「Log4j2の脆弱性から垣間見えたOSS開発の厳しさ」と「OSS開発者に投げ銭する文化（未来）」について by nao · 公開済み 2021年12月12日 · 更新済み 2021年12月13日 前書き：災害レベルの脆弱性 本記事は、紛うことなきポエム記事です。Log4j2の脆弱性問題を追っている間に「OSS開発の醜い部分」を目の当たりにしたので、本記事では「せめてOSS開発者が金銭的もしくは他の手段で報われればいいのに」と主張します。 2021年12月10日、Javaのロギングライブラリであるlog4j2は任意コード実行の脆弱性（CVE-2021-44228、内容は以下の引用文を参照）が見つかり、その実行方法の容易さから話題となりました。 Apache Log4jにはLookupと呼ばれる機能があり、ログとして記録された文字列から、一部の文字列を変数として置換します。その内、JNDI

こんにちは、Xイノベーション本部の柴田です。 このポストは 電通国際情報サービス Advent Calendar 2021 の5日目のポストです。 4日目のポストは加納さんの「リアルタイムレンダラーP3Dのご紹介」でした。 さて、このポストではOpen Policy Agentとポリシー言語Regoの紹介をしたいと思います。 前半ではRegoの文法を簡単に説明します。 後半では私がOpen Policy AgentとRegoを実際に使っていてハマった点をいくつかご紹介します。 このポストを読んでくださる方の役に立てば幸いです。 Open Policy Agentとは Regoとは まずは動かしてみる 設問 構造化データ（input.json） ポリシー（example.rego） 検証 Regoの文法 本章で扱う構造化データ 変数 変数の束縛 配列、集合、オブジェクトへのアクセス ルール

こんにちは。NFLabs. 事業推進部の橋本です。 本記事はNFLabs. アドベントカレンダー 2日目です。 はじめに 本日はセキュリティ監査を行う上で重要な情報であるWindowsイベントログ（セキュリティ監査）について記事を書いていこうと思います。 2日目の「2」にちなんで、実際に設定／運用する際のお悩みポイントを2択形式で紹介していきます。 2択その1 ではWindowsイベントログ（セキュリティ監査）のログ出力設定方法に関する2択を紹介します。 2択その2 ではログオンログの分析に関する2択を紹介します。 2択その3 では共有ファイルへのアクセスログ分析に関する2択を紹介します。 はじめに Windowsイベントログ（セキュリティ監査）とは 2択その1： 監査ポリシーの設定　～ 基本 or 詳細～ 2択その2： ログオンの監査 　～セキュリティ監査4624 or LocalSes

｜DMM inside

Azure Load Testingを使って、GitHub Actionsで負荷テストをおこなってみた いわさです。 本記事はQiita Azure Advent Calendar 2021 10日目の記事です。 re:Invent2021の最中、Azureではなかなか熱いサービス「Azure Load Testing」がプレビューで登場しましたよ。 一言でいうとAzureフルマネージドなJMeterサービスです。 本日はこちらを触ってみたのと、マネージドサービスということもあってCI/CDワークフローに簡単に組み込めるようになったので、本日はGitHub Actionsで実行してみました。 本サービスは、本日時点でパブリックプレビューです。今後仕様が変わる可能性があります。 Azure Load Testingとは Azureでホストされる、マネージドな負荷テストサービスです。 Apac

はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として「Access-Control-Allow-Origin」に設定される値自体はどうでも良くないです。重要です。 理由がよくわからない場合は以下の記事をご覧いただければと思います。 https://developer.mozilla.org/ja/docs/Web/HTTP/CORS では、そこまで重要でもないと思ったのは何なのか……。それは「Access-Control-Allow-Origin」に以下の値が設定されていた場合、どちらがセキュリティ的にマシなのか？とい

悲劇は起こった… ある日のLINE A氏「IPアドレスについて教えて欲しい！」 B氏「IPアドレスっていうのは xxx.xxx.xxx.xxx っていうフォーマットの…」 A氏「このリンクなに？」ﾎﾟﾁｰ ＼ﾌﾜｰｵ♡／ B氏（YABE） 何が起こったのか LINE や Twitter などの SNS は投稿されたリンクを自動的に飛べるようにしてくれます。 今回不幸なことに、この .xxx というドメインは存在し、xxx.xxx というドメインは登録されていました。 参考： ドメイン (domain)とは |「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典 ドメイン名の種類 JPNIC そして .xxx ドメインの用途はよりによって… 用途 登録対象 > アダルトエンタテイメント業界用 < >> アダルトエンタテイメント業界用 << >>> アダルトエンタテイメント業界

この記事は、Supershipグループ Advent Calendar 2021の7日目の記事になります。 先日、sshを使用したファイル転送が回線速度と比べて異常に遅いという現象に遭遇したので、その際に行った調査を再現しつつ原因や対策について書いてみたいと思います。 要約 OpenSSHはデフォルトでinteractiveなセッションに af21 、non-interactiveなセッションに cs1 をDSCP値としてIPヘッダに設定する フレッツ網はIPヘッダのDSCP値を帯域優先サービスで使用しており、契約に応じて指定された優先度以外が設定されたパケットの転送は保証されない そのため、OpenSSHをデフォルト設定のままフレッツ網で使うと通信ができなかったり、速度低下などの悪影響を受ける可能性がある OpenSSHがDSCP値を設定しないようにするためには、IPQoS noneを設

この記事は Terraform Advent Calendar 2021 の5日目です。 Atlantis の話が書きたいけど書く場所がなくて遅ればせながら枠を探したところ、5日目の枠が空いていることに6日朝に気付いて押さえたため、投稿は遅くなっております。 ということでこのエントリーでは全力で Atlantis を推します。 Atlantis とは Terraform の自動実行にはみなさん何を用いているでしょうか。2021年現在だと HashiCorp 提供の Terraform Cloud でマネージドなパイプラインが簡単に組めますし、同じく HashiCorp が GitHub Actions を使ったワークフローを Automate Terraform with GitHub Actions | Terraform - HashiCorp Learn で公開していたりと、自動実行

Googleが実装を進めているChrome拡張機能の新仕様「Manifest V3」は、ユーザーのプライバシーやセキュリティ、パフォーマンスを向上させるものとされています。ところが、Manifest V3によって広告ブロッカーなどの機能が大幅に制限されるとの批判もあり、デジタルにおける言論の自由を擁護する非営利団体・電子フロンティア財団(EFF)も、「Manifest V3は詐欺的で脅迫的です」と非難しました。 Manifest V3: Open Web Politics in Sheep's Clothing | Electronic Frontier Foundation https://www.eff.org/am/deeplinks/2021/11/manifest-v3-open-web-politics-sheeps-clothing Chrome Users Beware:

Intelが用途不明の謎のコードをLinuxカーネルに追加したことが話題になっています。 Intel teases upgradable 'software-defined silcon' • The Register https://www.theregister.com/2021/10/19/intel_sdsi/ Intel updates mysterious ‘software-defined silicon’ code • The Register https://www.theregister.com/2021/12/08/intel_software_defined_silicon_update/ 話題となっているコードは、IntelのプログラマであるDavid E. Box氏が2021年9月にLinuxカーネルに追加した「Intel Software Defined Si

Cloudflareは2021年11月20日に、公式ブログで「自社サービスはFastlyのエッジコンピューティングプラットフォームであるCompute@Edgeより196％も高速である」とする記事を公開しました。これに対し、FastlyがCloudflareのパフォーマンス測定の手法には欠陥があると指摘し、「統計のウソに基づく無意味な結論」と反論しています。 Lies, damned lies, and (Cloudflare) statistics: debunking Cloudflare’s recent performance tests | Fastly https://www.fastly.com/blog/debunking-cloudflares-recent-performance-tests Fastlyによると、Cloudflareが実施したテストには以下の6点の欠陥

この記事は NTTコミュニケーションズ Advent Calendar 2021 の11日目の記事です。 はじめに ヒューマンリソース部の岩瀬(@iwashi86)です。普段は、全社の人材開発・組織開発を推進しており、業務の1つとして、"1on1" の全社展開をしております。 本記事では、その"1on1"の効果を高める具体的な技法を紹介いたします。アドベントカレンダーということで、ゆるめに書いてみます。*1 NTT Com における1on1の目的とは？ 技法を説明する前に、1on1の目的について説明します。技法はあくまで目的達成に向けたHowでしかないためです。 1on1の目的とは何でしょうか？1on1それ自体には、複数の目的が挙げられます。代表的なところで言えば次のようなものでしょうか。 信頼関係の構築 離職率の低下 メンバー育成 目標達成へ向けた支援 etc... どれが正解というもの

2022年1月7日紙版発売 2021年12月27日電子版発売 上田拓也，青木太郎，石山将来，伊藤雄貴，生沼一公，鎌田健史，上川慶，狩野達也，五嶋壮晃，杉田寿憲，田村弘，十枝内直樹，主森理，福岡秀一郎，三木英斗，森健太，森國泰平，森本望，山下慶将，渡辺雄也　著 B5変形判／400ページ 定価3,278円（本体2,980円＋税10%） ISBN 978-4-297-12519-6 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 本書は，中級以上のGoプログラマーがツール開発・プロダクト開発で必要とされるプログラミングテクニックおよび周辺知識を学ぶための実践集です。 Go

Amazon DynamoDB の特性 フルマネージド型の NoSQL データベースサービス 3つの Availability Zone に保存されるので信頼性が高い 性能要件に応じて、テーブルごとにスループットキャパシティを定義するキャパシティの Auto Scaling、オンデマンドキャパシティといった設定も可能 ストレージの容量制限がない DynamoDB のテーブル DynamoDB におけるテーブルはRDBMSにおけるテーブルと概念が異なります。 テーブルを作成する際に、Primary Key を指定する必要があります。 Primary Key はテーブルの各項目を一意に識別するために使います。Primary Key は、Partition Key および Sort Key で構成されます。(Sort KeyがなくPartition Keyのみの場合もあります) Item は R

BASEアドベントカレンダー2021 10日目の記事です。 BASEアドベントカレンダー2021 10日目 BASE BANKでエンジニアをしている @budougumi0617 です。 マイグレーションファイルが含まれたPull Request（PR）が作られたとき、自動更新したER図をPRに追加するGitHub Actionsを作りました。 本記事では紹介するGitHub Actionsを利用すると次のようなメリットが得られます。 マイグレーションファイルをPRに出すだけでPRに更新されたER図が追加される 開発者は面倒なER図の更新作業から開放される レビューアはマイグレーションファイルを含んだPRをER図を見ながらレビューできるようになる プロジェクト関係者は常にメインブランチのマイグレーションファイルの状態と一致したER図を確認できる サンプルPR 自動生成したER図 TL;DR