Security alert: social engineering campaign targets technology industry employees
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
Next.js Weekly #29: Next.js 14, Geist, Why I’m (not) using Next.js, Oslo, Security in Next.js, React Forget
#29: Next.js 14, Geist, Why I’m (not) using Next.js, Oslo, Security in Next.js, React Forget Next.js Conf 2023 – This year’s Next.js Conf primarily focused on stabilizing existing features rather than introducing new ones. I recommend checking out the VoD. Here’s a quick summary of all the announcements: Next.js 14: No new APIs – As mentioned, it’s all about stability. So Next.js 14 comes with no
Amazon S3 Update – Three New Security & Access Control Features | Amazon Web Services
AWS News Blog Amazon S3 Update – Three New Security & Access Control Features A year or so after we launched Amazon S3, I was in an elevator at a tech conference and heard a couple of developers use “just throw it into S3” as the answer to their data storage challenge. I remember that moment well because the comment was made so casually, and it was one of the first times that I fully grasped just
Tetragon - eBPF-based Security Observability & Runtime Enforcement - Isovalent
News: Tetragon has reached 1.0! Tetragon 1.0 is here! Read the announcement to learn about the overhead benchmarks, default observability policy library, and tracing process execs! Read the blog We are excited to announce the Tetragon open source project. Tetragon is a powerful eBPF-based security observability and runtime enforcement platform that has been part of Isovalent Cilium Enterprise for
この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役/CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社(旧:ピナクルズ株式会社)は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業されました。 Tebiki株式会社 https://tebiki.co.jp/ 2019年より、サービス業や製造業、コールセンター、飲食業など幅広い業界に向けて、クラウド型動画教育プラットフォーム「tebiki(テビキ)」を提供しています。 image1 「tebiki」は現場で教えている様子を撮影した動画をアップロードするだけで、自動認識された音声が自動で字幕になり、世界100ヶ国語以上の言語に自動翻訳されます。さらに、図形挿入や音声吹き込み、シーンの削除なども可能です
CloudNative Days Tokyo 2023 の登壇資料です。2023/12/12 https://event.cloudnativedays.jp/cndt2023
Nov 19, 2019Announcing Hubble - Network, Service & Security Observability for Kubernetes Hubble is a fully distributed networking and security observability platform for cloud native workloads. Hubble is open source software and built on top of Cilium and eBPF to enable deep visibility into the communication and behavior of services as well as the networking infrastructure in a completely transpar
Anyone can Access Deleted and Private Repository Data on GitHub ◆ Truffle Security Co.
You can access data from deleted forks, deleted repositories and even private repositories on GitHub. And it is available forever. This is known by GitHub, and intentionally designed that way. This is such an enormous attack vector for all organizations that use GitHub that we’re introducing a new term: Cross Fork Object Reference (CFOR). A CFOR vulnerability occurs when one repository fork can ac
Read it now on the O’Reilly learning platform with a 10-day free trial. O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers. With the rise of the cloud, every aspect of IT has been shaken to its core. The fundamentals for building systems are changing, and although many of the principles that underpin securi
A USB-C YubiKey 5C security key plugged into my ThinkPad X1 Carbon Every week I come across another headline about how someone got hacked and within moments many of their online accounts had become compromised. These aren't simple cases of bad actors using account credentials from large public data breaches and the unfortunate result of people using the same password across many websites. These ha
GitHub - Yamato-Security/hayabusa: Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Security and Privacy Implications of Zoom - Schneier on Security
Security and Privacy Implications of Zoom Over the past few weeks, Zoom’s use has exploded since it became the video conferencing platform of choice in today’s COVID-19 world. (My own university, Harvard, uses it for all of its classes. Boris Johnson had a cabinet meeting over Zoom.) Over that same period, the company has been exposed for having both lousy privacy and lousy security. My goal here
NTT Security
【レポート】HashiCorp Vaultではじめるインフラセキュリティ対策と自動化 # Security Days Spring 2023 | DevelopersIO
どうもさいちゃんです。 この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「HashiCorp Vaultではじめるインフラセキュリティ対策と自動化」というセッションのレポートブログになります。 セッション概要 クラウドの市場浸透によって、企業のITインフラはよりダイナミックに、かつマルチ・ハイブリッドクラウドと多様化し、そしてその運用は複雑化しています。その変化に適したセキュリティ対策を取らなければ、情報漏洩などのリスクに繋がる恐れがあります。特にシークレットと呼ばれる、特定のシステムにアクセスするための権限が紐づいた資格情報は、環境下において漏洩時の被害が拡大しやすいため適切な対策が必要です。本セッションでは、弊社が提供する「HashiCorp Vault」と具体的なユースケースをご紹介しながら、多様化する動的なイ
Googleは最新版のTitan Security Keyを発表した。この新デバイスは250個のパスキーの保存が可能でGoogleストアで販売されている。Googleは2024年を通して高リスクユーザーに10万個を無償配布する計画だと説明している。
AWS のマルチアカウントにおける Security Hub の運用は Central configuration を使おう - カミナシ エンジニアブログ
どうもこんにちは西川です。AWS Community Builder に選ばれたからにはAWSのこともアウトプットしなきゃということで、今日は Security Hub の Central configurationの素晴らしさをお伝えしたいと思います。 Security Hub 運用の課題と Central configuration Cental configuration は re:Invent 2023 で発表された機能で、実は最近までこの機能が追加されていたことに西川は気づいておりませんでした(汗) でも、この機能はSecurity Hubを運用していくうえでは欠かせない機能で、それはなぜかというと、Automation rules では、OU単位だったり、アカウントについているタグ等を判別してルールを書くことができないのですが、AWSアカウントをOrganization管理して
【セキュリティ ニュース】行政サービスの共通認証「GビズID」が停止 - 「Spring4Shell」影響で(1ページ目 / 全1ページ):Security NEXT
デジタル庁は、行政サービスの共通認証サービス「GビズID」で利用するソフトウェアに脆弱性が見つかったとしてサービスの提供を一時停止した。 Javaフレームワーク「Spring Framework」のコアモジュールに脆弱性「Spring4Shell」が指摘されていることを受け、サービスの提供を一時停止し、メインテナンスを実施しているもの。 同脆弱性については実証コードが一時公開されており、特定アプリケーションの一部機能が影響受けると見られるが、脆弱性の詳細は明らかになっておらず、CVE番号なども採番されていない。 「GビズID」では、同脆弱性への対応が完了次第、サービスを再開するとアナウンスしている。 (Security NEXT - 2022/03/31 ) ツイート
The Security Design of the AWS Nitro System - The Security Design of the AWS Nitro System
Publication date: February 15, 2024 (Document revisions) Amazon Elastic Compute Cloud (Amazon EC2) is a web service that provides secure, resizable compute capacity in the cloud. It is designed to make web-scale cloud computing easier for developers. The AWS Nitro System is the underlying platform for all modern EC2 instances. This whitepaper provides a detailed description of the security design
【注意】CVE Website(CVE.MITRE.ORG)のアドレス変更(CVE.ORGへの移行)について - SIOS SECURITY BLOG
【注意】CVE Website(CVE.MITRE.ORG)のアドレス変更(CVE.ORG)について2021/09/02のMITREのニュースに載っていますが、CVEのWebアドレスが”CVE.MITRE.ORG”から”CVE.ORG”に変更になるそうです。 9月末から移行が始まり、1年間を掛けて移行されるようです。移行期間中はCVE.MITRE.ORGとCVE.ORGは同時に更新されますが、最終的にはCVE.ORGへの移行になります。 新しいサイトはよりモダンなサイトになるようです。本移行に対してのコメントは、CVEのサイトにもありますがこちらにて受け付けるそうです セキュリティ関係ではCVE.MITRE.ORGの方へリンクを貼っているサイト・企業なども多いと思いますが、段階的に移行していくと思います。個人でやられているサイト等に関しては気が付かないとリンク切れになってしまいますので、お
代表井手が振り返るFlatt Security の2020。各事業の進捗と強力な仲間のジョイン - niconegoto Blog
皆様大変ご無沙汰しております、井手です。 セキュリティ事業を推進する中で非常に多くのご縁をいただき、猫の手も借りたいほどに忙しい日々を過ごしております。 おかげでTwitterはほとんど更新できなくなり、日々の進捗をお伝えする機会もなくなってしまいました。 というわけで2020年のFlatt Securityの軌跡を記録したブログをしたためるべく筆をとったのですが、他業務を優先していた結果リリースもこのように1月末になってしまいました。 少しだけお正月気分に戻って、ご笑覧いただけると幸いです。 2020年の総括に移る前に、Flatt Securityの2019年は以下のような1年でした。ご参考までに。 2019年2月にライブコマース事業からセキュリティ事業にピボットし、5月に約2億円の資金調達を実施しました。少しセキュリティ診断に注力したのち、一つ目のプロダクトを開発したのですが、思ったよ
Tencent Keen Security Lab: Experimental Security Assessment on Lexus Cars
Since 2017, Lexus has equipped several models (including Lexus NX, LS and ES series) with a new generation infotainment, which is also known as AVN (Audio, Visual and Navigation) unit. Compared to some Intelligent connected infotainment units, like Tesla IVI and BMW ConnectedDrive system, the new Lexus AVN unit seems to be a bit more traditional. From a security perspective, it may highly reduce t
【セキュリティ ニュース】サイトの「問い合わせフォーム」を悪用する攻撃に警戒を(1ページ目 / 全3ページ):Security NEXT
ウェブサイトの閲覧者と円滑にコミュニケーションを取るために設置された「問い合わせフォーム」。こうした便利な機能を逆手にとってスパムを配信する攻撃が確認された。正規メールの配信に支障きたすおそれもあり、類似した攻撃に警戒が必要だ。 既報のとおり、千葉県船橋市の公式サイトで、フィッシングサイトと見られるURLを含んだメールを配信するため、問い合わせフォームの機能が悪用される被害が発生した。サーバ内部への侵入や改ざんなど許したわけではなく、正規に用意された機能の隙を突かれたかたちだ。 ウェブサイトにフォームを設置している場合、投稿後に正しくデータが送信されたか確認できるよう、入力内容の控えをメールで自動的に送信するしくみを導入しているケースがあるが、こうした「自動返信機能」が悪用されたものだ。
U.S. Cybersecurity Agency Publishes List of Free Security Tools and Services
The U.S. Cybersecurity and Infrastructure Security Agency (CISA) on Friday published a repository of free tools and services to enable organizations to mitigate, detect, and respond effectively to malicious attacks and further improve their security posture. The "Free Cybersecurity Services and Tools" resource hub comprises a mix of 101 services provided by CISA, open-source utilities, and other i
Firebaseを用いた開発には専用のセキュリティ診断を。エン・ジャパン新規事業「ASHIATO」の取り組み | Flatt Security
Firebaseを用いた開発には専用のセキュリティ診断を。エン・ジャパン新規事業「ASHIATO」の取り組み 株式会社エン・ジャパンは2000年の設立以来、“「人」、そして「企業」の縁を考える”を事業理念に人材総合サービスを提供。日本最大級の転職サイト「エン転職」や入社後の活躍まで支援する転職支援サービス「エン エージェント」など、30を超えるHRサービスを展開しています。 セキュリティ診断を実施した「ASHIATO(アシアト)」は、エン・ジャパン株式会社様が2020年10月に提供を開始したリファレンスレポートサービスです。 採用候補者の現職や前職の上司・同僚によるレビューを集め、過去の活躍ぶりを可視化。ネガティブチェック的な要素が強かった従来の「リファレンスチェック」とは異なり、採用上のネックだけでなく「活躍・定着するための情報」まで可視化できるのが特徴です。 今回Flatt Secur
Introducing Microsoft Security Copilot: Empowering defenders at the speed of AI - The Official Microsoft Blog
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation | Datadog Security Labs
emerging vulnerabilities The OpenSSL punycode vulnerability (CVE-2022-3602): Overview, detection, exploitation, and remediation November 1, 2022 emerging vulnerability On November 1, 2022, the OpenSSL Project released a security advisory detailing a high-severity vulnerability in the OpenSSL library. Deployments of OpenSSL from 3.0.0 to 3.0.6 (included) are vulnerable and are fixed in version 3.0.
SaaSのアジャイル開発にも定期的なセキュリティ診断の実施が必須。報告書など診断の品質が決め手に | Flatt Security
株式会社クロスワープは2001年に設立され、「コンテンツビジネスの現場力をコンピューティングでアップグレードする。」をミッションに、コンテンツビジネス業界向けクラウドコンピューティングサービスの開発と運営をしています。 「MODD(エム・オー・ディ・ディ)」は株式会社クロスワープが提供するエンターテインメント業界向けSaaS型EC・ファンクラブ運営プラットフォームです。MODDは大規模なECサービスを展開される際に必要となる各種機能を網羅し、高いセキュリティとサービスレベルを有したSaaS型サービスとなっています。 「MODD」公式Webサイト https://www.modd.com/ Flatt Securityは「MODD」のWebアプリケーション診断を担当しました。以降、その品質を評価いただきアジャイル開発のリリースにあわせて定期的にセキュリティ診断を実施することに。 Flatt
GitHub - nuvious/pam-duress: A Pluggable Authentication Module (PAM) which allows the establishment of alternate passwords that can be used to perform actions to clear sensitive data, notify IT/Security staff, close off sensitive network connections, etc
The PAM Duress is a module designed to allow users to generate 'duress' passwords that when used in place of their normal password will execute arbitrary scripts. This functionality could be used to allow someone pressed to give a password under coercion to provide a password that grants access but in the background runs scripts to clean up sensitive data, close connections to other networks to li
In a recent post, I explored some of the tradeoffs engineers must make when evaluating the security properties of a given design. In this post, we explore an interesting tradeoff between Security and Privacy in the analysis of web traffic. Many different security features and products attempt to protect web browsers from malicious sites by evaluating the target site’s URL and blocking access to th
ソフトウェアエンジニア(Product Security Ops)を募集します - 10X Product Blog
こんにちは、Software Engineerの@sota1235です。最近の趣味はギター練習です。 今回は私が所属するセキュリティチームで新たにソフトウェアエンジニアを募集し始めた話をします。 採用目的が全開みたいなタイトルになっていますが、伝えたいことは「セキュリティエンジニアだけでなくソフトウェアエンジニアをセキュリティチームで募集するに至った」背景です。 10Xのセキュリティチームが組成されてから1年半でどのような変化があり、どんな課題を解決するためにこの意思決定に至ったのか。なぜソフトウェアエンジニアが必要なのか。 スタートアップにおいてプロダクトのセキュリティ品質を担保するための体制をどう組み立てていくかの一例として参考になれば幸いです。 目次 目次 ソフトウェアエンジニア(Product Security Ops)とは なぜソフトウェアエンジニアの募集をするのか 1. 現在の
Security advisory for the regex crate (CVE-2022-24713) | Rust Blog
This is a cross-post of the official security advisory. The official advisory contains a signed version with our PGP key, as well. The Rust Security Response WG was notified that the regex crate did not properly limit the complexity of the regular expressions (regex) it parses. An attacker could use this security issue to perform a denial of service, by sending a specially crafted regex to a servi
【セキュリティ ニュース】QNAP製NASを狙うマルウェアに警戒を - 世界で約6.2万台が感染(1ページ目 / 全3ページ):Security NEXT
QNAP Systems製のネットワーク接続ストレージ(NAS)を標的としたマルウェア「QSnatch」の感染が広がっているとして英米政府のセキュリティ機関が注意喚起を行った。ファームウェアの更新を阻害する機能も備えており、工場出荷時の状態へリセットするといった対策が呼びかけられている。 ワールドワイドにおける感染拡大を受けてサイバーセキュリティインフラストラクチャセキュリティ庁(CISA)とイギリスの国家サイバーセキュリティセンター(NCSC)が連名で注意喚起を行ったもの。 問題の「QSnatch」は、QNAP製NAS向けのOS「QTS OS」を標的とするマルウェア。ファームウェアに感染し、情報を窃取してコマンド&コントロール(C&C)サーバと通信する。フィンランドの国立サイバーセキュリティセンター(NCSC-FI)が2019年10月にレポートを公表し、明らかとなった。 同問題を受けてQ
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/ WordPress 5.0.0 Remote Code Execution https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8942 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8943 WordPressにリモートでコードを実行できる脆弱性が有るようです。詳しい情報は、ディストリビューションから情報が上がってきたら脆弱性ブログで公開します。
イベント概要プロダクト開発に関わるすべての人にとって「セキュリティ」は大きな悩みのタネの1つです。まだ駆け出しの開発者が自分の書いたコードに不安を覚えるのは勿論のことですし、チームのマネージャ・テックリード・CTOともなると、「うちの入社1年目の若手開発者はセキュアなコードを書けているのか」「彼/彼女のメンターはちゃんとセキュリティ上の問題を発見できているのか」という悩みがつきものでしょう。 本ウェビナーでは、シフトレフト・DevSecOpsの考え方をもとに自社 Web アプリケーションをセキュアにしていくためのベストプラクティスをお伝えします。とりわけ今回は Ruby on Rails 製の Web アプリケーションを例に、あなたのチームで DevSecOps を実践するための方法論を、具体的なツール・SaaSや環境設定例と共に紹介します。もっと安心してプロダクトを前に進められるチーム・
macOS 13 VenturaとiOS 16では、MacやiPhoneを再起動せず重要なセキュリティアップデートだけを適用できる「Rapid Security Response」機能が導入。
AppleはmacOS 13 VenturaとiOS 16で、MacやiPhoneを再起動せず重要なセキュリティアップデートだけを適用できる「Rapid Security Response」機能を導入するそうです。詳細は以下から。 Appleは日本時間2022年06月07日午前02時から、世界開発者会議(WWDC22)をオンラインで開催し、その基調講演の中で、MacやiPhone/iPad用OS「macOS 13 Ventura」や「iOS 16/iPadOS 16」を今年後半にもリリースすると発表しましたが、 この基調講演のiOS 16の新機能を紹介する最後のパートで言及されていた「Rapid Security Response」は、いわゆる配布の最適化機能で、この機能が実装されることにより、ユーザーはMacやiPhone、iPadを再起動せずに、重要なセキュリティアップデートだけをma
Zoom Security Exploit - Cracking private meeting passwords - Tom Anthony
Short version: Zoom meetings were default protected by a 6 digit numeric password, meaning 1 million maximum passwords. I discovered a vulnerability in the Zoom web client that allowed checking if a password is correct for a meeting, due to broken CSRF and no rate limiting. This enabled an attacker to attempt all 1 million passwords in a matter of minutes and gain access to other people’s private
Critical Security Issue identified in iTerm2 as part of Mozilla Open Source Audit – Mozilla Security Blog
Critical Security Issue identified in iTerm2 as part of Mozilla Open Source Audit A security audit funded by the Mozilla Open Source Support Program (MOSS) has discovered a critical security vulnerability in the widely used macOS terminal emulator iTerm2. After finding the vulnerability, Mozilla, Radically Open Security (ROS, the firm that conducted the audit), and iTerm2’s developer George Nachma
GitHub - veeral-patel/how-to-secure-anything: How to systematically secure anything: a repository about security engineering
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Security Update Guide - Microsoft Security Response Center
動画教育クラウド「tebiki」が実践 脆弱性診断の内製と外部ベンダ利用の両立方法とは? | Flatt Security
Unlocking Cloud Native Security
Announcing Hubble - Network, Service & Security Observability for Kubernetes
Cloud Native Security Cookbook
Getting started with security keys
Security Update Guide - Microsoft Security Response Center
Google、パスキーに対応したTitan Security Keyを10万個「無償配布」する計画を発表
Security Tradeoffs: Privacy
ゲストブログ - SIOS SECURITY BLOG
明日から出来る DevSecOps - Ruby on Rails 編 | Flatt Security