンジニアのみなさんなら共感していただけると思います。どうやったら障害にアプローチできるか、ヤフーで取り組んでいるカオスエンジニアリングについて紹介
Ransacking your password reset tokens | Positive Security
-- MARKDOWN -- - Integrating the ["Ransack" library](https://github.com/activerecord-hackery/ransack) in its default configuration into your Ruby on Rails project poses a major security risk that can likely be exploited to extract sensitive information or fully compromise the application - The issue arises because the recommended way to use the library exposes powerful conditional parameters to en
PHP Development Server <= 7.4.21 - Remote Source Disclosure
IntroductionWhile testing request pipelining on multiple programming language built-in servers, we observed strange behavior with PHP’s. As we delved deeper, we discovered a security bug in PHP that could expose the source code of PHP files as if they were static files rather than executing them as intended. Upon further testing, we found that the vulnerability was not present in the latest PHP re
Generating SBOMs for Your Image with BuildKit | Docker
The latest release series of BuildKit, v0.11, introduces support for build-time attestations and SBOMs, allowing publishers to create images with records of how the image was built. This makes it easier for you to answer common questions, like which packages are in the image, where the image was built from, and whether you can reproduce the same results locally. This new data helps you make inform
CVE-2023-22482 - GitHub Advisory Database
Impact All versions of Argo CD starting with v1.8.2 are vulnerable to an improper authorization bug causing the API to accept certain invalid tokens. OIDC providers include an aud (audience) claim in signed tokens. The value of that claim specifies the intended audience(s) of the token (i.e. the service or services which are meant to accept the token). Argo CD does validate that the token was sign
Kafka Connect for Splunk - Qiita
Plan your deployment 以下の2つのデプロイメントオプションが選択です。Splunk Connect for Kafkaは、コンテナ、仮想マシン、物理マシンで動作するため、動作環境の選択肢は多いですが、既存のKafak Connect Clusterと同期させることはお勧めしません。 Splunk Connect for Kafka in a dedicated Kafka Connect Cluster (best practice). Splunk Connect for Kafka in an existing Kafka Connect Cluster. System requirements Splunk Connect for Kafkaのシステム要件は下記のとおりである。HTTP Event Collector tokenの設定を忘れないように留意する。 A
Debezium によるチェンジデータキャプチャー | 豆蔵デベロッパーサイト
Change Data Capture (CDC) は、データベースで発生した変更をキャプチャーして別のシステムに伝播させ、応答できるようにする仕組みです。CDC を利用することで、テーブルの更新をポーリングするバッチ処理などを作り込まずに、イベントドリブンな応答処理を実装できます。CDC はイベントソーシングと並んで分散システムをリアクティブに連携させるためのソリューションとして位置付けられます。[1] Amazon DynamoDB や Azure CosmosDB などのマネージドサービスでは、変更イベントを通知する仕組みを備えているものがあります。Debezium を使うと、MySQL や PostgreSQL などオンプレミス環境で広く使われている DBMS でも CDC を利用できます。 この記事では Debezium の概要を簡単に説明し、PostgreSQL と Debez
インシデントにどう対応してきたか?みんなで学ぶポストモーテム Lunch LT (2023/02/09 12:00〜)
🧑💻こんな方におすすめ ポストモーテムを社内で実施、携わったことがあるエンジニア ポストモーテムについて、書籍や記事、過去の経験を元に運用しているが、より効果的で円滑なポストモーテムのやり方を模索している ポストモーテムの文化を社内で広める立場にある方 インシデント時に、関係者にスムーズにポストモーテムを行うための文化の普及を促進している ☑️イベントのゴール 他社のポストモーテムと自社を比較し、明日からでも取り入れられる知見が得られること 社内のポストモーテムを促進するモチベーションとなる 🎁参加方法とプレゼント企画 お申し込みいただいた方へ視聴用リンクをお渡ししています。 ※視聴にはFindyへのログインが必要です。 登録をされていない方は、恐れ入りますがこちらより新規登録をお願いいたします。 また、当日参加後アンケート回答者の中から抽選で、Findy特製Anker充電器を3名
DNS権威サーバのクラウドサービス向けに行われた攻撃および対策 / DNS Pseudo-Random Subdomain Attack and mitigations
JANOG51発表資料 https://www.janog.gr.jp/meeting/janog51/dns/ 2017年のJANOG39にて弊社から「DNS権威サーバ向けのDDoS攻撃対策をした話~さくらインターネット編~」というプログラムを行い、実際に発生した障害やその後の取り組みを共有し、DNS権威サーバ向けのDDoS対策について議論いたしました。 それから5年経ちクラウドファースト、クラウドバイデフォルトなどと言われるようにクラウドサービス前提にシステムの構築運用がなされるようになり、DNSにおいても例外なくクラウドサービスが使われ、その重要度がますます高まっております。 その中で2022年にさくらのクラウドのDNS権威サーバサービスにDNS水責め攻撃が発生し、L7ファイアウォールの導入、dnsdistなどサーバ上のミドルウェアで攻撃を緩和する対策、またメトリクス取得の強化を行い
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(後編)】 - #FlattSecurityMagazine
9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々(社名五十音順・順不同) 後編(本記事) サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ 岩田季之さん メルカリ Security Engineering Team Manager Simon Girouxさん Ubie 水谷正慶さん LayerX 鈴木研吾さん 前編 Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道さん グラファー 森田浩平さん Finatextホールディングス 取締役CTO/CISO 田島悟史さん ▼前編記事 flatt.tech 今回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - landlock-lsm/rust-landlock: A Rust library for the Linux Landlock sandboxing feature
ttl.sh | An anonymous & ephemeral (and free) Docker image registry
Amazon.co.jp: minne公式本 ハンドメイド作家のための教科書!! minneが教える売れるきほん帖 改訂版: minne作家活動アドバイザー和田まお: 本
GitHub - takutakahashi/github-token-renewer: Renew GitHub Token (ex: Github Apps Installation Token) periodically
GitHub - jmforsythe/Git-Heat-Map: Visualise a git repository by diff activity
CADF | DMTF