サプライチェーン攻撃への防御策 | blog.jxck.io
Intro 前回は、Nx の事例をベースに「パッケージを公開する側」の対策について解説した。 今回は、「パッケージを使う側」、もっと言えば「OSS を使う上で開発者が考えるべきこと」について考察する。 OSS の危険性 npm 起因のサプライチェーン攻撃が確認されたことで「npm は危険だ」という話になると、「npm を禁止すべき」といった極端な話になったりする。 前回のブログで紹介したような対策を行うなら、多少は良くなるかもしれない。しかし、それらは全てパッケージ公開者に委ねられる。自分が公開者として実施するなら、自分が原因で攻撃が発生することは防げるだろう。 一方、攻撃に必要な突破口は 1 つあれば良い。npm にある全てのパッケージが対策されない限り、npm を主語とした安全が担保される日は来ない。 この広大な依存関係の中には、闇落ちした開発者が、それまでの善良なコードを、自分の意志
現代的なLinuxコマンドを活用して、WSL環境をもっと快適にしてみよう
第18回の今回は、WSL環境で役立つLinuxコマンドをピックアップし、インストール方法と基本的な使い方について解説します。 はじめに 第6回では、Linuxの基礎コマンド群「Coreutils」について解説しました。Coreutilsに含まれるlsやcatをはじめ、grep、diff、topといったコマンドは、どの環境にもインストールされている基本中の基本のため、ひと通り使えるようになっておくべきです。 しかし、これらのコマンドは歴史が古く、現代からすると機能的に物足りなかったり、不親切な部分もあります。そこで、こうした基本コマンドを置き換える、より現代的な実装が数多く登場しています。こうした現代的な実装は、おおむね共通して以下のような特徴を持っています。 従来のコマンドと比べて高いパフォーマンス カラフルな出力やシンタックスハイライトといった視覚的な改善 より分かりやすいオプションや引
真説 Windowsでディレクトリ区切りのスラッシュ / がバックスラッシュ ⧵ で円マーク ¥ な理由 - Qiita
はじめに Windows ではディレクトリ区切りに Unix 系 OS の / ではなくバックスラッシュ ⧵ を使い、しかも 日本語フォントでは 円マーク ¥ で表示されます。なぜこうなったかは次の独立した 2 つの理由からです。 はるか昔に JIS の文字コードの標準規格はあまり使わない ⧵ を必須の ¥ に置き換えた はるか昔にコマンドのオプション(スイッチ)としてすでに / を使っていた Microsoft は他の OS のやり方を真似するのが嫌だからとか権利侵害になりそうだから ⧵ に変更したなどという根も葉もない噂がありますが、そうではありません。むしろ Microsoft は他の OS のやり方を取り込んだんです。なお、後で解説しますが、Windows は昔からディレクトリ区切りに/ と ⧵ の両方を使えるので Unix 系 OS と互換性がないわけではありません(どっちかと言
Linuxのコードをたった30行修正するだけでデータセンターの電力消費量を最大30%削減可能、実際にLinux 6.13から反映される
「データセンターがデータトラフィックを処理する方法はもっと効率的にすることができる」として、カナダ・ウォータールー大学のマーティン・カーステン教授が提案したコード修正が、Linux 6.13で反映されます。修正により、主要データセンターのエネルギー消費量は最大で30%削減できるとのことです・ Coding for a greener internet | Waterloo News | University of Waterloo https://uwaterloo.ca/news/media/coding-greener-internet Changing Linux code could cut data center energy use by 30%, researchers claim - DCD https://www.datacenterdynamics.com/en/new
「ロシア人がLinuxのカーネルメンテナーを解任されている件」についてリーナス・トーバルズが説明
by TED Conference 2024年10月20日にリリースされたLinux 6.12-rc4カーネルで、Linuxのカーネルメンテナーからロシア人あるいはロシアと関連するアカウントを削除する提案がマージされ、Linuxコミュニティで激しい議論が巻き起こったため、Linuxカーネルの優しい終身の独裁者を務めるリーナス・トーバルズ氏がこの件について説明しました。 Re: [PATCH] Revert "MAINTAINERS: Remove some entries due to various compliance requirements." - Linus Torvalds https://lore.kernel.org/all/CAHk-=whNGNVnYHHSXUAsWds_MoZ-iEgRMQMxZZ0z-jY4uHT+Gg@mail.gmail.com/ Linus T
IT部門が頭を抱える「CentOS終了問題」 なぜ企業は後継OSに「AlmaLinux」を選ぶのか
IT部門が頭を抱える「CentOS終了問題」 なぜ企業は後継OSに「AlmaLinux」を選ぶのか:移行先の検討で留意すべきこと 無償のLinuxディストリビューションである「CentOS」の更新が2024年6月に終了した。そのまま使い続けるとセキュリティリスクになるが、有償の「Red Hat Enterprise Linux」への移行は検証も含め、コスト面で課題があるケースも多い。日本語サポートも欲しいところだ。現実的な移行先を解説する。 無償のLinuxディストリビューションとして普及している「CentOS」を利用する企業が今、岐路に立たされている。「CentOS Linux 8」はアップデートが2021年末に打ち切られ、「CentOS Linux 7」の更新が2024年6月に終了した。今後もセキュリティパッチを適用して安全に使うためには、ベンダーが有償で提供しているCentOSの延長
トーバルズ氏が語る「Linux」メンテナーの高齢化と後継者問題--20周年の「RTLinux」にも言及
ウィーン発--「Linux」の生みの親であるLinus Torvalds氏は、The Linux Foundationの「Open Source Summit Europe」の基調講演で、カーネル開発や「Rust」の統合、オープンソースの未来について、自身の考えを率直に語った。Torvalds氏の友人でVerizonのオープンソースプログラムオフィスの責任者を務めるDirk Hohndel氏が、Linuxエコシステムに関する基調講演の司会を担当した。 Torvalds氏は、先頃公開された「Linux 6.11」カーネルなどのリリースが面白みに欠けるのは意図的だ、と強調した。「約15年間にわたり、非常に規則正しいリリースを行ってきた」と同氏は説明する。この9週間ごとの定期的なリリースの狙いは、派手な新機能を提供することではなく、適時性と信頼性を確保することだ。 LinuxカーネルへのRus
Mac やめて Linux PC を自作した - IT戦記
みなさまお元気ですか 暑さも少し落ち着いてきて、ようやく外に出てもいいかなという気になってきました。季節の変わり目体調には気をつけていきたいですね。 実は、一ヶ月くらい前に Linux PC を自作して Mac から移行しました。そのときの考え、その後の感想を残しておきます。 また、学んだことや作業のログを細かく残しておきたいと思います。(どこかの誰かが不安に思ったときに同じ失敗や疑問を経験した人がいて安心してもらえたら嬉しい) Ubuntu のインストール画面 (ベストオープンソースと開発しよう!) 目次 Mac をやめるきっかけ、経緯 Ubuntu に移行して一ヶ月の感想 おまけ1: どのような PC になったか おまけ2: 事前に学んだこと おまけ3: PC の組み立て おまけ4: Ubuntu のセットアップ 加筆/修正 指摘のあった誤字を修正 NVEnc について誤った内容があっ
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった | ソフトアンテナ
CrowdStrikeは数ヶ月前にDebianとRocky Linuxを破壊していたが誰も気づかなかった 2024 7/20 Windowsデバイスで広範囲にブルースクリーン・オブ・デス(BSOD)が発生し、航空会社、銀行、医療機関など、さまざまな分野で業務が中断しています。 原因は、クラウドベースの総合セキュリティソリューション「CrowdStrike Falcon」のアップデートによって配信されたドライバーファイルにあり、CrowdStrikeは問題を認め、MacやLinux PCには影響しないと説明しています。 今回の問題は突然発生したかのように思えますが、実は同じような問題が数ヶ月前にも発生し、DebianとRocky Linuxのユーザーが大きな影響を受けていたことがわかりました(Neowin)。 Hacker Newsによると今年の4月、CrowdStrikeのアップデートによ
AlmaLinux OS 9 - CVE-2024-6387: regreSSHion
If you are running an AlmaLinux OS 9 machine, you need to know about a vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems that was published earlier today, July 1, 2024. It has been assigned the identifier CVE-2024-6387 and named regreSSHion. This vulnerability is exploitable remotely and grants unauthenticated root access. Security is our top priority at AlmaLinux and we aim to
[2024-04-12 JST 更新] 脅威に関する情報: 複数の Linux ディストリビューションに影響を与える XZ Utils データ圧縮ライブラリーの脆弱性 (CVE-2024-3094)
バージョン 5.6.0 とそれ以降の xz の上流の tarball に悪意のあるコードが発見されました。一連の複雑な難読化を通じ、liblzma ビルド プロセスは、ソース コード内に存在する偽装されたテスト ファイルから、ビルド済みのオブジェクト ファイルを抽出します。その後このオブジェクト ファイルが liblzma コード内の特定関数の改変に使われます。これにより、任意のソフトウェアから利用されうる改変済みの liblzma ライブラリーが作成され、同ライブラリーとのデータのやりとりの傍受や変更ができるようになります。 パロアルトネットワークスのお客さまは、以下の方法で CVE-2024-3094 の脆弱性に対してより適切に保護され、また緩和策を実施することができます。 Advanced WildFireなどのクラウド配信型セキュリティサービスを有効にした次世代ファイアウォール は
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
Everything I Know About the XZ Backdoor
Everything I Know About the XZ Backdoor stateevergreeninblogtagsopen-sourcedate3/29/2024licenseCC BY-SA 4.0This publication was last updated at 12:49 PM EST on April 8th Recently, a backdoor was discovered in XZ, a popular library for lossless data compression. Initial research efforts were predominantly concentrated on unpacking the well-disguised attack vector, while the social aspects of the at
XZ Utils - Wikipedia
XZ Utils(以前のLZMA Utils)は自由なコマンドライン可逆圧縮ソフトウェアのセットであり、LZMAとxzを含んでいる。Unix系オペレーティングシステムおよび、バージョン5.0以降はWindowsにも対応している。 xzはgzipとbzip2のような代替ソフトウェアよりもより高い圧縮率になる。 伸長速度はbzip2より速いが、gzipよりも遅い。圧縮はgzipよりもだいぶ遅くなることがあり、高圧縮ではbzip2よりも遅い。圧縮されたファイルが頻繁に使われるときに最も有用となる。[3][4] XZ Utilsは大まかに2つの構成要素からなる。 xz。コマンドラインの圧縮・伸長ソフトウェア(gzipに類似している) liblzma。zlibに似たAPIを持つライブラリ 様々なコマンドラインのショートカットがある。例えばlzma(xz --format=lzma)、unxz(xz
XZ Utils - Wikipedia
XZ Utils (previously LZMA Utils) is a set of free software command-line lossless data compressors, including the programs lzma and xz, for Unix-like operating systems and, from version 5.0 onwards, Microsoft Windows. For compression/decompression the Lempel–Ziv–Markov chain algorithm (LZMA) is used. XZ Utils started as a Unix port of Igor Pavlov's LZMA-SDK that has been adapted to fit seamlessly i
Linux Crisis Tools
(This is based on Table 4.1 "Linux Crisis Tools" in SysPerf 2.) Some longer notes: [1] bcc and bpftrace have many overlapping tools: the bcc ones are more capable (e.g., CLI options), and the bpftrace ones can be edited on the fly. But that's not to say that one is better or faster than the other: They emit the same BPF bytecode and are equally fast once running. Also note that bcc is evolving and
【 locale 】コマンド――現在のロケールと使用可能なロケールの情報を表示する:Linux基本コマンドTips(263) - @IT
Linux基本コマンドTips一覧 本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、現在のロケールと使用可能なロケールの情報を表示する「locale」コマンドです。 localeコマンドとは? 「locale」は現在のロケールと使用可能なロケールの情報を表示するコマンドです。 言語と地域の設定を「ロケール設定」(locale、ロカールとも表記)と呼びます。Linuxでは環境変数「LANG」と「LC_*」(通貨はLC_MONETARY、日時はLC_TIMEなど)を使って設定します。以前はロケールで言語だけを指定していましたが、現在は言語と地域と文字コードを組み合わせて「言語_地域.文字コード」と指定します。例えば、日本語は「ja」、日本は「JP」と表すので、「日本語」「日本」「UTF-8」という設定なら、「ja_JP.UTF-8」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Linux コンテナの歴史を追うとコンテナの仕組みがわかる / Dai Kichijoji pm
Xfennec/cv · GitHub - Linux tool to show progress for cp, rm, dd, ...
