GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023 GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。 今回発
GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
この記事は新野淳一氏のブログ「Publickey」に掲載された「[速報]GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023」(2023年11月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプ
GitLab、2023年度第1四半期にリリースされた新機能を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます DevSecOpsプラットフォームを提供するGitLabは、2023年度第1四半期(2023年2〜4月)にリリースされた「GitLab」の新機能を発表した。 これらには「AIによる脆弱(ぜいじゃく)性緩和ガイダンス」「ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保」「個人アクセストークン(PAT)の漏えい防止」などかある。 GitLabの2023年グローバルDevSecOps調査レポート「Security Without Sacrifices(犠牲にしないセキュリティ)」によると、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を行える人を探すのに苦労しがちで、脆弱性の
セキュアコーディング | サイバーセキュリティ情報局
悪意のある攻撃者は、ソフトウェアが抱える不備や不具合、すなわち脆弱性を突いてデータを盗聴・改ざんしたり、マルウェアに感染させたりといった攻撃を仕掛けてくる。セキュアコーディングとは、こうした攻撃を受けることを想定して、脆弱性を抱えないようにソフトウェアを開発する手法を指す。 例えば、Webアプリケーションでは入力フォームに書き込む値からデータベースを不正に操作し、データの改ざん・窃取を試みるSQLインジェクションと呼ばれる攻撃が知られている。セキュアコーディングで推奨された手法に基づき、脆弱性を解消し不正な操作を防ぐようにコーディングを行うことで、脆弱性を突いた攻撃のリスクは軽減される。Webアプリケーションに限らず、モバイルアプリやIoT機器など、あらゆるソフトウェア製品において、脆弱性を事前に回避する取り組みが必要だ。 設計段階からセキュリティを考慮する考え方は「セキュリティ・バイ・デ
米国家安全保障局、CやC++からメモリー安全性の高いJavaなどへの移行を推奨
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 米国家安全保障局(NSA)は米国時間11月10日、ソフトウェアのメモリー安全性強化に向けたガイダンスを公開した。同機関はその中で開発者らに対して、ハッカーらによるリモートコード実行(RCE)をはじめとするさまざまな攻撃からコードを保護するために、C#やGo、Java、Ruby、Swift、Rustといったメモリー安全性の高い言語に移行するよう推奨している。 これらの言語の中では、Javaが企業向けアプリや「Android」アプリの開発で最も幅広く使用されている一方、Swiftは「iOS」アプリの開発環境に取り込まれている点もあって人気プログラミング言語の上位に入っている。また、RustはシステムプログラミングにおいてCやC++の代替とし
Pythonのセキュリティに関する開発チーム向けの6つのベストプラクティス | Black Duck Blog
Pythonは初心者にも経験豊富な開発者にも適した、高速でプラットフォームに依存しない、習得しやすいプログラミング言語です。Pythonは、1991年の最初のリリース以来、コンピュータの世界で常に存在感を示し、わかりやすいコードと汎用性によって定番の言語となりました。今日では、幅広いライブラリやフレームワークを備え、素早く簡単なPythonプログラミング、いわゆるPythonic(パイソニック)な開発方法の基礎となっています。 しかし、プログラミング言語である以上、Pythonもセキュリティの脅威からは免れられません。攻撃者によるリスクを回避するには、セキュアコーディングのベストプラクティスを採用する必要があります。この投稿では、セキュアなアプリケーションを構築する場合に採用する必要があるPythonのセキュリティのベストプラクティスについて説明します。 常に最新のコードを使用して、ソフト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】最新Androidセキュアコーディングガイドに英語版 - JSSEC(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】セキュア開発が学べる無料オンラインコンテンツ - Linux Foundation(1ページ目 / 全1ページ):Security NEXT
