PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取

PyPI package ‘keep’ mistakenly included a password stealer

2022/06/12 BleepingComputer — PyPI パッケージである keep/pyanxdns/api-res-py の一部のバージョンには、悪意の request との依存関係が存在するため、バックドアが含まれることが判明した。たとえば、keep プロジェクトの大半のバージョンでは、HTTP リクエストを行うために正規の Python モジュール requests を使用しているが、keep v.1.2 にはマルウェアである request (s なし) が含まれている。BleepingComputer は、これが単なる誤植なのか自作自演なのか、それとも、メンテナ・アカウントの乗っ取りによるものなのかを確認するため、それぞれのパッケージの作者に問い合わせた。

Continue reading “PyPI パッケージ keep に含まれるタイプミス:悪意の依存関係とパスワード窃取”

IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?

New Privacy Framework for IoT Devices Gives Users Control Over Data Sharing

2022/06/09 TheHackerNews — プライバシーに配慮した、新たにデザインされたアーキテクチャでは、開発者がデータ共有の懸念に対処し、ユーザーが個人情報を管理できるような方法で、スマートホーム・アプリを作成することが目的となっている。カーネギーメロン大学の研究者たちにより Peekaboo と名付けられたシステムは、「家庭内のハブを活用し、外部のクラウド・サーバーに送信する前に、構造的かつ強制力のある方法で、送信データを前処理して最小化する」と説明されている。

Continue reading “IoT アーキテクチャ@カーネギーメロン大:データ最小化の原則に基づく動作とは?”

SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減

Gathering Momentum: 3 Steps Forward to Expand SBoM Use

2022/06/06 DarkReading — IT 環境における Software Bills of Materials (SBoM) の普及を求める声は大きくなっているが、アプリケーション・ポートフォリオで使用されている、ソフトウェア・コンポーネントの追跡のために SBoM を一貫して導入している組織は、相対的に少ないという現実がある。

Continue reading “SBoM 支持の CISA/OpenSSF/OWASP:ソフトウェア・サプライチェーンのリスクを軽減”

GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨

GitLab Issues Security Patch for Critical Account Takeover Vulnerability

2022/06/03 TheHackerNews — GitLab は、同社のサービスに存在する、アカウントを乗っ取りにいたる可能性のある、申告なセキュリティ欠陥に対処するための措置を講じた。この脆弱性 CVE-2022-1680 (CVSS:9.9) は、GitLab 内部で発見されたものであり、GitLab Enterprise Edition (EE) の 11.10〜14.9.5/14.10〜14.10.4/15.0〜15.0.1 の、すべてのバージョンに影響を及ぼるとされる。

Continue reading “GitLab のアカウント乗っ取りの脆弱性 CVE-2022-1680 が FIX:速やかなアップデートを推奨”

GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明

GitHub: Attackers stole login details of 100K npm user accounts

2022/05/27 BleepingComputer — GitHub が明らかにしたのは、4月中旬に発生したセキュリティ侵害において、Heroku と Travis-CI に発行された OAuth アプリ・トークンを悪用した攻撃者により、約10万件の npm アカウントのログイン情報が盗み出されたという状況である。この脅威アクターは、数十の組織が所有するプライベート・リポジトリからの侵入と、データの窃取に成功したという。

Continue reading “GitHub の OAuth 問題:追跡調査により 100K 件分の npm ログイン情報の窃取が判明”

偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式

Cybersecurity Community Warned of Fake PoC Exploits Delivering Malware

2022/05/24 SecurityWeek — サイバー・セキュリティ・コミュニティのメンバーたちに、PoC エクスプロイトだと偽ってマルウェアを配信する、脅威アクターたちの新たな動きが、研究者たちにより暴かれた。5月19日に研究者たちは、2022日4月の Patch Tuesday アップデートで Microsoft が修正した、Windows の脆弱性数件の PoC エクスプロイトに見せかけた、悪意のソフトウェアが GitHub にホストされていることを報告した。

Continue reading “偽の PoC エクスプロイトに御用心:GitHub を悪用する新手のマルウェア配布方式”

PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む

Malicious PyPI package opens backdoors on Windows, Linux, and Macs

2022/05/21 BleepingComputer — Windows/Linux/macOS 上に Cobalt Strike ビーコンやバックドアをドロップし、サプライチェーン攻撃を行う悪意の Python パッケージが、PyPI レジストリでもう一つ発見された。PyPI は、開発者が自身の作品を共有し、他者の作品から利益を得るために利用される、オープンソース・パッケージのリポジトリであり、プロジェクトに必要な機能ライブラリをダウンロードする場所である。

Continue reading “PyPI リポジトリに悪意のパッケージ:Windows/Linux/macOS にバックドアを仕込む”

Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供

Google Cloud Aims to Share Its Vetted Open Source Ecosystem

2022/05/18 DarkReading — Google によるセキュリティ対策の恩恵を望む開発者は、Google の開発者がセキュリティ問題を検証し、パッチ適用を把握している、オープンソース・コンポーネントを利用するサービスを、まもなくサブスクライブできるようになる。この Assured Open Source Software (OSS) と名付けられたサービスは、頻繁なスキャンとコード解析により作成されたメタデータで補強される、新たな Supply chain Levels for Software Artifacts (SLSA) フレームワークに準拠する。したがって、Google の署名を受けた、オープンソース・パッケージのバージョンが提供されることになる。

Continue reading “Google Cloud の Assured OSS サービス:審査済みの Open Source コンポーネントを提供”

Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?

Google Created ‘Open-Source Maintenance Crew’ to Help Secure Critical Projects

2022/05/13 TheHackerNews — 木曜日に Google は、重要なオープンソース・プロジェクトのセキュリティ強化のために、Open Source Maintenance Crew を創設したことを発表した。さらに Google は、パッケージと依存関係をグラフで分析するツールとして Open Source Insights を指摘し、それを使って「依存関係にある脆弱性が自身のコードに影響を及ぼす可能性の有無を判断する」ことを提案した。

Continue reading “Google がパッケージの依存関係をグラフで分析:Open-Source Maintenance Crew とは?”

Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて

Heroku Shares Details on Recent GitHub Attack

2022/05/06 SecurityWeek — 今週に Platform-as-a-Service 企業の Heroku は、複数の顧客の GitHub リポジトリに不正アクセスをもたらした 、4月のサイバー攻撃に関する追加情報を公開した。この、2022年4月中旬に公開されたインシデントは、Heroku と Travis CI に対して発行された OAuth トークンが盗まれ、この CI (Continuous Integration) システムを使用している組織のリポジトリに、攻撃者がアクセス可能になったというものである。

Continue reading “Heroku が語る先日の GitHub 攻撃:盗まれた OAuth トークンについて”

GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという

GitHub Says Recent Attack Involving Stolen OAuth Tokens Was “Highly Targeted”

2022/05/02 TheHackerNews — クラウドベースのコード・ホスティング・プラットフォーム GitHub は、Heroku と Travis-CI に対して発行された OAuth アクセス・トークンの悪用などを含む、最近の攻撃キャンペーンについて高度な標的型の性質があると説明している。GitHub の Mike Hanley は、「この行動パターンは、攻撃者がプライベート・リポジトリのリストアップとダウンロードのために、選択したターゲットのアカウントを特定するために、対象となる組織をリストアップしていたことが示唆される」と述べている。

Continue reading “GitHub で発生した OAuth トークンの悪用:高度な標的型の性質があるという”

OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す

New OpenSSF Project Hunts for Malicious Packages in Open Source Repositories

2022/04/29 SecurityWeek — Open Source Security Foundation (OpenSSF) が発表した新しいプロジェクトとは、オープンソース・リポジトリ内の悪意のパッケージの特定を、支援することを目的とするものだ。OpenSSF によると、この Package Analysis プロジェクトは、オープンソース・パッケージの挙動と機能 (アクセスするファイル/サポートするコマンド/接続する IP など) を特定し、疑わしい活動を明らかにし、変更を追跡することを目的としている。

Continue reading “OpenSSF の新プロジェクトが実用段階に:OSS リポジトリから悪意のパッケージを探し出す”

Log4j 問題は収束していない:セキュリティというよりインベントリの問題?

Log4j Attack Surface Remains Massive

2022/04/27 DarkReading — Apache Log4j logging toolの、リモートコード実行の脆弱性が公開されて4ヶ月以上が経ったが、そを悪用しようとする攻撃者は、依然として膨大な数のターゲットを手にしている。検索エンジン Shodan を用いて行った、Rezilion による最新のスキャンでは、このソフトウェアの脆弱なバージョンをインターネット上に公開している、9万台以上ものサーバーが発見されている。ただし、この数字は、オープンソース・ソフトウェアを実行して、一般に公開されているサーバーのみを対象としているため、攻撃者のターゲットの一部に過ぎないと、Rezilion は考えている。

Continue reading “Log4j 問題は収束していない:セキュリティというよりインベントリの問題?”

NPM の深刻なバグ:不正ライブラリを正規のものとして混入する問題が FIX

NPM Bug Allowed Attackers to Distribute Malware as Legitimate Packages

2022/04/26 TheHackerNews — Node.js JavaScript 実行環境における、デフォルト・パッケージ・マネージャである NPM の「論理的欠陥」により、悪意の行為者が不正ライブラリを正規のものとして見せかけ、騙された開発者にインストールさせることが可能であることが判明した。このサプライチェーンの脅威は、クラウド・セキュリティ企業である Aqua の研究者たちにより、Package Planting と名付けられている。2月10日に Aqua から開示され、4月26日には NPM により、問題の根本が修正された。

Continue reading “NPM の深刻なバグ:不正ライブラリを正規のものとして混入する問題が FIX”

Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?

Public interest in Log4Shell fades but attack surface remains

2022/04/25 BleepingComputer — Apache Log4j ライブラリに存在する、深刻なゼロデイ脆弱性 Log4Shell が発見されてから4ヶ月が経過したが、利用可能なはずの修正プログラムの適用が、依然として大幅に遅れていることを、脅威アナリストたちは警告している。世間の関心と情報セキュリティ・コミュニティの焦点は、より新しい脆弱性の悪用などに移っているが、Log4Shell は引き続き大規模な問題であり、重大なセキュリティ・リスクであることに変わりはない。

Continue reading “Log4Shell の現状調査:いまだに山積する問題と解決できない理由とは?”

API セキュリティの調査:この1年間で41% の企業がインシデントを経験している

41% of businesses had an API security incident last year

2022/04/22 HelpNetSecurity — デジタル・トランスフォーメーションの波を受け、Web/Mobile ベースの統合型サービスが台頭し、製品間のデータ共有が大幅に増加したことで、Web API は急激な成長を遂げた。API への依存度が高まるにつれ、認証や認可の不備や、データの偶発的な漏洩や侵害など、API に関連するセキュリティ上の課題も増えている。

Continue reading “API セキュリティの調査:この1年間で41% の企業がインシデントを経験している”

Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?

Amazon’s Hotpatch for Log4j Flaw Found Vulnerable to Privilege Escalation Bug

2022/04/21 TheHackerNews — Amazon Web Services (AWS) がリリースした Log4Shell 脆弱性に対する ホットパッチだが、コンテナ・エスケープや権限昇格に悪用され、基盤となるホスト制御の乗っ取りを許してしまう問題があるようだ。Palo Alto Networks Unit 42 の研究者である Yuval Avrahami は、今週に発表したレポートにおいて、「コンテナの問題以外にも、このパッチを悪用することで非特権プロセスを特権昇格させ、root コードを実行させることが可能だ」と述べている。

Continue reading “Amazon の Log4Shell ホットパッチに問題:コンテナ・エスケープと権限昇格が生じる?”

Synopsys 調査:OSS コードベースの 80% には脆弱性が必ず存在する

80% of Software Codebases Contain at Least One Vulnerability

2022/04/13 DarkReading — 一般的なコードベースにおけるオープンソース・ソフトウェアの比率は、2021年に 78% にまで拡大したが、古くなりメンテナンスされなくなったコンポーネントを、つまり、潜在的に脆弱なソフトウェアを使い続ける企業が多いことが、新しい調査で明らかになった。今週に発表された Synopsys の年次レポート Open Source Software Risk Analysis (OSSRA) によると、ソフトウェア・コードベースの 81% は、少なくとも1つの脆弱性を含んでいる。また、85% は4年以上前のオープンソース・コンポーネントを使用し、88% は過去2年間に開発が行われていないコンポーネントを含むという。

Continue reading “Synopsys 調査:OSS コードベースの 80% には脆弱性が必ず存在する”

Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗

Google Teams Up With GitHub for Supply Chain Security

2022/04/07 SecurityWeek — Google と GitHub が協力して、SolarWinds や Codecov に影響を与えたような、ソフトウェア・サプライチェーン攻撃に対抗するための、防御ソリューションを提供している。Google の Open Source Security Team の説明によると、SolarWinds の攻撃では、ハッカーがビルド・サーバーを制御し、ビルド・プラットフォームに悪意のアーティファクトを注入している。また、Codecov の攻撃では、脅威者は信頼できるビルド・サーバを迂回して、悪意のアーティファクトをアップロードしていた。

Continue reading “Google と GitHub が協力:ソフトウェアの真正性確保によりサプライチェーン攻撃に対抗”

ゼロデイという状況に陥ったとき:準備がなければ何もできない?

What Does it Mean to Be Zero-Day?

2022/03/29 SecurityBoulevard — ゼロデイ脆弱性とは、コンピュータ・ソフトウェアの未知の脆弱性のことであり、その存在にセキュリティ・チームが気付く前に、ステルス・モードでの攻撃を可能にするものである。 ゼロデイとは、ソフトウェアの欠陥が発生してから、修正プログラムが提供されるまでの期間を指す、不定形な概念である。それにより、リスクに満ちたユニークなセキュリティ態勢の状況が生み出される。

Continue reading “ゼロデイという状況に陥ったとき:準備がなければ何もできない?”

Secure Software Summit:OSS サプライチェーン・セキュリティの現状について

Secure Software Summit: The State of OSS Supply Chain Security

2022/03/17 SecurityBoulevard — Open Source Software (OSS) サプライチェーンが、サイバー攻撃にさらされている。最近の Log4Shell 脆弱性に見られるように、OSS のサプライチェーンは、セキュリティの弱点を突こうとする、攻撃者の焦点となりつつある。数多くの調査レポートにおいて、いわゆる次世代ソフトウェア・サプライチェーン攻撃の、過去 10年間での大幅な増加が示されている。これらの攻撃は、ソースコード/ビルドシステム/CI/CDツール/コードテスト・ツールといった、ソフトウェア・サプライチェーンの重要なリンクの侵害を狙ったものである。

Continue reading “Secure Software Summit:OSS サプライチェーン・セキュリティの現状について”

サイバー・セキュリティの指標:IOC と IOA の違いと活用方法

IOCs vs. IOAs — How to Effectively Leverage Indicators

2022/03/16 SecurityIntelligence — サイバーセキュリティ・チームは、サイバー・セキュリティ攻撃/敵対的行動/高度持続的脅威 (APT)、そして、恐ろしいゼロデイ脆弱性の特定を任務としている。この取り組みを通じて、サイバーセキュリティ担当者と運用チームは、効果的な監視/検出/対応の戦略において Indicators of Compromise (IOC) と Indicators of Attack (IOA) を適切に活用することに、同じ苦労を抱えている。

Continue reading “サイバー・セキュリティの指標:IOC と IOA の違いと活用方法”

ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた

U.S. Government, Tech Giants Discuss Open Source Software Security

2022/01/14 SecurityWeek — 2020年1月13日にホワイトハウス・サミットが開催され、米国の政府と大手ハイテク企業の代表者がオープンソース・ソフトウェアのセキュリティについて話し合った。広く利用されている Log4j ロギング・ユーティリティーに影響を与える脆弱性が、公開/悪用されたことで、オープンソースとソフトウェア・サプライチェーンのセキュリティの重要性が、あらためて浮き彫りになっている。ホワイトハウス・サミットの目的は、オープンソース・ソフトウェアのセキュリティを向上させ、オープンソース・コミュニティを効果的にサポートする方法を特定することだった。

Continue reading “ホワイトハウス OSS セキュリティ・サミット:各ベンダーの声明を集めてみた”

Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ

Log4j Highlights Need for Better Handle on Software Dependencies

2022/01/04 DarkReading — 新しい年を迎えたが、サイバー・セキュリティ業界は、またしてもソフトウェア・サプライチェーン・セキュリティの悪夢がもたらす、長期化が予測される問題に直面している。アプリケーション・セキュリティのゼロデイ問題が多発した1年の最後に生じた、Log4j の脆弱性 (Log4Shell) の問題は、2021年のテーマに沿ったブックエンドのようなもので、SolaWinds がスタートさせた年を、同じようなかたちで締め括る。

Continue reading “Log4j が明らかにしたもの:ソフトウェアの依存関係と SBoM のすすめ”

WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする

WhiteSource Open Source Tool Can Discover Log4j Vulnerabilities

2021/12/20 SecurityBoulevard — WhiteSource は、Log4j ロギング・ソフトウェアの脆弱なインスタンスを検出するための、オープンソース・ツールを公開した。最近になって公開された Log4j の欠陥は、サイバー犯罪者が Java アプリケーションを介して、リモートコード実行 (RCE) 攻撃を仕掛けることを許してしまう。

Continue reading “WhiteSource の OSS Tool:Log4j 脆弱性の発見を容易にする”

OT 環境での Log4Shell リスク:防御のための最適な手段を探る

Log4Shell Vulnerability Risks for OT Environments — and How You Can Better Protect Against Them

2021/12/19 SecurityIntelligence — Log4Shell の脆弱性を知らない (対応していない) IT 担当者はいない、と言っても過言ではないだろう。オペレーショナル・テクノロジー (OT) の分野も例外ではないが、この脆弱性が OT テクノロジーにおよぼす影響については、まだ完全には解明されていない。今月の初めに公開された、この脆弱性については、最新のパッチ情報を含め、ココで詳細を確認できる。IT 業界は、ネットワークを強化して不正侵入を防ごうとしているが、OT 環境では更に集中的なアプローチが必要になるかもしれない。

Continue reading “OT 環境での Log4Shell リスク:防御のための最適な手段を探る”

サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果

Supply chain attacks against the open source ecosystem soar by 650% – report

2021/09/15 DailySwig — 昨年は、アップストリーム・パブリック・リポジトリを狙った、ソフトウェア・サプライチェーン攻撃の件数が大幅に増加したことが、新しいレポートで明らかになった。Sonatype が毎年発表している State of the Software Supply Chain Report によると、この種の攻撃は 1万2,000件以上にのぼり、2020年に比べて 650% 増加している (2019年と2020年の比較では 430% の増加)。

Continue reading “サプライチェーン攻撃:オープンソース・エコシステム標的が 650% UP という調査結果”

Microsoft / Google / Amazon / Apple が セキュリティの未来を議論 @ White House

Microsoft and Google to invest billions to bolster US cybersecurity

2021/08/26 BleepingComputer — 昨日に、ホワイトハウスで開催された Cybersecurity Summit において、ビッグテック/教育/金融/インフラなどの、各分野におけるエグゼクティブおよびリーダーが、米国の利益の安全性を強化することに約束した。

Continue reading “Microsoft / Google / Amazon / Apple が セキュリティの未来を議論 @ White House”

Google Allstar は GitHub のセキュアな運用のためのオープンソース

Google open-sourced Allstar tool to secure GitHub repositories

2021/08/13 SecurityAffairs — Google がオープンソース化した Allstar は、設定ミスを防ぐための一連のセキュリティ・ポリシーを施行することで、GitHub プロジェクトのセキュリティを確保するツールのプロジェクトである。このプロジェクトの説明には、「Allstar は、組織やリポジトリにインストールして、セキュリティ・ポリシーを設定/実施するための GitHub App だ。その目的は、リスクを伴う可能性のある GitHub の設定や、セキュリティのベスト・プラクティスに従わないリポジトリの、ファイル・コンテンツを継続的に監視/検出する点にある。Allstar により、リポジトリのコンプライアンス違反が発見された場合には、課題の作成やセキュリティ設定の復元などのアクションが実行される」と書かれている。

Continue reading “Google Allstar は GitHub のセキュアな運用のためのオープンソース”

CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う

CISA teams up with Microsoft, Google, Amazon to fight ransomware

2021/08/05 BleepingComputer — CISA が発表した官民連携の JCDC (Joint Cyber Defense Collaborative) は、ランサムウェアなどのサイバー脅威から、米国の重要インフラを守ることを目的とするものだ。この新しい取り組みは、重要インフラを標的とする悪意のサイバー活動に対する、国家としての耐性を高めるために、CISA が連邦機関および、SRTT (state / local / tribal / territorial) パートナー、民間企業と協力し、サイバー防衛計画を策定することを目的とする。CISA の Director である Jen Easterly は、「CISA と省庁間で協力して活動することに同意してくれた産業界のパートナーは、サイバー侵入から国の重要な機能を守るという共通のコミットメントと、新しいソリューションを生み出す想像力を持っている。

Continue reading “CISA と Microsoft / Google / Amazon が連携してランサムウェアと戦う”

CISA が立ち上げた民間機関向けの脆弱性開示プラットフォームとは?

CISA launches vulnerability disclosure platform for federal agencies

2021/07/30 BleepingComputer — 今日のこと、Cybersecurity and Infrastructure Security Agency (CISA) は、米国連邦民間機関向けに新たな脆弱性開示ポリシー (VDP : vulnerability disclosure policy) プラットフォームの提供を開始した。

Continue reading “CISA が立ち上げた民間機関向けの脆弱性開示プラットフォームとは?”

脅威モデリングを自動化する時代へと突入する?

Threat Modeling in the Age of Automation

2021/07/16 SecurityBoulevard — サイバー・セキュリティの脅威は急速に増加しており、アプリケーションを構築する企業は、将来の攻撃に耐えるためのコアとなる脅威モデルを含めて、予防原則に基づくセキュリティ対策を検討するようになってきた。しかし、Security Compass の最近の調査によると、ソフトウェア開発の初期段階 (要件の収集/設計) において、脅威モデルを取り入れている企業はわずか 25% だった。さらに、開発したアプリケーションの 90% 以上において、脅威モデルを取り入れていると回答した企業は 10% 未満であり、脅威モデルの自動化や統合において半数以上の企業が課題を抱えていることが分かった。

Continue reading “脅威モデリングを自動化する時代へと突入する?”

Google Scorecards は OSS のセキュリティリスクをスキャンする

New Google Scorecards Tool Scans Open-Source Software for More Security Risks

2021/07/02 TheHackerNews — Google がオープンソースとして主導する、リスクスコアを自動作成すセキュリティ・ツール Scorecards がアップデートされた。このバージョンでは、チェック機能が改善され、生成されたデータの分析機能が強化されている。この木曜日に Google の Open Source Security Team は、「今日、多くのソフトウェアがオープンソース・プロジェクトに依存しているため、依存関係が安全かどうかを判断するための、簡単な方法が必要とされている。

Continue reading “Google Scorecards は OSS のセキュリティリスクをスキャンする”

CISA がリリースしたランサムウェア自己監査ツールとは?

CISA releases new ransomware self-assessment security audit tool

2021/06/30 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Cyber Security Evaluation Tool (CSET) の新モジュールである Ransomware Readiness Assessment (RRA) を公開した。RRA は、IT / OT / ICS の各資産を標的としたランサムウェア攻撃に対する、防御と復旧の能力を把握するために提供される、セキュリティ監査用自己評価ツールである。

Continue reading “CISA がリリースしたランサムウェア自己監査ツールとは?”

Google が共有する脆弱性のためのオープンソースとは?

Google Shares Format for Open Source Vulnerability Data

2021.06/24 SecurityBoulevard — 今日、Google は、いくつかのオープンソース・コミュニティと共同で、オープンソース・ソフトウェアの脆弱性を記述するためのスキーマを発表した。Google の Staff Software Engineer である Dan Lorenc によると、「この脆弱性交換スキーマ (interchange schema) は、すべての脆弱性データベースがエクスポートできる標準フォーマットを定義している。

Continue reading “Google が共有する脆弱性のためのオープンソースとは?”

Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ

Google Launches SLSA, a New Framework for Supply Chain Integrity

2021/06/18 DarkReading — 今週の Google だが、ソフトウェアのサプライチェーン全体を通して、ソフトウェア成果物の整合性を確保するための End-to-End フレームワークである、Supply chain Levels for Software Artifacts (SLSA) を発表した。Salsa と発音される SLSA は、Google 社内で採用されている Binary Authorization for Borg (BAB) という、コード・レビュー・プロセスから着想を得ている。

Continue reading “Google が立ち上げる SLSA はサプライチェーンの完全性を護る新たなフレームワークだ”