アジャイルプラクティスガイドブック チームで成果を出すための開発技術の実践知 チーム・組織にプラクティスを導入し、根付かせるために! 116の手法を一冊にまとめた“実践”の手引き チームでのアジャイル開発には、開発技術やツールなどの「技術プラクティス」の活用が重要です。 プラクティスはそれぞれの目的や役割を意識することで効果を発揮します。しかし、目まぐるしく状況が変化する開発では、当初の目的を忘れて、プラクティスに取り組むこと自体が目的化してしまうチームも少なくありません。 本書は、チーム・組織でアジャイル開発に取り組んできた著者が、プラクティスの効果的な選択・活用のしかたについて、自らの実践経験に基づいてまとめたガイドブックです。 架空の開発現場を舞台にしたマンガとともに、チーム開発の様々なシーンで役立てられるプラクティスを、幅広くかつわかりやすく解説しています。開発現場に備えておけば、
この2年でFirebase Authentication はどう変わった?セキュリティ観点の仕様差分まとめ - Flatt Security Blog
はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義だと言えます。IDaaSに限らず認証のセキュリティに興味のある方には参考になるコンテンツだと思います。 更新した記事につきましては、以下をご覧ください。 差分について Firebase Authenticationの落とし穴と、その対策を7種類紹介する、というのがオリジナルの記事の概要でしたが、2年ほどの時間の中で対策については大きく進歩したものが4点ありました(残念ながら落とし穴が無くなった、とまでは言えませんが)。 今回記事の中で更新したのは以下4点です。 落とし穴 1.
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2024-08-30 07:30 香港発--Linus Torvalds氏と、その友人でVerizonのオープンソースプログラムオフィスの責任者を務めるDirk Hohndel氏が、The Linux Foundationのカンファレンス「KubeCon + CloudNativeCon + Open Source Summit China」で再び対談し、「Linux」開発とそれに関連する問題について語り合い、聴衆を沸かせた。 両氏はいつものように、Linuxカーネルの現状と今後について語った。具体的には、リリースプロセス、セキュリティ、「Rust」のLinux統合、ソフトウェア開発におけるAIの役割など、Linux開発のさまざまな側面に言及した。 Torv
あけましておめでとうございます。年がもう明けてしまいましたが、2023年に読んでよかった本について簡単に書いていこうと思います。noteで書いていましたが、こちらのブログをしっかり使わないといろいろもったいなと思ったので、技術に関係ない話題ではありますがこちらに書いていきます。 技術書 単体テストの考え方/使い方 フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 プロを目指す人のためのTypeScript入門 安全なコードの書き方から高度な型の使い方まで 技術書でないもの サピエンス減少 縮減する未来の課題を探る ネガティヴ・ケイパビリティで生きる 2050年の世界 見えない未来の考え方 訂正可能性の哲学 GitLabに学ぶ 世界最先端のリモート組織のつくりかた ドキュメントの活用でオフィスなしでも最大の成果を出すグローバル企業のしくみ 2024
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバ
Sansan 技術本部 情報セキュリティ部 CSIRT グループの川口です。 2023年4月からセキュリティエンジニアで新卒として、Sansan に入社しました。 現在は ログ基盤(SIEM)のログの取り込み部分の機能修正、問い合わせ対応、インシデント対応などの業務に取り組んでいます。 今回は内定者インターンシップで開発した、自宅ルータの脆弱性検知システムについて紹介します。 目次は以下の通りとなります。 開発に至った経緯 作成したシステム 技術的な話 EDR ポートスキャン チケットシステムへの起票 SOAR まとめと今後の課題 開発に至った経緯 新型コロナウイルスの流行に伴い、リモートワークという言葉をよく耳にするようになったと思います。 弊社でも緊急事態宣言下においては、原則リモートワークとなり、現在はオンライン・オフラインを併用した働き方をしています。 ここで問題となってくるのが自
関連キーワード VPN | ネットワーク・セキュリティ | 在宅勤務 エンドユーザーはインターネットを利用する際、VPN(仮想プライベートネットワーク)を用いることでその接続の安全性を保てる。企業のネットワークチームは、従業員がリモートアクセスをするための手段としてVPNを重宝している。 VPNにはさまざまな選択肢がある。中には暗号化方式が古く、安全でないものもある。主要な5つのVPNを解説する。 主要な5つのVPNの特徴とは 1.L2TP/IPsec 併せて読みたいお薦め記事 連載:VPN徹底解説 前編:いまさら聞けない「VPN」の基礎知識 暗号化が必要になった理由は? VPNの新しい姿とは 「無料VPN」を好むZ世代はクールじゃない? 有料VPN世代との違い アラブ諸国で「VPN」が使い倒されていた“意外な理由” 「L2TP/IPsec」は、「Layer 2 Tunneling Pro
日本人のサイバーセキュリティ知識は世界最下位
日本人のサイバーセキュリティ知識は世界最下位世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 世界のオンラインプライバシーとサイバーセキュリティに対する意識は悪化の一途をたどっているという調査結果 昨年と比べ、日本は世界ランキングで9位から12位に後退しました。韓国と並び世界最下位です。 日本人はAIを仕事に使用する際のプライバシー問題について無知です。 2023年と比較すると、FacebookがFacebookを利用していない人のデータも収集できることを理解している日本人の数は減りました。 サイバーセキュリティ企業NordVPNの新たな調査[https://nordvpn.com/ja/blog/national-privacy-test-japan-2024/] によると、サイバーセキュリティとインターネットプライバシーに関する知識
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
今回の羽田の航空事故を巡り、事故の刑事責任の追及が自動車事故などに比べて緩やかなのはやはり納得できない、という声と、今後の安全性のためにはそれが当然、という現在の慣行を支持する主張が改めて持ち上がり、議論になっている。現在の慣行については、その日米比較を行ったこちらの服部健吾氏の論文が参照されることが多いようだが、同論文では現在の慣行を支持する論拠として、「萎縮効果(chilling effect)」が一つのキーワードになっている*1。そこで「chilling effect accident criminalize」で検索を掛けてみたところ、Flight Safety Foundation*2のPresident兼CEOのHassan Shahidiが2019年5月17日に書いた「Criminalizing Accidents and Incidents Threatens Aviatio
中小の太陽光発電施設がサイバー攻撃を受け、不正送金などに悪用される事例が出始めた。売電収入を目的にパネルを設置した個人所有者が十分なセキュリティー対策を施していないことが原因だ。中小の設備は日本全体の2割強に相当し、発電の出力低下などにつながるリスクもある。太陽光を活用した分散型電源システムの普及に影を落とす可能性も出てきた。「ハッカーが当社の遠隔監視機器の脆弱性を突き、機器が悪用されうる状況
最近では開発環境をローカルに構築することなく、Dockerをはじめとするコンテナ技術を使用する場面が増えています。コンテナ技術の利用により、環境の構築手間が大幅に軽減でき、さらにプログラミング言語やデータベースのバージョン管理も柔軟に行えるのが主な利点として挙げられます。 そんなコンテナ技術で有名なものとしてはDockerが存在しますが、最近では他にもさまざまなコンテナ技術や仮想化技術が登場しています。本記事では、これらの技術の相違点や特徴について紹介します。 コンテナはホストOSから独立した環境でアプリケーションを実行する技術です。 Dockerの場合を見てみると、下の図のようにホストOSの上にDockerが存在し、このDockerが様々なアプリケーションを「コンテナ」として管理しているとイメージできます。 具体的には、コンテナ内には必要なライブラリや依存関係がパッケージ化されており、こ
2024年7月17日、東京ガスおよびグループ子会社の東京ガスエンジニアリングソリューションズは、不正アクセスにより同社が保有する顧客情報などが流出した可能性があると公表しました。流出の可能性のある情報には委託元より提供を受けている情報も対象となっていることが明らかにされています。これを受け委託元の組織からも相次ぎ関連する公表が行われています。ここでは関連する情報をまとめます。 VPN機器を介して不正アクセス 不正アクセスが確認されたのは東京ガスエンジニアリングソリューションズ(以降TGES社と表記)の社内ネットワーク。TGES社ネットワーク上での不正アクセスを検知し調査を進めていたところ、特定のファイルサーバーへアクセスが可能な複数の従業員のクレデンシャル情報(IDとパスワード)が窃取されていた事実が判明した。(不正アクセスがいつ頃から行われていたのかは調査中ためか2社公表での説明はない。
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023 GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。 今回発
Aterm製品におけるLAN側からの不正アクセスの脆弱性への対処方法について[2024年7月31日更新]|サポート技術情報|目的別で探す|Aterm(エーターム) サポートデスク
このたびAterm製品の一部で、悪意のある第三者により、お客様の意図しない現象を引き起こされる可能性があることがわかりました。 Aterm製品は、管理パスワードおよび無線暗号化キーによって、お使いの方以外はアクセスできないようになっておりますが、対象製品をお使いの場合は、影響を受けにくくする対策として、以下の内容に従ってご対応をお願いいたします。 ご利用いただいているお客様には、ご不便とご迷惑をお掛けいたしましてまことに申し訳ございません。 現象1 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、telnet経由で任意のコマンドが実行される可能性 現象2 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、UPnP経由で任意のコードが実行される可能性 現象3 : 悪意ある第三者によってお客様がご使用の製品がアクセスされた場合、任意のコマンドが実行される、
TOPフォーカス「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】 セキュリティ芸人 アスースン・オンライン ゲーム会社でプログラマーをしつつ、趣味でセキュリティ芸人として活動。情報セキュリティ系のイベントやYouTube上でネタを披露している。R-1グランプリ2023では1回戦を突破。芸名は、大学の後輩にSNS上で陰口を書かれていたとき、本名の「麻生さん」をもじり、敬称まで含めて「ASUSN」と呼ばれていたのが由来とのこと。「オンライン」は語感で付けた。 X 「脆弱だなあ~」のツッコミをキーフレーズに、情報セキュリティや脆弱性をテーマにしたネタを披露する「セキュリティ芸人」のアスースン・オンラインさん。2023年3月に、YouTubeチャンネルに投稿したネタ披露の動画は90万回以上再生されるなど、エンジニアを中心に一定の人気を集
ランサムウエア起因による岡山県精神科医療センターのシステム障害についてまとめてみた - piyolog
2024年5月20日、岡山県精神科医医療センターは、サイバー攻撃に起因した電子カルテのシステム障害が発生していると公表しました。また6月11日には同センターが保有する患者情報が流出の可能性も判明したことが明らかにしました。ここでは関連する情報をまとめます。 ランサムウエアで電子カルテシステムに障害 ランサムウエアによる被害にあったのは岡山県精神科医療センターと東古松サンクト診療所。攻撃によってデータが暗号化され、2024年5月19日16時頃に両施設で運用している電子カルテシステムを含む総合情報システムで障害が発生した。また翌20日にはシステム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものが確認された。 同センターでは障害発生後に紙カルテを用いた診療体制に運用を切り替えしており、医療サービスの提供への直接的な影響は生じていない。また6月1日からは仮の電子カルテシステムを使用
2024年5月1日、太陽光発電施設の遠隔監視機器 約800台がサイバー攻撃を受けていたと報じられました。ここでは関連する情報を調べた内容についてまとめます。 監視機器を経由し不正送金 太陽光発電施設の遠隔監視機器がサイバー攻撃を受けているとして、報じたのは産経新聞の次の記事。コンテック社の遠隔監視機器が乗っ取られ、インターネットバンキングの不正送金に悪用されていたというもの。 www.sankei.com 攻撃を受けた機器には脆弱性(記事では「サイバー攻撃対策の欠陥」と表記)が存在。これを悪用されたことで機器上にバックドアが設置され、機器を経由(攻撃者が身元を隠すために踏み台にしたとみられる)して不正送金にかかる操作が行われていた。当該事案については既に静岡県警も不正アクセス禁止法違反の容疑で捜査中とされている。 SolarView Compactの脆弱性を悪用 脆弱性が悪用された監視機器
【論考紹介】咀嚼できるものを噛みちぎる:消耗戦環境を理解しているウクライナ(by Robert Rose)|Panzergraf
本記事は、「咀嚼できるものを噛みちぎる:消耗戦環境を理解しているウクライナ」(Robert Rose, “BITING OFF WHAT IT CAN CHEW: UKRAINE UNDERSTANDS ITS ATTRITIONAL CONTEXT”, War on the Rocks, 26.09.2023)の紹介記事になります。著者のロバート・ローズ氏は米陸軍少佐で、訓練機関での勤務、アフガニスタンでの戦闘経験がある人物です。 2023年6月から始まったウクライナ軍の反転攻勢作戦に関して、その戦い方の拙さを指摘する声があります。そのような見解を指摘する人々はしばしば、ウクライナ軍がNATO流の(米軍流の)戦闘様式に習熟していない、ウクライナ軍はNATO軍や米軍のような戦い方ができていないと述べますが、ローズ氏はそのような指摘を否定的に捉えています。 以下、この論考の流れに沿って、内容
はじめに こんにちは。先日、社内にてSBOMに関する勉強会を行いました。この記事では、そこで学んだことを解説していきたいと思います。 具体的な内容は以下の通りです。 SBOMとは何か SBOMを導入するとどんなメリットがあるか SBOMを導入するにはどんなことに気を付けて何をすれば良いか SBOMにはどんな種類があるのか 特に、SBOMに興味はあるけど具体的に何していいかわからない、という方に参考になると思っています。少々長いですが、最後まで読んでいただけると嬉しいです。 それでは、順番に説明していきます。 SBOMとは SBOMとは、ソフトウェア部品表(Software Bill of Materials)、つまり、ソフトウェアコンポーネントやそれらの依存関係の情報も含めた機械処理可能な一覧リストのことです。 ソフトウェアに含まれるコンポーネントの名称やバージョン情報、コンポーネントの開
The Registerは1月2日(現地時間)、「Google password resets not enough to stop this malware • The Register」において、情報窃取マルウェアにセッション情報を窃取された場合、Googleパスワードを変更するだけでは不十分だとして、注意を呼び掛けた。最新のセキュリティ研究によると、ユーザーが侵害に気づいてパスワードを変更しても、脅威アクターは侵害したアカウントにアクセスできるという。 Google password resets not enough to stop this malware • The Register Google認証が抱えるゼロデイ脆弱性悪用の概要 このGoogleのゼロデイの脆弱性は、2023年10月に「PRISMA」と呼ばれる脅威アクターにより悪用が予告されていた。The Register
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
AWS Lambdaの高速なコンテナロードの仕組み | CyberAgent Developers Blog
CTO統括室の黒崎(@kuro_m88)です。今回はAWS Lambdaの高速なコンテナロードの仕組みについて紹介します。 AWS Lambdaはサーバレスなマネージドサービスであり、難しいことを知らなくてもユーザ(私たち)は簡単にアプリケーションをホストでき、簡単にスケールします。 ユーザから見るとシンプルですが、その裏側では様々な仕組みがあったり最適化が行われたりしています。 マネージドサービスの裏側を必ずしも知る必要はありませんが、仕組みを知っておくとより使いこなせるはずですし、自信を持って技術選定ができるはずです。(そして何より裏側を知ることは楽しい!🤗) 本記事はUSENIX ATC 2023で発表された論文「On-demand Container Loading in AWS Lambda」の内容に基づいて、読んでいて面白かったポイントをまとめています。 On-demand
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。 ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8%増となっているが、求められる人材数は59万1000人(2022年比33%増)であり、需要と供給の間にはまだまだギャップがある。 ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうす
はじめに 目まぐるしく進化するフロントエンド開発の世界では、常に最新の知識や技術をいち早く取り入れることが、エンタープライズアプリケーションの開発を成功させる上で欠かせません。Tailwind CSS、TypeScript、Turborepo、ESLint、React Queryなどを含む強力なツールキットとNext.jsを4年間使用してきた結果、開発に役立つさまざまな知見やベストプラクティスが得られました。この記事では、大企業向けフロントエンドアプリケーションのパフォーマンス、保守性、拡張性を最大限に高める設計・構築手法を紹介したいと思います。 注記:ここに記載する内容はあくまでも個人的な見解であり、筆者が推奨する手法が必ずしも適さない場合もあります。 効果的なエンタープライズ向けフロントエンドアーキテクチャの基本原則 エンタープライズ規模のアプリケーション向けにフロントエンドソリューシ
Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり
セキュリティ企業・Binarlyの研究チームが、Acer、Dell、GIGABYTE、Intel、Supermicroが販売する200種類以上のデバイスでブート時に任意コード実行が可能になる脆弱(ぜいじゃく)性「PKfail」を報告しました。脆弱性の起因は、セキュアブートの基盤となるプラットフォームキーが2022年に漏えいしたことと指摘されています。 PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem SupplyChainAttacks/PKfail/ImpactedDevices.md at main
生成AIのビジネスへの利活用の一環として、AIプログラミング補助ツール「GitHub Copilot」の導入に踏み切る企業が増えている。ファッションECサイト「ZOZOTOWN」を運営するZOZOもその一つで、2023年5月に法人向けサービスである「GitHub Copilot Business」を全社導入した。 ZOZOには約500人のエンジニアが所属しており、その全員がGitHub Copilot Businessを利用できるようにした。一方で、AIツールの全社導入に当たっては、セキュリティや費用対効果など、検討すべき点も多い。ZOZOではどのような検討の結果導入に至ったか、同社のテックリードを務める堀江亮介さん(技術本部技術戦略部CTOブロック)が公開している外部向け資料からひもとく。 全社導入を進める際、ZOZOでは「セキュリティ上の懸念」「ライセンス侵害のリスク」「導入による費用
カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開
カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開 アンチウイルスソフトウェアで知られるカスペルスキーは、Linux専用のアンチウイルスソフトウェア「Kaspersky Virus Removal Tool for Linux」の無料公開を発表しました。 Introducing our Virus Removal Tool for Linux! Our FREE application scans and cleans Linux systems for known cyber threats, ensuring your machines remain secure. #LinuxSecurity #CyberDefense All you need to know about KVRT for L
TypeScript未経験でもスムーズに業務に取り組める、最強の学習用コンテンツを作った話 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 19日目の記事です。 この記事では、TypeScript未経験のインターン生にすぐにSkyWayの開発に取り組んでもらうために、TypeScriptの学習用コンテンツを作成した話を紹介します。 学習用コンテンツでどのようなスキルを身に着けてもらったのか、効果的に学ぶためにどのような点を工夫したのかについても説明します。 はじめに 学習用コンテンツの目的 TypeScript学習用コンテンツの紹介 取り組んでもらった結果 より高度な内容について おわりに はじめに 皆さまこんにちは。イノベーションセンター SkyWay DevOps プロジェクト所属の@sublimerです。 SkyWayのチームでは、今年の8〜9月に現場受け入れ型のインターンシップを実施しました。 インターン生を受け入れるにあたっ
テクノロジー部門CTO室の笹田(ko1)と遠藤(mame)です。今年の 9 月から STORES 株式会社で Ruby (MRI: Matz Ruby Implementation、いわゆる ruby コマンド) の開発をしています(Rubyのこれからを STORES で作る。Rubyコミッター笹田さん、遠藤さんにCTOがきく「Fun」|STORES People )。お金をもらって Ruby を開発しているのでプロの Ruby コミッタです。 本日 12/25 に、恒例のクリスマスリリースとして、Ruby 3.3.0 がリリースされました(Ruby 3.3.0 リリース)。クックパッド開発者ブログで連載していたように、今年も STORES Product Blog にて Ruby 3.3 の NEWS.md ファイルの解説をします(ちなみに、STORES Advent Calendar
Go製アプリケーション/ライブラリにおけるメンテナンス性を重視したGoのバージョン管理戦略 - Diary of a Perpetual Student
2024-08-28 GOTOOLCHAIN=auto時にはtoolchainディレクティブに指定したものより新しいGoがインストールされていても戻るわけではないという話を追記しました。 Go言語では半年に1回メジャーリリース(マイナーバージョンの更新)がやってきます。ちょうどこの8月にGo 1.23がリリースされたばかりです。Go言語のメジャーリリースは最新2つ分までサポートされるポリシーであることがhttps://go.dev/doc/devel/releaseに書かれています。現在であればGo 1.23やGo 1.22はサポートされており、Go 1.21はサポートが切れているということです。 また、サポートされているバージョンでは、不定期でマイナーリリース(パッチバージョンの更新)がやってきます。バグ修正や脆弱性対応がメインですね。 Goがリリースされると、Goでアプリケーションを作
Google の最新スマートフォンPixel 8シリーズは7年間のOS アップデート、セキュリティパッチ提供を保証するという「長く使えるスマートフォン」のお手本のような構成となった。 その一方、ネット上では長く使えることを歓迎する声だけでなく、これを否定的に捉える意見も見かけた。今回はスマートフォンの長期のアップデートというものが本当に必要なのかといったところを考えてみよう。 Google Pixel 8が7年間のOSアップデートを提供したことが大きな話題に 7年のOSアップデートは必ずしも歓迎されない。理由は「ハードウェア寿命」「性能の陳腐化」「長期サポートによる値上げ」 スマートフォンへ7年間のOSアップデート。これからは社会的に求められる時代か Google Pixel 8が7年間のOSアップデートを提供したことが大きな話題に スマートフォンのOSアップデートについてはかねてから消費
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始 アメリカ国防総省 DARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)は、C言語のコードからRust言語のコードへ高い精度での自動変換実現を目指す「TRACTOR」(Translating All C to Rust)プログラムの開始を発表しました。 DARPAは軍事技術の開発および研究を行う機関であり、現在のインターネットはDARPAの前身となるARPAが1967年に開始した「ARPANET」がその起源であることはよく知られています。 DARPAが発表したTRACTORプロジェクトは、C言語のコードからRust言語のコードへの自動変換を高い精度で実現することで、過去にC言語で開発された多くのソフトウェアをメモリ安全なソフ
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast [Blog] Intigriti Q1 2024 の成績 インタビュー記事 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Mac
こんにちは!DevBrandingのellyです。 いよいよ今週末は技術書典15ですね! この度、freeeの有志の開発メンバーで初めて技術同人誌「freee 技術の本」を制作しました。 すでに技術書典 マーケットにて公開されており、オンラインでは11月11日(土)より入手可能です。 11月12日(日)池袋・サンシャインシティのオフライン会場では、執筆者たちでブースを出しておりますのでぜひ立ち寄っていただけると嬉しいです! techbookfest.org freee 技術の本とは? freeeの有志の開発メンバーで執筆した技術同人誌です。 今回は、これ一冊を読むことで、freeeの技術はもちろん、開発組織やカルチャーなど、なんとなく会社の全体的な雰囲気が伝わるような内容にすることを心がけました。 数年前からDevBrandingチームで技術本の制作をしてみたいという話はあがっていたものの
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2024年】ITエンジニア本大賞まとめ - Qiita
トーバルズ氏、「Linux」カーネル開発状況、「Rust」導入、AIを語る
2023年、読んで印象に残った本 - Don't Repeat Yourself
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
自宅ルータの脆弱性検知システムの開発 - Sansan Tech Blog
「VPNプロトコル」5種の違い あの定番から“高速VPN”の新技術まで
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
航空事故とフォーク定理 - himaginary’s diary
太陽光発電、サイバー攻撃の温床に IoT経由で不正送金 - 日本経済新聞
Dockerだけではない: Podman、LXD、ZeroVMを含む主要なコンテナ技術を探る
東京ガスエンジニアリングソリューションズへの不正アクセスについてまとめてみた - piyolog
「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】
太陽光発電 監視機器約800台へのサイバー攻撃について調べてみた - piyolog
SBOM解説: SBOMのメリットと導入の流れ | SIOS Tech. Lab
Google認証に不正アクセスの脆弱性、パスワード変更では不十分
【大原雄介の半導体業界こぼれ話】 不安定問題に脆弱性問題……CPUのメンテナンスは大変
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
Next.jsを4年間使用してたどりついた、エンタープライズアプリケーションのフロントエンド開発・構築手法 | POSTD
「GitHub Copilot全社導入」の前にたちはだかった3つの壁 ZOZOはどう乗り越えたか
プロと読み解くRuby 3.3 NEWS - STORES Product Blog
【コラム】スマートフォンに7年間ものOSアップデートは本当に必要なのか? - はやぽんログ!
老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ~JVNが利用中止を呼びかけ/開発者とは連絡がとれず
米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始
バグバウンティ入門(始め方) - blog of morioka12
技術書典15で「freee 技術の本」 を出します! - freee Developers Hub