すべての開発者が知っておくべきメモリ管理についての知識
プログラミングにおいてメモリ管理は重要な要素の一つですが、その重要性を見過ごされがちなものです。メモリ管理の高レベルな抽象化について、「すべての開発者が知っておくべき要素」としてプログラマーのザカリー・リー氏が解説しています。 Memory Management Every Developer Should Know https://webdeveloper.beehiiv.com/p/memory-management-every-programmer-know メモリは「スタック」と「ヒープ」という2つの領域に分かれています。 ・スタック スタックは「先入れ後出し」という特徴を持つデータ構造で、プログラムの関数呼び出しを記録するのに非常に適しています。例えば下図のように「test()」と「main()」という2つの関数があり、main()からtest()を呼び出す場合を考えてみます。
Assured Open Source Software |ブログ(ほぼこもセキュリティニュース)|(株)コンステラ セキュリティ ジャパン
Assured Open Source Softwareってなんでしょう。 文字通り、安心できるオープンソースソフトウェアです、という話です。 オープンソースとして提供されるソフトウェアに脆弱性がある、とか、有益なオープンソースのソフトウェアがいつのまにかメンテナーが変わっていて悪意あるコードが含まれるようになっていてバージョンアップしたら悪意あるコードを含む状態になってしまった、とか、厳しい問題に直面することがあります。 そう、いわゆるソフトウェアサプライチェーン問題です。 これに真っ向から立ち向かおうというサービスが立ちあげられました。 Googleが発表したAssured Open Source Softwareです。 現時点で、こういう感じです。 対象言語 現時点ではJavaとPythonが対象になっています。 信頼できるリポジトリを提供する 通常その言語で利用されるリポジトリでは
【随時更新】主要プログラミング言語8種チートシート
はじめに 個人的に主要言語と思う8言語&スクリプト(python, JavaScript, Rust, Haskell, C++, C#, bash, PowerShell)のチートシートです インデントのために全角空白を含んでます。コピペする場合は気を付けて下さい ChatGPT(GPT-4)に書かせたコードなので一部変なコードがあるかもしれません 動かない場合はChatGPTにコードと一緒に"<プログラミング名>で<大分類名>の<小分類名>をやろうと思うんだけど、このコードを修正して。"的なことを書けば大抵の場合修正してくれます チートシート スプレッドシート版(こちらのほうが見やすいです) 記事版(中身はスプレッドシート版と同じです) 大分類 小分類 python JavaScript Rust Haskell C++ C# bash PowerShell
JSAC2023 開催レポート~DAY 2 Workshop~ - JPCERT/CC Eyes
JSAC2023の講演の様子を引き続きお伝えします。第3回はDAY2 Workshopについてです。 Surviving the hurt locker: or How I Learned to Stop Worrying and Love the Bom講演者:LINE株式会社 Simon Vestin、二関 学Simon氏、二関氏は、SBOMの説明およびSBOMを生成するプログラムを作成するハンズオンを行いました。SBOMとは、ソフトウェアやシステムを構成材料を列挙したものです。SBOMは、コンプライアンス・ライセンス管理や脆弱性管理に使用されており、複数の規格やタイプがあることを紹介いただきました。また、SBOMの作成方法として、モデリングを手動で行う方法やツールで自動化する方法を共有いただきました。 DIY CycloneDX/cyclonedx-python-lib https:
コードの84%に脆弱性──シノプシスがOSS活用のセキュリティリスクに関する調査結果を発表
解説を担当した、日本シノプシス合同会社のシニア・セキュリティ・エンジニア 吉井雅人氏 OSSRAレポートは、企業および団体のセキュリティ、法務、リスク管理、開発部門がオープンソースに潜むセキュリティやライセンス上のリスクの全体像をより良く把握できるようにすることを目的としたもの。商用ソフトウェアに組み込まれたオープンソースのセキュリティ、コンプライアンス、ライセンス、コード品質のリスクの現状とその分析がまとめられている。 2023年版では、2022年に収集された1700を超えるコードベースから、17種の業界におけるオープンソース・ソフトウェア利用のトレンドが明らかとなっている。 コードベースの84%に脆弱性、特にJavaScriptライブラリに注意 まず、コードベースの84%に1つ以上の既知の脆弱性が含まれていることが明らかとなった。これは、昨年の調査結果から約4%の増加となる。また、検出
GoogleやAWSが推進する次世代通信プロトコルの組み込み機器向けライブラリ
ユビキタスAIは、Googleなどが利用を広める次世代通信プロトコル「QUIC」を組み込み機器やIoT製品などで使用するためのソフトウェアライブラリ「Ubiquitous QUIC」と、「Ubiquitous RTOS IoT Enabler」のQUIC対応版を提供開始した。 ユビキタスAIは2023年3月7日、次世代通信プロトコル「QUIC(クイック)」を組み込み機器やIoT(モノのインターネット)製品などで使用するためのソフトウェアライブラリ「Ubiquitous QUIC」の提供を開始したと発表した。 また、同社のIoT製品向け組み込みソフトウェアのオールインワンパッケージ「Ubiquitous RTOS IoT Enabler」のQUIC対応版も同時に提供開始した。リアルタイムOS「TOPPERS-Pro」をベースにしており、Ubiquitous QUICを通信ミドルウェアコンポー
プログラムの創作性(否定)東京地判令4.8.30(平30ワ17968) - IT・システム判例メモ
プログラムの著作物性(創作性)が争点となった事例。 事案の概要 (かなり簡略化する) Xは、電子カルテ及びレセプトシステム等を構成するプログラム(Xプログラム)について、YがXプログラムを複製又は翻案したプログラム(Yプログラム)をSaaS方式によって提供したことによってXの著作権が侵害されたとして、差止請求及び損害賠償請求を求めた事案である。 ここで取り上げる争点 【Xプログラムの創作性】 もともと、このシステムはYが開発したものであるが、Yから開発を委託したZに著作権が移転したかどうかが争点となっていた。Xは、Xプログラムは契約に基づいてYからZに移転され、ZからXに移転されたと主張していた。これに対し、Yは、XプログラムはもともとYが著作権を有するプログラム(PMポータル)を用いて開発されたものであって、修正した部分についても創作性はないからYに留保されていると主張していた。 PMポ
クロスプラットフォーム開発「.NET MAUI」のデスクトップアプリ開発に使える5つの機能とは
クロスプラットフォーム開発「.NET MAUI」のデスクトップアプリ開発に使える5つの機能とは:1つの共有コードベースから多環境で実行可能なアプリを開発 Microsoftは、「.NET MAUI」で優れたデスクトップアプリケーションを作成するための主要機能として、「マルチウィンドウ」「トップレベルメニューバー」「コンテキストメニュー」「ツールチップ」「ポインタジェスチャ」を紹介した。 Microsoftは2023年1月23日(米国時間)、「.NET MAUI」で優れたデスクトップアプリケーションを作成するための5つの機能を紹介した。 .NET MAUI(.NET Multi-Platform App UI)は、2022年5月に一般提供が開始された。C#とXAMLを使用して、ネイティブのモバイルアプリやデスクトップアプリを作成するためのクロスプラットフォームフレームワークだ。.NET MA
サイバーセキュリティにおけるリバースエンジニアリング なぜ重要なのか?
サイバーセキュリティに関する専門的な知識やスキルを持った人材を求める企業が増え続けています。Cybersecurity Venturesによりますと、世界のサイバーセキュリティ人材の求人の数は、2013年には約100万人ほどでしたが、2021年には350万人と、3.5倍増加しています。当社のリサーチャーは、この先5年間も求人数は変わらないと予測しています。 この状況の背景にあるのは、即戦力となる実務の経験や適性を持つスペシャリストが不足しているという現実があります。学生が大学院でサイバーセキュリティ、コンピューターサイエンス、またはそれに類する分野の学位を取得していたとしても、働きたいと希望する企業が求める専門性と異なる場合があり、採用に至るとは限りません。また、企業が設ける要件のなかには、リバースエンジニアリングのハードスキルがあります。サイバー犯罪者は一般的に、他にはない自作のプログラ
日本におけるソフトウェアサプライチェーンセキュリティとSBOMの目的
連載第1回の記事では、世界でソフトウェアサプライチェーンセキュリティにおける「規制」が生まれてきた背景となる事象を列挙しつつ、かつての排ガス規制と重ねて書いてみた。今回は視点を移し、日本での状況について振り返ってみたい。 ⇒連載「ソフトウェアサプライチェーンの守り方」バックナンバー サイバーセキュリティ関連規制の国際的な動き まずはサイバーセキュリティ関連の規制に関連する国際的な動きをおさらいしてみようと思う。 米国大統領令の「EO14028」とEUのCRA(Cyber Resilience Act)法案があることは第1回の記事で触れたが、それぞれ対象の広さが大きく異なっており、関連する「規則」※1)などの法令も多岐にわたっている(図1)。 ※1)EUで法令となった規制にはRegulationやDirectionなどがあり、それぞれ「規則」「指令」と訳される。なお、Regulation(規
証拠保全結果を踏まえたライセンス違反による損害賠償請求(否定) 大阪地判令4.9.29(令3ワ4692) - IT・システム判例メモ
ソフトウェアの不正コピーの通報を端緒に、証拠保全が行われ、ライセンスチェックの結果をもとに不正コピーが主張されたが、その評価が争われた事例。 事案の概要 CADソフト(本件各ソフトウェア)の著作権者であるXは、情報処理関係のスクールを運営するYとの間で、本件各ソフトウェア(3製品)に関し、各6ライセンス分の利用許諾を受けていた。 Yは、そのほか、代理店経由で本件各ソフトウェアのライセンスを購入していた。 Xは、あるとき、ソフトウェア保護団体(BSA)の情報提供窓口を通じて、Yが、本件各ソフトウェアについて違法複製されているとの情報を入手した。 そこで、Xは、大阪地方裁判所及び神戸地方裁判所に対し、Yの3つの校舎を保全場所とする証拠保全を申し立て、同各地方裁判所は、証拠保全決定を行い、対象3校における本件各ソフトウェアのインストール状況、インストール履歴等についての検証(本件証拠保全)が行わ
ウェブブラウザ「Vivaldi」がWindows 7とWindows 8.1のサポートを終了する理由について開発者が解説
ウェブブラウザのVivaldiは、Windows 7および8.1でのサポートを2023年に終了すると発表しています。Vivaldiの開発者でセキュリティの専門家であるイングヴェ・パターソン氏が、Windows 7とWindows 8.1のサポートを終了する理由について公式ブログで解説しています。 Pulling the plug on expired Operating Systems | Vivaldi Browser https://vivaldi.com/blog/pulling-the-plug-on-expired-operating-systems/ すべてのブラウザは、Android、iOS、Linux、macOS、ChromeOS、Windowsという名前のOS(オペレーティングシステム)の上で動作します。これらのOSは、ファイルシステム、キーボード、マウス、グラフィックの
失われた「フリーソフト」の哀愁と、今を生きる開発者への願い。 - Zopfcode
かつて、窓の杜や Vector へウキウキでダウンロードしに行ったような「フリーソフト(フリーウェア)」たち。これら「フリーソフト」たちの中には、利用についての明示的な許諾がないソフトが多く存在する。 これらの公式な入手手段が生きている間は何も問題はない。しかし最近は、サイトが閉鎖されるばかりか、連絡先すらわからず困るケースが多くなっている。このように公式の配布手段が失われると何が困るのか。そこには大きく2つの問題がある。再利用の許諾を欠くことと、ソースコードがないことだ。 2022/12/29 追記: unasuke が「コードを公開する側」から見て同じ話題を解説した記事を公開しているので、私の記事とは別な視点が欲しい、あるいは疑問を持った方がいれば是非こちらも参照して欲しい。 blog.unasuke.com 問題1. 再利用の許諾がない(あっても曖昧) 再利用の許諾が書かれていなけれ
いまさら聞けない、ノーコード・ローコードが注目されるワケ
今求められる「ノーコード・ローコード」開発ノーコード、ローコードとは、プログラム開発言語を使ったコーディングを全く、あるいはほとんどすること無くアプリケーションの開発を行うことを指します。特にここ 1 年でこのノーコード・ローコードというキーワードが国内でもよく聞かれるようになりました。ミック経済研究所による市場調査レポート*では、ローコード開発市場全体では 2023 年度に 4,560 億円、CAGR(年平均成長率)16.3% という予測がされており、大きな伸びが見込まれています。なぜ今、ノーコード・ローコードが注目を浴びているのでしょうか?そこには、日本の企業や IT 業界が直面している課題と、ノーコード・ローコードが 持つ DX(デジタルトランスフォーメーション)を加速させるための大きな可能性に理由があります。 (*)デロイト トーマツ ミック経済研究所『DX実現に向けたローコードプ
Googleの無料オープンソース脆弱性スキャンツール「OSV-Scanner」の実力とは?
Googleは2022年12月13日(米国時間)、オープンソース開発者が自分のプロジェクトに関連する脆弱(ぜいじゃく)性情報に簡単にアクセスできる無料ツール「OSV-Scanner」を公開した。 Googleは2021年にオープンソースソフトウェア(OSS)の開発者と利用者のために、脆弱性のトリアージ(優先順位を付けて対処すること)を改善する取り組みとして、「Open Source Vulnerability」(OSV)スキーマを公開し、これに基づく分散型オープンソース脆弱性データベースサービス「OSV.dev」を立ち上げた。OSV-Scannerの公開は、この取り組みの次のステップだとしている。 OSVスキーマは、全てのオープンソースエコシステムと脆弱性データベースが、1つのシンプルで正確かつ機械可読なフォーマットで情報を公開し、利用できるようにする。OSVデータベースは、プロジェクトの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】ソフトウェア開発者のセキュリティ教育改善プラン - OpenSSF(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「ローコード開発ツール」のセキュリティガイドライン策定支援サービス(1ページ目 / 全1ページ):Security NEXT
NEC、実行ファイルの静的解析でソフトの脆弱性を検出する技術を開発
テクマトリックス、APIテスト自動化ツールの最新版「SOAtest/Virtualize 2022.2」を販売開始
「ソフトウェア脆弱性スナップショット」レポート:テストの 95% で対象アプリの脆弱性を発見 | Black Duck Blog