さて、米国連邦政府のクラウド戦略についてのレポートその2である。その1はこちらを参照。その1を読んでいなくても支障はないが、歴史的な話をしているので先に読んでいただくと理解が捗ると思う。 前回は、どちらかというと連邦政府の取り組みがうまくいかなかった、というトーンで話をしたが、公平を期して言うならば、成功している部分もあるし、うまくいかなくても諦めず粘り強く進行している取り組みもある。こういうとき米国人というのは強くて、失敗を教訓にどんどん再トライを繰りかえし、大きなブレイクスルーに繋げてしまう。 本稿では、そのようなダイナミズムを持った取り組みとして連邦政府のクラウドセキュリティ戦略を取り上げたいと思う。今後日本政府がクラウドシフトを進めていくうえでの参考にもなれば幸いである。 連邦政府のクラウドセキュリティ政策は、大きく三つの柱から成り立っている。一つ目が「FedRAMP」と呼ばれるク
Acer・Dell・GIGABYTE・Intel・Supermicroの数百以上のデバイスでUEFIセキュアブートのプラットフォームキーが漏えいしていたと発覚、システム侵害のリスクあり
セキュリティ企業・Binarlyの研究チームが、Acer、Dell、GIGABYTE、Intel、Supermicroが販売する200種類以上のデバイスでブート時に任意コード実行が可能になる脆弱(ぜいじゃく)性「PKfail」を報告しました。脆弱性の起因は、セキュアブートの基盤となるプラットフォームキーが2022年に漏えいしたことと指摘されています。 PKfail: Untrusted Platform Keys Undermine Secure Boot on UEFI Ecosystem https://www.binarly.io/blog/pkfail-untrusted-platform-keys-undermine-secure-boot-on-uefi-ecosystem SupplyChainAttacks/PKfail/ImpactedDevices.md at main
生成AIのビジネスへの利活用の一環として、AIプログラミング補助ツール「GitHub Copilot」の導入に踏み切る企業が増えている。ファッションECサイト「ZOZOTOWN」を運営するZOZOもその一つで、2023年5月に法人向けサービスである「GitHub Copilot Business」を全社導入した。 ZOZOには約500人のエンジニアが所属しており、その全員がGitHub Copilot Businessを利用できるようにした。一方で、AIツールの全社導入に当たっては、セキュリティや費用対効果など、検討すべき点も多い。ZOZOではどのような検討の結果導入に至ったか、同社のテックリードを務める堀江亮介さん(技術本部技術戦略部CTOブロック)が公開している外部向け資料からひもとく。 全社導入を進める際、ZOZOでは「セキュリティ上の懸念」「ライセンス侵害のリスク」「導入による費用
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 近年、Dockerは開発分野で一世を風靡し、その革新的な技術でソフトウェア開発を革命的に変えました。当初、Dockerは軽量なコンテナ化技術を通じて開発とデプロイメントプロセスを大幅に簡素化しました。しかし、2024年にはこの技術の欠点が次第に明らかになってきました。 初期の栄光 それほど前のことではありませんが、Dockerは「私のマシンでは動くが、あなたのマシンでは動かない」という古くからの問題をうまく解決しました。そのポータビリティと互換性により、アプリケーションを異なる環境に簡単に移行できるようになりました。しかし、これらの利点
ドワンゴが運営する動画配信サービス「ニコニコ」で発生している大規模障害について、ニコニコの栗田代表がX(旧Twitter)で状況を報告した。障害の原因はサイバー攻撃だとしており、「少なくともこの週末中での復旧は困難な状況です」と明かした。 この障害は6月8日早朝から発生し、午前6時にメンテナンス状態へ移行。ニコニコ動画、ニコニコ生放送、ニコニコチャンネルなどのニコニコファミリーサービスの他、外部サービスでのニコニコアカウントログインが利用できない状態となっている。この措置について同社は「大規模なサイバー攻撃を受けており、影響を最小限に留めるべく、サービスを一時的に停止しています」と説明する。 また、「復旧作業と並行して、攻撃の経路および情報漏洩の可能性を調査中」としているものの、サイバー攻撃の影響を完全に排除し、安全が確認されるまで復旧に着手できないとのことから「少なくともこの週末中は復旧
カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開
カスペルスキーがLinux専用の無料アンチウイルスソフト「Kaspersky Virus Removal Tool for Linux」公開 アンチウイルスソフトウェアで知られるカスペルスキーは、Linux専用のアンチウイルスソフトウェア「Kaspersky Virus Removal Tool for Linux」の無料公開を発表しました。 Introducing our Virus Removal Tool for Linux! Our FREE application scans and cleans Linux systems for known cyber threats, ensuring your machines remain secure. #LinuxSecurity #CyberDefense All you need to know about KVRT for L
TypeScript未経験でもスムーズに業務に取り組める、最強の学習用コンテンツを作った話 - NTT Communications Engineers' Blog
この記事は、 NTT Communications Advent Calendar 2023 19日目の記事です。 この記事では、TypeScript未経験のインターン生にすぐにSkyWayの開発に取り組んでもらうために、TypeScriptの学習用コンテンツを作成した話を紹介します。 学習用コンテンツでどのようなスキルを身に着けてもらったのか、効果的に学ぶためにどのような点を工夫したのかについても説明します。 はじめに 学習用コンテンツの目的 TypeScript学習用コンテンツの紹介 取り組んでもらった結果 より高度な内容について おわりに はじめに 皆さまこんにちは。イノベーションセンター SkyWay DevOps プロジェクト所属の@sublimerです。 SkyWayのチームでは、今年の8〜9月に現場受け入れ型のインターンシップを実施しました。 インターン生を受け入れるにあたっ
テクノロジー部門CTO室の笹田(ko1)と遠藤(mame)です。今年の 9 月から STORES 株式会社で Ruby (MRI: Matz Ruby Implementation、いわゆる ruby コマンド) の開発をしています(Rubyのこれからを STORES で作る。Rubyコミッター笹田さん、遠藤さんにCTOがきく「Fun」|STORES People )。お金をもらって Ruby を開発しているのでプロの Ruby コミッタです。 本日 12/25 に、恒例のクリスマスリリースとして、Ruby 3.3.0 がリリースされました(Ruby 3.3.0 リリース)。クックパッド開発者ブログで連載していたように、今年も STORES Product Blog にて Ruby 3.3 の NEWS.md ファイルの解説をします(ちなみに、STORES Advent Calendar
信頼性の高い機械学習
Cathy Chen、Niall Richard Murphy、Kranti Parisa、D. Sculley、Todd Underwood 著、井伊 篤彦、張 凡、樋口 千洋 訳 TOPICS System/Network 発行年月日 2024年10月 PRINT LENGTH 388 ISBN 978-4-8144-0076-8 原書 Reliable Machine Learning FORMAT Print PDF EPUB 本書では、ソフトウェアシステムの信頼性と安定性を保つことに優れたアプローチであるSRE(サイトリライアビリティエンジニアリング)の原則を適用し、信頼性が高く、効果的で、責任のある機械学習システムを構築し運用するための方法を紹介します。毛糸を販売している仮想のオンラインストア「yarnit.ai」を例に用いつつ、本番環境でのモデルモニタリングの方法から、製品開
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始 アメリカ国防総省 DARPA(Defense Advanced Research Projects Agency:国防高等研究計画局)は、C言語のコードからRust言語のコードへ高い精度での自動変換実現を目指す「TRACTOR」(Translating All C to Rust)プログラムの開始を発表しました。 DARPAは軍事技術の開発および研究を行う機関であり、現在のインターネットはDARPAの前身となるARPAが1967年に開始した「ARPANET」がその起源であることはよく知られています。 DARPAが発表したTRACTORプロジェクトは、C言語のコードからRust言語のコードへの自動変換を高い精度で実現することで、過去にC言語で開発された多くのソフトウェアをメモリ安全なソフ
こんにちは!DevBrandingのellyです。 いよいよ今週末は技術書典15ですね! この度、freeeの有志の開発メンバーで初めて技術同人誌「freee 技術の本」を制作しました。 すでに技術書典 マーケットにて公開されており、オンラインでは11月11日(土)より入手可能です。 11月12日(日)池袋・サンシャインシティのオフライン会場では、執筆者たちでブースを出しておりますのでぜひ立ち寄っていただけると嬉しいです! techbookfest.org freee 技術の本とは? freeeの有志の開発メンバーで執筆した技術同人誌です。 今回は、これ一冊を読むことで、freeeの技術はもちろん、開発組織やカルチャーなど、なんとなく会社の全体的な雰囲気が伝わるような内容にすることを心がけました。 数年前からDevBrandingチームで技術本の制作をしてみたいという話はあがっていたものの
Windowsを“古いバージョン”に戻す「ダウングレード攻撃」 修正済みの脆弱性をゼロデイ化、“最新の状態”を偽り検出も困難
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのサイバーセキュリティ企業の米SafeBreachの研究者であるアロン・レヴィーさんは、セキュリティカンファレンス「Black Hat USA 2024」でWindowsアップデートプロセスを悪用してシステムを古い脆弱なバージョンに戻すダウングレード攻撃「Windows Downdate」を発表した。 この攻撃はWindowsアップデートを乗っ取り、カスタムダウングレードを作成して、過去の数千もの脆弱性を露呈させ、修正済みの脆弱性をゼロデイ化する。これにより、世界中のWindowsマシンにおいて「完全にパッチ適用済み」が無意味になる可能性があ
デル・テクノロジーズは5月9日、顧客情報が漏えいした可能性があるとユーザーに告知した。同社がユーザーに送ったメールで分かった。氏名、住所、製品の注文情報について、外部からアクセスされた可能性があるという。デルがユーザーに送ったメールは以下の通り。 海外メディアは、今回の漏えいが大規模なものである可能性も報じている。セキュリティ情報を発信するWebサイト米Daily Dark Webによれば4月28日、何者かがハッキングフォーラムで「2017年から24年にかけてデルから製品を購入した顧客の情報4900万件を盗んだ」旨を主張していたという。 Daily Dark Webは、データのうち約700万行が個人、約1100万行がコンシューマー事業者、残りはパートナー企業や学校、詳細が不明な団体なものだったとしている。データには米国、中国、インドなどの情報が含まれ、顧客の氏名や住所、郵便番号、製品・サー
Miggo Securityは2024年8月20日(現地時間)、AWSのアプリケーションロードバランサー(ALB)に重大なセキュリティ脆弱(ぜいじゃく)性「ALBeast」があると発表した。ALBeastはALBを認証機能として使用するアプリケーションにおいて認証バイパスを可能にするものだ。影響を受けるアプリケーションは1万5000以上におよぶ。 AWS ALBの認証機能に隠れた脆弱性「ALBeast」 ただし、AWSは脆弱性とは認めず、「サービスは意図された通りに動いている」と述べた。その理由は何か。また、ALBeastが悪用されるとどのような危険性があるのだろうか。 ALBeastはALBの認証メカニズムに依存しているインターネットに公開されたアプリケーションにおいて、攻撃者が認証や承認のプロセスをバイパスできる構成ベースの欠陥とされている。悪用された場合は不正アクセスやデータ侵害、情
高度なセキュリティ対策を実施していると思われる組織であっても、遠く海外の攻撃者からインターネットを通じたサイバー攻撃により組織内部のネットワークに深く侵入され、重要な情報が搾取されたり、システムが止められたりすることが連日、報道されています。このような報道を目にして、いつ自分の組織がこのような事態になるかもしれないと考えている経営者は少なくないのではないでしょうか。経営のテクノロジーやサイバー空間への依存度がますます高まっている現在においては、それが適切な感覚と言えるでしょう。 サイバーセキュリティへの対応は、いつ、何が起こるかわからないという不確実性に対するマネジメントの一要素と言えます。毎年の初めに世界経済フォーラム(World Economic Forum)から発表される「グローバルリスク報告書」においても、サイバー攻撃は発生可能性が高いリスクとして常に注目されています。 サイバーセ
自治体システムへの不正アクセスとベンダの責任 前橋地判令5.2.17(令2ワ145) - IT・システム判例メモ
ファイアウォール設定の誤りの脆弱性により不正アクセスが行われ、自治体のシステムから個人情報の漏えいした疑いがある件について、ベンダの重過失が認められた事例。 事案の概要 前橋市(X)は、MENETと呼ばれる情報教育ネットワークを有しており、そのデータセンタの移管設計・構築業務を、NTT東日本(Y)に委託し(本件委託契約)、その後の保守業務も委託していた(月額100万円。本件保守契約)。 平成29年8月ころからMENETの公開用サーバへの不正アクセスがあり、平成30年3月には調査の結果、児童・生徒・保護者に関する多数の個人情報が流出した可能性が高いことが明らかとなった(本件不正アクセス)*1。本件不正アクセスは、サーバにバックドアが仕掛けられ、ファイアウォールの設定とが相まって発生したものだとされた。 Xは、(1)本件委託契約に基づいて、ファイアウォールを適切に設定しなかったことが債務不履行
ご来店ありがとうございます。 原書の改題改訂への対応を進めていた『プロフェッショナルSSL/TLS』につきまして、きたる12月4日(月)に新刊『プロフェッショナルTLS&PKI 改題第2版』として当直販サイトから順次発売を開始いたします。長らく当サイトにて「2023年秋予定」とご案内させていただいていましたが、発売開始までもう少しだけお待ちいただければ幸いです。 本書は、Ivan Ristić氏が自著 “Bulletproof SSL/TLS” を2022年に改題改訂して新規発行した “Bulletproof TLS/PKI Second Edition” の日本語全訳版です。旧版である “Bulletproof SSL/TLS” とその翻訳版である『プロフェッショナルSSL/TLS』は、発売以来、大きな構成変更を伴わない追記や修正を施したアップデートを何回か実施しており、電子版については
はじめに エンジニアとして就職する前に読んだ「なれる!SE 2週間でわかる?SE入門」の内容があまりにも厳しく、業界に就職するのが怖くなったことを覚えています。本の中に登場する中学生の少女にしか見えない凄腕のSE、室見立華さんのような人物は現実には存在しないでしょうが、実際の業界には彼女のような凄腕エンジニアや年齢不相応な技術力を持つ人間も確かに存在します。 なれる!SE 2週間でわかる?SE入門 (電撃文庫) 作者:夏海 公司,IxyKADOKAWAAmazon SREの探求『Becoming SRE』の内容紹介 私は「なれる!SE」が好きすぎるあまり、「なれる!SRE」というタイトルのクソみたいな文章を吐き出したこともありましたが、そのクオリティがあまりにも低かったため、外には公開せずに留めておきました。そんな中、SREの探求の原著者であるDavid Blank-Edelman(ott
『Apex Legends』公式大会決勝にて「勝手にチート付与される」ハッキング騒動が発生し試合延期。前代未聞の状況で猛烈に慌てるプロ選手ら - AUTOMATON
『Apex Legends』の公式世界大会「Apex Legends Global Series」(以下、ALGS)運営は3月18日、「ALGS Split 1 Pro League」北米リージョンファイナルの延期を発表した。この決定の裏には、出場選手たちが相次いで「チートを勝手に付与される」ハッキング被害を報告したことがあるようだ。 Due to the competitive integrity of this series being compromised, we have made the decision to postpone the NA finals at this time. We will share more information soon. — Apex Legends Esports (@PlayApexEsports) March 18, 2024 今回延期
「スマート歯ブラシ300万本を乗っ取ってDDoS攻撃」海外メディアで誤報相次ぐ “IoTテロ”は現実に起こるのか?
スマート電動歯ブラシ300万本がマルウェアに感染してDDoS攻撃の踏み台にされ、企業のWebサイトをダウンさせた──メディア各社がこんな事件があったと報じたが、実は仮定の話にすぎなかったことが、後になって判明した。 報道によると「歯ブラシの攻撃」という見出しがついた元記事は、スイスのドイツ語ニュースサイト「Aargauer Zeitung」に掲載された。 「女性は自宅の浴室にいた。だが彼女は大規模サイバー攻撃に関与していた。電動歯ブラシはJavaでプログラミングされていて、知らないうちにマルウェアをインストールされていた――他の300万本の歯ブラシと同様に。たった1つのコマンドで、遠隔操作された歯ブラシが、スイス企業のWebサイトに同時アクセスした。サイトはダウンして4時間にわたってまひ状態となった」 これを見た英語メディアが次々に記事の内容を英訳して転載し、ネットでうわさが広がった。 A
「できる人」と「できない人」の分岐点:4M4E分析で手に入れる仕事の質 - STUDY HACKER(スタディーハッカー)|社会人の勉強法&英語学習
どんな人間だって、大なり小なりミスはするものですよね。しかし、同じミスを繰り返す人と、繰り返さない人には決定的な違いがあるようです。その違いとは、ミスをしたあとに真因究明ができているかどうか。今回は、ミスの再発で悩むビジネスパーソンに向け、再発防止のカギを握る分析方法を紹介しましょう。 【ライタープロフィール】 STUDY HACKER 編集部 「STUDY HACKER」は、これからの学びを考える、勉強法のハッキングメディアです。「STUDY SMART」をコンセプトに、2014年のサイトオープン以後、効率的な勉強法 / 記憶に残るノート術 / 脳科学に基づく学習テクニック / 身になる読書術 / 文章術 / 思考法など、勉強・仕事に必要な知識やスキルをより合理的に身につけるためのヒントを、多数紹介しています。運営は、英語パーソナルジム「StudyHacker ENGLISH COMPA
OpenAIが開発する大規模言語モデル(LLM)の「GPT-4」は、道徳テストで人間の大学生より優れたスコアをたたき出したり、セキュリティ勧告を読むことで実際の脆弱性を悪用できたりと、すでに一部の分野で人間の能力を超えることが示されています。そんなGPT-4が、プロのアナリストに匹敵する精度の財務諸表分析を行えることが実証されました。 Financial Statement Analysis with Large Language Models by Alex Kim, Maximilian Muhn, Valeri V. Nikolaev :: SSRN https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4835311 The future of financial analysis: How GPT-4 is disrupting
はじめに こんにちは。サーバーサイドエンジニアの mokuo です。 最近、ミニマムな React アプリを実装する機会がありました。 社内のメンバーにアドバイスをもらいながら、今(2024年前半) React アプリをミニマムに作るならこんな感じかな、という構成になった気がするので、ご紹介したいと思います。 実例の1つとして参考にしていただけますと、幸いです。 はじめに 本文 📝 機能要件 ⚒️ 採用したツール (npm モジュール) 📁 ディレクトリ構成 👨💻 プロトタイピングの実施 🍩 おまけ コンポーネント設計について フロントエンドに DDD のエッセンスを取り入れてみたい おわりに 本文 📝 機能要件 社内の限られた CS メンバーのみが利用する、管理画面を開発しました。 バックエンドは Golang で実装される API サーバーで、認証機能以外だと、2つの機能
あなたの端末は大丈夫?無料で出来る Nessus Essentials でセキュリティパッチスキャンをかけてみた! - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。 4 月から「セキュリティ診断」の部署が「ペネトレーションテスト(ペンテスト)」の部署に吸収合併され、ごった煮ブログに執筆する機会を頂き、いいネタを思いついたので、記事を書かせていただきました! 私事ですが、4 月から今まで担当してきた「Web アプリケーション診断担当」から「プラットフォーム診断担当」(現 DiaForcePSR グループ)に異動させて頂き、プラットフォーム診断を楽しみながら、お仕事させていただいております、、! そんな私ですが、先日「クライアント端末設定診断」の案件を担当させていただき、お客様の診断対象端末に対してセキュリティパッチスキャンをかける機会がありました。 そこで診断作業中にふと、「自分の私用デバイスは普段から WindowsUpdate を適用するように心がけてはいるけど、大丈夫かな、、?」と思い、診断作業の練習を兼ねて無償利
自己紹介 山崎啓太郎 / Twitter: @tyage GMOサイバーセキュリティ byイエラエ アプリケーションセキュリティ課 - 元々はWebサービスの開発をしていてセキュリティの職種は6年目。 JavaScriptが好き。授業中に電子辞書でjQueryのソースを読み耽っていた。 - その他 - セキュリティ・キャンプ全国大会 2022, 2023 講師 - Bug Bounty Rewarded: Google GitHub, Twitter, etc - [ブログ] サーバサイドレンダリングの導入から生じるSSRF - [ブログ] 危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144
「DNSに対する最悪の攻撃」 迅速なパッチ適用を推奨 ATHENEによると、KeyTrapを悪用した場合、単一のDNSパケットが結果的にCPUの使い果たしを誘導し、「Google Public DNS」やCloudflareのDNSなど広く使われているDNS実装やパブリックDNSプロバイダーを全て停止させることが可能だ。発表によると「BIND 9」を16時間ダウンさせたとされている。なお、この欠陥は「CVE-2023-50387」として特定されている。 この攻撃はインターネットの基本的な機能に深刻な影響を与え、世界中のWebクライアントの大部分が利用不能になる可能性がある。主要なDNSベンダーはこの攻撃を「これまでに発見されたDNSに対する最悪の攻撃」と呼んでおり、状況の重大さが指摘されている。 KeyTrapを悪用するサイバー攻撃者は、DNSSECを検証するDNSリゾルバを利用する全ての
はじめに - 作って学ぶ正規表現エンジン
はじめに 正規表現は様々なプログラミング言語で利用されている、テキスト処理のためのパターン言語です。 正規表現はテキストエディタでの検索や置換、入力文字列のバリデーションなどプログラミングの様々な分野で実用されています。 ある程度の規模のプログラムにおいて、正規表現を全く利用しない (利用していない) ということはほとんど無く、正規表現は今日のプログラミングにおいて非常に重要なパーツだと言えます。 JavaScriptやRubyといったプログラミング言語では正規表現はファーストクラスのリテラルとして実装されているため、とても簡単に利用できます。 例えば次のRubyプログラミングでは変数fooに入った文字列の部分にfizzかbuzzが含まれるかどうかを、正規表現/fizz|buzz/を使ってチェックしています。 foo =~ /fizz|buzz/ さらに、計算機科学 (コンピューターサイエ
ドラえも⚫︎で理解するCSRF はじめに ※コメントにて徳丸浩先生(@ockeghem)に間違いをいくつかご指摘頂き修正中です。 また、@rudorufu1981様よりブラウザの同一オリジンポリシーについての補足を頂いております。 ぜひ記事の下部、コメント欄までご覧頂きますようお願いいたします。 ご指摘や補足、本当に有難うございます。 【追記2023.12.2】 同一オリジンポリシーの補足についても徳丸先生のご見解コメントを頂いております。ぜひそちらもご確認下さい。 【追記2023.12.5】 ご指摘を受けて同一オリジンポリシーはCSRFと直接の関連はない事から、取り消し線にて削除致しました。 対象読者 ・HTTPの特性 ・セッション管理 ・ブラウザの同一オリジンポリシー ・CSRF(Cross-Site Request Forgeries) ⚫︎上記の言葉を聞いてイメージができない人 ⚫
10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 10月23日、ISRGが「RustlsがOpenSSLやBoringSSLを凌駕する」という記事を公開した。この記事では、Rustlsのメモリ安全性とパフォーマンスに焦点を当て、TLSライブラリの進化について詳しく紹介されている。 以下に、その内容を紹介する。 Rustlsとは何か? Rustlsは、Rust言語で書かれ、メモリ安全性に優れたTLS(Transport Layer Security)実装である。 Rustlsはすでにプロダクション環境に対応しており、さまざまなアプリケーションで利用されている。C APIとFIPSサポートも備えており、既存のプログ
この本の概要 本書はCI/CDの設計や運用について,GitHubを使ってハンズオン形式で学ぶ書籍です。GitHub Actionsの基本構文からスタートし,テスト・静的解析・リリース・コンテナデプロイなどを実際に自動化していきます。あわせてDependabot・OpenID Connect・継続的なセキュリティ改善・GitHub Appsのような,実運用に欠かせないプラクティスも多数習得します。 実装しながら設計や運用の考え方を学ぶことで,品質の高いソフトウェアをすばやく届けるスキルが身につきます。GitHubを利用しているなら,ぜひ手元に置いておきたい一冊です。 こんな方におすすめ GitHubは使っているけれど,プルリクエストぐらいしか利用していない CI/CDというキーワードは知っているけれど,自分で設計したことはない GitHub Actionsには触れているけれど,正直雰囲気で運
「AWS CDKの脆弱性が発覚した」というニュース記事が流れてきたのですが、読んでも不安を煽るだけで何を言っているかよく分からない内容でした。 仕方がないので、脆弱性を報告したAqua Security社の記事を読んでみました。 非常に分かりやすくまとめてくれているので、マスコミのよく分からない記事で不安を感じている方は、原文を読むことをお勧めします。 超概要 見つかった脆弱性は、特定の手順を踏んでしまったCDK用のS3バケットを乗っ取れるという内容のようです。 脆弱性の影響の可能性があるアカウントには、2024/10/15 (日本時間だと2024/10/16かもしれない)にAWSから「Missing CDK bootstrap bucket」がタイトルに含まれるメールが送られています。 メールが来てなければセーフです。(今回の脆弱性に対しては)安全です。安心してください。 メールが来てい
6月8日未明に発生したニコニコの障害は、KADOKAWAグループへのサイバー攻撃の影響だったようだ。KADOKAWAは9日午前中、グループ内の複数Webサイトで障害が発生していると報告した。 KADOKAWAによると、6月8日の未明、グループの複数のサーバにアクセスできない障害が発生。データ保全のため、関連するサーバを緊急シャットダウンした。ニコニコも同時に障害が発生し、8日午前6時から緊急メンテナンスに移行していた。 KADOKAWAは社内で分析調査を行い、8日中に「サイバー攻撃を受けた可能性が高い」と判断。9日午前の時点で「ニコニコサービス」全般、「KADOKAWAオフィシャルサイト」「エビテン(ebten)」などに影響があったという。また、N高等学校を運営する角川ドワンゴ学園も10日、学習アプリ「N予備校」が利用できないと明らかにした。 現在は外部専門家や警察などの協力を得て調査を進
攻撃者に狙われるVPN。FBI/CISA、VPNからSSE/SASEへの移行を推奨するガイダンス公開(大元隆志) - エキスパート - Yahoo!ニュース
一週間を始めるにあたって、押さえておきたい先週(2024/06/17 - 2024/06/23)気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。 ■FBI/CISA、VPNからSSE/SASEへの移行を推奨米国CISAやFBI等が共同で、VPNをSSEやSASEに置き換えることを推奨するガイダンスを公表しました。背景にはCISAが公表している「既知の悪用された脆弱性(KEV)」にVPNに起因するものが22件にのぼり、国家の関与が疑われる高度な技術力を持ったサイバー攻撃グループがVPNを標的に選定する傾向があること、更にはVPNが一度
GitHubは、脆弱性のあるコードをAIボットが自動的に発見、修正したコードとその解説をプルリクエストしてくれる「code scanning autofix」(コードスキャン自動修正機能)を発表しました。 Meet code scanning autofix, the new AI security expertise now built into GitHub Advanced Security! https://t.co/cTDuKZCWMv — GitHub (@github) March 20, 2024 下記がそのコードスキャン自動修正機能の説明です。「Found means fixed: Introducing code scanning autofix, powered by GitHub Copilot and CodeQL」から引用します。 Powered by GitH
数値上はこうなるものの、意図的な短期的メンテナンスや、意図しない障害でも1回あたりの期間が短ければ、その期間に積まれるはずだった売上は、その復帰後に売り上がる場合も多いでしょう。その辺りは、ユーザーの信頼を損なわない方法や運用を心がけることで、十分に埋められる可能性を含む性質です。 しかしこれが、あまりに高頻度であったり長期間になると、その復帰後に停止期間分を含めた売り上げにならず、そのまま機会損失となる可能性が高まります。いわゆるユーザー離れというやつです。その損失だけで済めばまだマシで、普通に考えればその後に想定していた売上も減少し続け、元に戻すには相応の時間と労力を伴うでしょうから、数値以上の痛手となるはずです。 こう考えていくと、運用関係者が健全であれば、無理に100%の可用性を目指さず少なくとも合計99%以上となる停止猶予を持たせた運用とし、数日を跨ぐような連続した長期間の停止だ
GPT-3.5ベースのChatGPTのコーディング能力は「古い問題には有効も新しい問題では困難に直面する」ことが明らかに
GoogleやMistral AIなどからプログラミングに特化したAIツールが登場しており、大手テクノロジー企業のCEOが「AIがコードを書くのでもうプログラミングを学ぶ必要はない」と発言するなど、AIによるプログラミングは注目を集めています。そんなAIによるプログラミング能力を分析した研究が公開されており、AIモデルがトレーニングされたタイミングによっては困難に直面することがあることが判明しました。 No Need to Lift a Finger Anymore? Assessing the Quality of Code Generation by ChatGPT | IEEE Journals & Magazine | IEEE Xplore https://ieeexplore.ieee.org/document/10507163 ChatGPT Code: Is the AI
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米国連邦政府におけるクラウド戦略 - クラウドセキュリティをどう担保するか|ミック
「GitHub Copilot全社導入」の前にたちはだかった3つの壁 ZOZOはどう乗り越えたか
Dockerが近年その優位性を失いつつある理由 - Qiita
ニコニコの大規模障害、原因はサイバー攻撃 「週末中での復旧は困難な状況」と栗田代表
プロと読み解くRuby 3.3 NEWS - STORES Product Blog
老舗の解凍ツール「解凍レンジ」に任意コード実行の脆弱性 ~JVNが利用中止を呼びかけ/開発者とは連絡がとれず
米国防総省DARPA、C言語のコードからRustへの自動変換実現を目指す「TRACTOR」プログラム開始
技術書典15で「freee 技術の本」 を出します! - freee Developers Hub
デルで情報漏えいか 海外では4900万件流出との報道も 【ユーザーに届いたメール全文掲載】
AWS ALBに脆弱性 1万5000以上のアプリケーションに影響
今だから再認識したいセキュリティの原則 情報セキュリティ対応はリスクマネジメントの一要素
12月4日に新刊『プロフェッショナルTLS&PKI 改題第2版』発売予定
なれる!SRE - Becoming SREで学んだこと - じゃあ、おうちで学べる
GPT-4は財務諸表から将来の収益の伸びを予測する点で人間のアナリストよりも優れていることが研究により明らかに
黙っていればわからないのに……「Vivaldi」が正直に告白したセキュリティ問題/利便性やデザインも大事だけど、アプリを選ぶときにもっておきたい評価軸【やじうまの杜】
ミニマムな React Web アプリケーションの技術スタックを大公開! - inSmartBank
Webフロントエンドの脆弱性つまみ食い 2024年版
「DNSに対する最悪の攻撃」 DNSSEC設計の根幹に関わる脆弱性「KeyTrap」が見つかる
ドラえも⚫︎で理解するCSRF - Qiita
Rust製TLS実装「Rustls」に注目せよ — OpenSSLを凌駕する性能とメモリ安全性を実現
GitHub CI/CD実践ガイド ――持続可能なソフトウェア開発を支えるGitHub Actionsの設計と運用
AWS CDKの脆弱性が発覚したらしいので元レポートを読んでみた
多くのプログラミング言語に危険な脆弱性 ~Windows環境の引数エスケープ処理に不備「Rust」「PHP」「Node.js」「Haskell」などに影響/
ニコニコ、N高なども影響 KADOKAWAグループに大規模なサイバー攻撃の可能性
GitHub、脆弱性のあるコードの自動修正機能発表。AIボットが修正済みコードと解説をプルリクエスト
ITシステムの可用性と損失を考える | 外道父の匠